根據(jù)國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020年工業(yè)信息安全態(tài)勢報告》,國內(nèi)低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量激增,高危漏洞占比居高不下,工業(yè)互聯(lián)網(wǎng)安全形勢嚴(yán)峻。截至2018年底,低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量約3000余臺/套,到2019年底增加到了5000余臺/套,2020年較2019年同期增長了375%。漏洞層面,截至2020年,國家工業(yè)信息安全漏洞庫(CICSVD)共收錄工業(yè)信息安全漏洞2138個,較2019年上升22.2%,高危及以上漏洞占比高達(dá)62.5%。
杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān) 陳超先生
4月10日,由中國電子信息產(chǎn)業(yè)集團(tuán)有限公司主辦,中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所、《電子技術(shù)應(yīng)用》雜志社等承辦的CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳隆重舉行。杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān)陳超先生以“工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展探究”為題發(fā)表了主旨演講,分析了網(wǎng)絡(luò)安全態(tài)勢感知的現(xiàn)狀,闡述了木鏈科技對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的理解及認(rèn)知,并對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的發(fā)展進(jìn)行了展望。
木鏈科技是一家面向工業(yè)互聯(lián)網(wǎng),專注于工控系統(tǒng)安全產(chǎn)品開發(fā)、技術(shù)研究的國家高新技術(shù)企業(yè)。其背靠浙江大學(xué),結(jié)合國內(nèi)領(lǐng)先的高速數(shù)據(jù)處理引擎組群和工業(yè)協(xié)議深度解析能力,形成了一套自主安全的技術(shù)體系,為企業(yè)客戶提供了從工業(yè)生產(chǎn)網(wǎng)絡(luò)到工業(yè)互聯(lián)網(wǎng)的整體解決方案,已在軍工、電力、軌道交通、石油化工、鋼鐵、智能制造等多個行業(yè)落地成熟案例。
網(wǎng)絡(luò)安全態(tài)勢感知現(xiàn)狀
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知是指通過采集工業(yè)互聯(lián)網(wǎng)流量、資產(chǎn)、日志、告警、安全處置數(shù)據(jù)和第三方數(shù)據(jù),利用統(tǒng)計分析和數(shù)據(jù)挖掘等方法,分析網(wǎng)絡(luò)行為及用戶行為,識別能引起工業(yè)互聯(lián)網(wǎng)態(tài)勢變化的安全要素,從而展示整個網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)并預(yù)測未來發(fā)展趨勢。
“態(tài)勢感知的出現(xiàn)將過去以防火墻、路徑檢測等產(chǎn)品為主的被動防御帶入了分析、預(yù)測、聯(lián)動方向為主的主動防御時代?!?陳超表示。
目前國內(nèi)工業(yè)互聯(lián)網(wǎng)的安全形勢嚴(yán)峻,企業(yè)側(cè)面臨了一系列挑戰(zhàn)。
工業(yè)企業(yè)側(cè)面臨的挑戰(zhàn)
在政策法規(guī)層面,從《中華人民共和國網(wǎng)絡(luò)安全法》到工信部《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南(試行)》再到“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要,都提到了健全相關(guān)的預(yù)警和通報體系。
在態(tài)勢感知的相關(guān)標(biāo)準(zhǔn)研制方面,目前國內(nèi)主要是由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)和中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)牽頭制定一系列的態(tài)勢感知標(biāo)準(zhǔn),相關(guān)標(biāo)準(zhǔn)絕大部分都處于在研的狀態(tài)?!霸谡麄€行業(yè)內(nèi),態(tài)勢感知相關(guān)標(biāo)準(zhǔn)的缺失直接導(dǎo)致了態(tài)勢感知研制廠商和各類平臺建設(shè)單位缺乏相關(guān)的數(shù)據(jù)標(biāo)準(zhǔn),在數(shù)據(jù)對接、平臺對接和威脅情報共享方面帶來了一系列困難?!?陳超指出。
關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知功能的現(xiàn)狀,木鏈科技總結(jié)了五點,主要包括:數(shù)據(jù)獲取、數(shù)據(jù)處理、監(jiān)測分析、可視化展示和響應(yīng)處置五大功能。其中,前四大功能在行業(yè)內(nèi)做得相對較好,響應(yīng)處置目前在功能實現(xiàn)上還比較薄弱,無法實現(xiàn)真正的閉環(huán)操作。
隨著相關(guān)需求的擴大,網(wǎng)絡(luò)安全態(tài)勢感知的市場規(guī)模也將逐年擴大。據(jù)相關(guān)數(shù)據(jù)顯示, 2019年國內(nèi)態(tài)勢感知的市場規(guī)模約為32億元,預(yù)計今年2021年將達(dá)到54億元左右,在國內(nèi)整個網(wǎng)絡(luò)安全市場中的占比在6%左右??梢钥闯鰢鴥?nèi)的態(tài)勢感知市場在未來有較大的提升空間。
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知與傳統(tǒng)態(tài)勢感知存在差異
目前工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)出了一些新特點,陳超歸納為以下四點:
(1)海量設(shè)備和系統(tǒng)的接入加大了安全防護(hù)的難度,設(shè)備之間互聯(lián)互通導(dǎo)致攻擊路徑增多,將傳統(tǒng)網(wǎng)絡(luò)安全問題延伸到了整個工業(yè)互聯(lián)網(wǎng)的領(lǐng)域;
(2)企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)平臺建設(shè)時會運用到云平臺和云計算技術(shù),在云環(huán)境下安全風(fēng)險跨域傳播的級聯(lián)效應(yīng)愈發(fā)明顯,工業(yè)數(shù)據(jù)面臨的安全風(fēng)險與日俱增;
(3)企業(yè)間的工業(yè)控制系統(tǒng)和工藝流程方面差異較大,對業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)的需求各不相同;
(4)通過工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知實現(xiàn)工控網(wǎng)絡(luò)安全的主動防御,保障生產(chǎn)系統(tǒng)安全運行不中斷是工業(yè)企業(yè)的核心關(guān)注點。
基于這些特點,木鏈科技認(rèn)為工業(yè)互聯(lián)網(wǎng)的態(tài)勢感知與傳統(tǒng)的態(tài)勢感知存在至少兩個方面的差異:
(1)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知會更加貼合用戶的業(yè)務(wù)場景。目前整個工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的市場目標(biāo)客戶主要包括兩類:第一類是監(jiān)管類態(tài)勢感知平臺,對象主要是工信、公安等;第二類是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)類態(tài)勢感知,對象主要是各行業(yè)的工業(yè)企業(yè)客戶等。這一類客戶在進(jìn)行工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)時首先關(guān)注的是四個方面:
一是現(xiàn)場工控系統(tǒng)品牌眾多,通訊協(xié)議各不相同,怎么將這些協(xié)議和通訊內(nèi)容識別出來;
二是工業(yè)現(xiàn)場設(shè)備多種多樣,因而需要采集的工業(yè)種類特別多;
三是在企業(yè)數(shù)字化轉(zhuǎn)型的過程中,傳統(tǒng)IT企業(yè)理解不夠;
四是貼合用戶的業(yè)務(wù)場景才能真正實現(xiàn)降本增效。
(2)在工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)中,核心知識庫的積累關(guān)鍵。態(tài)勢感知在實現(xiàn)現(xiàn)場數(shù)據(jù)采集到最終威脅呈現(xiàn)過程中,需要靠核心知識庫進(jìn)行相關(guān)的賦能。核心知識庫的好壞或者所積累的深度、廣度直接關(guān)系到工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的好壞。
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展展望
關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展,陳超指出了未來的三個方向:業(yè)務(wù)融合化、安全內(nèi)生化、信息爆炸化。
·業(yè)務(wù)融合化
通常的項目在進(jìn)行相關(guān)網(wǎng)絡(luò)安全建設(shè)時,會先從底層去建設(shè)完整的安全防護(hù)體系。之后,通過在公司層面或集團(tuán)層面建立相關(guān)網(wǎng)絡(luò)安全態(tài)勢感知平臺,將安全信息收集起來進(jìn)行相關(guān)網(wǎng)絡(luò)威脅分析等一系列操作。
而工業(yè)互聯(lián)網(wǎng)的建設(shè)有所不同,企業(yè)更關(guān)注整個業(yè)務(wù)系統(tǒng)的安全,首先建立融合業(yè)務(wù)的集中化監(jiān)測,在此基礎(chǔ)上融入信息安全相關(guān)的數(shù)據(jù)和內(nèi)容來實現(xiàn)整個融合業(yè)務(wù)的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設(shè)。因此在建設(shè)思路上有相應(yīng)的區(qū)別。
關(guān)于業(yè)務(wù)融合化,陳超舉例說明。
上圖從工業(yè)互聯(lián)網(wǎng)上微機界面看到-999℃的數(shù)值,這明顯是一個有問題的數(shù)值。問題的來源是由于現(xiàn)場的儀表故障所造成的,還是由于PLC故障導(dǎo)致的傳輸錯誤,還是遭遇網(wǎng)絡(luò)攻擊所產(chǎn)生的錯誤……如果為了網(wǎng)絡(luò)安全,需要聯(lián)動IT部門、儀表部門一起檢查問題的所在,是比較費時費力的事情。
如果有了一個融合業(yè)務(wù),融合了生產(chǎn)安全和信息安全的一套工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺,由于其本身接入了生產(chǎn)數(shù)據(jù)和信息安全數(shù)據(jù),因此做相關(guān)問題的溯源定位就非常簡單容易。
·安全內(nèi)生化
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設(shè)以不引入新的風(fēng)險點為前提,同時逐步實現(xiàn)工業(yè)控制系統(tǒng)的內(nèi)生安全。
如果要實現(xiàn)內(nèi)生安全,首先要做國產(chǎn)化,實現(xiàn)安全的軟硬件環(huán)境;同時進(jìn)行相關(guān)自主設(shè)計來實現(xiàn)自主協(xié)議的通信,通過以上兩個方向?qū)崿F(xiàn)安全內(nèi)升化的工作。
·信息爆炸化
企業(yè)在建設(shè)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知時,不只有自身數(shù)據(jù)接入辦公系統(tǒng)、工控系統(tǒng)和物聯(lián)網(wǎng)終端設(shè)備,在企業(yè)的外部會對接到工業(yè)互聯(lián)網(wǎng)平臺、外部供應(yīng)鏈企業(yè)以及工業(yè)APP,多方位來源數(shù)據(jù)的接入,需要一個強大的大數(shù)據(jù)處理能力來支撐。
陳超介紹,木鏈科技在多方面開展了技術(shù)創(chuàng)新。
在工控協(xié)議的深度解析方面,市面上常見的解析方式有兩種:
第一,采用在交換機中抓取相關(guān)的流量做語義猜測。通過抓取相關(guān)的數(shù)據(jù)包之后對其中一些字段進(jìn)行替換分析,完成語義猜測。實現(xiàn)起來比較簡單,但是對協(xié)議解析的深度不夠,解析的字段較少。
第二,通過固件逆向的方式。通過上位機和下位機提取相關(guān)固件,對于固件進(jìn)行反編譯和反匯編等操作,變成二進(jìn)制代碼,通過對二進(jìn)制的逆向能夠完整地還原出整個工業(yè)協(xié)議字段所代表的意思。
木鏈科技在第二種方式上有較深的技術(shù)積累。結(jié)合協(xié)議解析的一些手段,目前在指令級解析的基礎(chǔ)上做到了更深層次語義級的深度解析能力。
在自主協(xié)議設(shè)計方面,木鏈科技也在積極探索自主安全的工業(yè)協(xié)議設(shè)置。通常的工業(yè)控制系統(tǒng)中的通訊,一般是上位機正向的通訊方式,由上位機發(fā)起,下位機開啟固定的端口接收相關(guān)的數(shù)據(jù)和指令。因此,下位機非常容易被識別以及收到相關(guān)攻擊。
反向通訊就是由下位機發(fā)起相應(yīng)的通訊請求,只有建立通訊的上位機才能給下位機發(fā)射相關(guān)的數(shù)據(jù)和指令,以此簡單地把下位機面臨的防護(hù)壓力轉(zhuǎn)移到上位機,同時針對上位機采用成熟的防護(hù)手段來提供安全防護(hù)。
在高速數(shù)據(jù)處理引擎方面,由于數(shù)據(jù)來源廣泛,為了能實時對數(shù)據(jù)內(nèi)容進(jìn)行處理,就需要強大的數(shù)據(jù)處理引擎來支撐。木鏈科技在數(shù)據(jù)采集、協(xié)議解析、數(shù)據(jù)存儲、異常分析過程中都采用了相關(guān)的高速數(shù)據(jù)處理引擎技術(shù),實現(xiàn)對海量數(shù)據(jù)的實時分析。
應(yīng)用案例
到底態(tài)勢感知系統(tǒng)是如何運行的?陳超列舉了兩個案例加以介紹。
·工信部工控安全態(tài)勢感知節(jié)點應(yīng)用試點項目
工信部本身建立了國家級公共安全態(tài)勢感知平臺,但是在企業(yè)側(cè)的數(shù)據(jù)采集上相對薄弱。木鏈科技的工控安全態(tài)勢感知節(jié)點項目在10家試點企業(yè)進(jìn)行了部署,一方面捕捉網(wǎng)絡(luò)攻擊的行為,另一方面將采集到的數(shù)據(jù)上傳到國家平臺,為國家級態(tài)勢感知的監(jiān)測賦能。
·中船集團(tuán)某所安全靶場及威脅情報中心建設(shè)項目
中船集團(tuán)某所的安全靶場和威脅情報項目最大的特色是通過雙平臺的方式去建設(shè),威脅情報中心(即工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺)所抓取到的威脅可以在靶場平臺中進(jìn)行復(fù)現(xiàn)和防護(hù)效果驗證,實現(xiàn)對安全處置工作的閉環(huán)管理。
“木鏈科技深知作為一家工控安全企業(yè),單獨的力量很難推動工業(yè)互聯(lián)網(wǎng)安全的發(fā)展,需要建立安全生態(tài),希望相關(guān)的政府部門、高等院校、系統(tǒng)廠商和科研機構(gòu)能一起合力為工業(yè)企業(yè)的安全賦能,實現(xiàn)政用產(chǎn)學(xué)研協(xié)同發(fā)展!” 陳超在最后呼吁各界合力建生態(tài),協(xié)同某發(fā)展。