根據(jù)國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020年工業(yè)信息安全態(tài)勢報(bào)告》,國內(nèi)低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量激增,高危漏洞占比居高不下,,工業(yè)互聯(lián)網(wǎng)安全形勢嚴(yán)峻,。截至2018年底,,低防護(hù)聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量約3000余臺/套,到2019年底增加到了5000余臺/套,2020年較2019年同期增長了375%。漏洞層面,,截至2020年,國家工業(yè)信息安全漏洞庫(CICSVD)共收錄工業(yè)信息安全漏洞2138個(gè),,較2019年上升22.2%,,高危及以上漏洞占比高達(dá)62.5%。
杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān) 陳超先生
4月10日,,由中國電子信息產(chǎn)業(yè)集團(tuán)有限公司主辦,,中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所、《電子技術(shù)應(yīng)用》雜志社等承辦的CITE2021工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳隆重舉行,。杭州木鏈物聯(lián)網(wǎng)科技有限公司解決方案部總監(jiān)陳超先生以“工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展探究”為題發(fā)表了主旨演講,分析了網(wǎng)絡(luò)安全態(tài)勢感知的現(xiàn)狀,,闡述了木鏈科技對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的理解及認(rèn)知,,并對工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的發(fā)展進(jìn)行了展望。
木鏈科技是一家面向工業(yè)互聯(lián)網(wǎng),,專注于工控系統(tǒng)安全產(chǎn)品開發(fā),、技術(shù)研究的國家高新技術(shù)企業(yè)。其背靠浙江大學(xué),,結(jié)合國內(nèi)領(lǐng)先的高速數(shù)據(jù)處理引擎組群和工業(yè)協(xié)議深度解析能力,,形成了一套自主安全的技術(shù)體系,為企業(yè)客戶提供了從工業(yè)生產(chǎn)網(wǎng)絡(luò)到工業(yè)互聯(lián)網(wǎng)的整體解決方案,,已在軍工,、電力,、軌道交通、石油化工,、鋼鐵,、智能制造等多個(gè)行業(yè)落地成熟案例。
網(wǎng)絡(luò)安全態(tài)勢感知現(xiàn)狀
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知是指通過采集工業(yè)互聯(lián)網(wǎng)流量,、資產(chǎn),、日志、告警,、安全處置數(shù)據(jù)和第三方數(shù)據(jù),,利用統(tǒng)計(jì)分析和數(shù)據(jù)挖掘等方法,分析網(wǎng)絡(luò)行為及用戶行為,,識別能引起工業(yè)互聯(lián)網(wǎng)態(tài)勢變化的安全要素,,從而展示整個(gè)網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)并預(yù)測未來發(fā)展趨勢。
“態(tài)勢感知的出現(xiàn)將過去以防火墻,、路徑檢測等產(chǎn)品為主的被動防御帶入了分析,、預(yù)測、聯(lián)動方向?yàn)橹鞯闹鲃臃烙鶗r(shí)代,?!?陳超表示。
目前國內(nèi)工業(yè)互聯(lián)網(wǎng)的安全形勢嚴(yán)峻,,企業(yè)側(cè)面臨了一系列挑戰(zhàn),。
工業(yè)企業(yè)側(cè)面臨的挑戰(zhàn)
在政策法規(guī)層面,從《中華人民共和國網(wǎng)絡(luò)安全法》到工信部《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理指南(試行)》再到“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要,,都提到了健全相關(guān)的預(yù)警和通報(bào)體系,。
在態(tài)勢感知的相關(guān)標(biāo)準(zhǔn)研制方面,目前國內(nèi)主要是由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)和中國通信標(biāo)準(zhǔn)化協(xié)會(CCSA)牽頭制定一系列的態(tài)勢感知標(biāo)準(zhǔn),,相關(guān)標(biāo)準(zhǔn)絕大部分都處于在研的狀態(tài),。“在整個(gè)行業(yè)內(nèi),,態(tài)勢感知相關(guān)標(biāo)準(zhǔn)的缺失直接導(dǎo)致了態(tài)勢感知研制廠商和各類平臺建設(shè)單位缺乏相關(guān)的數(shù)據(jù)標(biāo)準(zhǔn),,在數(shù)據(jù)對接、平臺對接和威脅情報(bào)共享方面帶來了一系列困難,?!?陳超指出。
關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知功能的現(xiàn)狀,,木鏈科技總結(jié)了五點(diǎn),,主要包括:數(shù)據(jù)獲取、數(shù)據(jù)處理,、監(jiān)測分析,、可視化展示和響應(yīng)處置五大功能,。其中,前四大功能在行業(yè)內(nèi)做得相對較好,,響應(yīng)處置目前在功能實(shí)現(xiàn)上還比較薄弱,,無法實(shí)現(xiàn)真正的閉環(huán)操作。
隨著相關(guān)需求的擴(kuò)大,,網(wǎng)絡(luò)安全態(tài)勢感知的市場規(guī)模也將逐年擴(kuò)大,。據(jù)相關(guān)數(shù)據(jù)顯示, 2019年國內(nèi)態(tài)勢感知的市場規(guī)模約為32億元,,預(yù)計(jì)今年2021年將達(dá)到54億元左右,,在國內(nèi)整個(gè)網(wǎng)絡(luò)安全市場中的占比在6%左右??梢钥闯鰢鴥?nèi)的態(tài)勢感知市場在未來有較大的提升空間,。
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知與傳統(tǒng)態(tài)勢感知存在差異
目前工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)出了一些新特點(diǎn),陳超歸納為以下四點(diǎn):
(1)海量設(shè)備和系統(tǒng)的接入加大了安全防護(hù)的難度,,設(shè)備之間互聯(lián)互通導(dǎo)致攻擊路徑增多,,將傳統(tǒng)網(wǎng)絡(luò)安全問題延伸到了整個(gè)工業(yè)互聯(lián)網(wǎng)的領(lǐng)域;
(2)企業(yè)在進(jìn)行工業(yè)互聯(lián)網(wǎng)平臺建設(shè)時(shí)會運(yùn)用到云平臺和云計(jì)算技術(shù),,在云環(huán)境下安全風(fēng)險(xiǎn)跨域傳播的級聯(lián)效應(yīng)愈發(fā)明顯,,工業(yè)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)與日俱增;
(3)企業(yè)間的工業(yè)控制系統(tǒng)和工藝流程方面差異較大,,對業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)的需求各不相同,;
(4)通過工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知實(shí)現(xiàn)工控網(wǎng)絡(luò)安全的主動防御,保障生產(chǎn)系統(tǒng)安全運(yùn)行不中斷是工業(yè)企業(yè)的核心關(guān)注點(diǎn),。
基于這些特點(diǎn),,木鏈科技認(rèn)為工業(yè)互聯(lián)網(wǎng)的態(tài)勢感知與傳統(tǒng)的態(tài)勢感知存在至少兩個(gè)方面的差異:
(1)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知會更加貼合用戶的業(yè)務(wù)場景。目前整個(gè)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的市場目標(biāo)客戶主要包括兩類:第一類是監(jiān)管類態(tài)勢感知平臺,,對象主要是工信,、公安等;第二類是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)類態(tài)勢感知,,對象主要是各行業(yè)的工業(yè)企業(yè)客戶等,。這一類客戶在進(jìn)行工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)時(shí)首先關(guān)注的是四個(gè)方面:
一是現(xiàn)場工控系統(tǒng)品牌眾多,通訊協(xié)議各不相同,,怎么將這些協(xié)議和通訊內(nèi)容識別出來;
二是工業(yè)現(xiàn)場設(shè)備多種多樣,,因而需要采集的工業(yè)種類特別多,;
三是在企業(yè)數(shù)字化轉(zhuǎn)型的過程中,傳統(tǒng)IT企業(yè)理解不夠,;
四是貼合用戶的業(yè)務(wù)場景才能真正實(shí)現(xiàn)降本增效,。
(2)在工業(yè)互聯(lián)網(wǎng)態(tài)勢感知建設(shè)中,,核心知識庫的積累關(guān)鍵。態(tài)勢感知在實(shí)現(xiàn)現(xiàn)場數(shù)據(jù)采集到最終威脅呈現(xiàn)過程中,,需要靠核心知識庫進(jìn)行相關(guān)的賦能,。核心知識庫的好壞或者所積累的深度、廣度直接關(guān)系到工業(yè)互聯(lián)網(wǎng)態(tài)勢感知的好壞,。
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展展望
關(guān)于工業(yè)互聯(lián)網(wǎng)態(tài)勢感知發(fā)展,,陳超指出了未來的三個(gè)方向:業(yè)務(wù)融合化、安全內(nèi)生化,、信息爆炸化,。
·業(yè)務(wù)融合化
通常的項(xiàng)目在進(jìn)行相關(guān)網(wǎng)絡(luò)安全建設(shè)時(shí),會先從底層去建設(shè)完整的安全防護(hù)體系,。之后,,通過在公司層面或集團(tuán)層面建立相關(guān)網(wǎng)絡(luò)安全態(tài)勢感知平臺,將安全信息收集起來進(jìn)行相關(guān)網(wǎng)絡(luò)威脅分析等一系列操作,。
而工業(yè)互聯(lián)網(wǎng)的建設(shè)有所不同,,企業(yè)更關(guān)注整個(gè)業(yè)務(wù)系統(tǒng)的安全,首先建立融合業(yè)務(wù)的集中化監(jiān)測,,在此基礎(chǔ)上融入信息安全相關(guān)的數(shù)據(jù)和內(nèi)容來實(shí)現(xiàn)整個(gè)融合業(yè)務(wù)的工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設(shè),。因此在建設(shè)思路上有相應(yīng)的區(qū)別。
關(guān)于業(yè)務(wù)融合化,,陳超舉例說明,。
上圖從工業(yè)互聯(lián)網(wǎng)上微機(jī)界面看到-999℃的數(shù)值,這明顯是一個(gè)有問題的數(shù)值,。問題的來源是由于現(xiàn)場的儀表故障所造成的,,還是由于PLC故障導(dǎo)致的傳輸錯(cuò)誤,還是遭遇網(wǎng)絡(luò)攻擊所產(chǎn)生的錯(cuò)誤……如果為了網(wǎng)絡(luò)安全,,需要聯(lián)動IT部門,、儀表部門一起檢查問題的所在,是比較費(fèi)時(shí)費(fèi)力的事情,。
如果有了一個(gè)融合業(yè)務(wù),,融合了生產(chǎn)安全和信息安全的一套工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺,由于其本身接入了生產(chǎn)數(shù)據(jù)和信息安全數(shù)據(jù),,因此做相關(guān)問題的溯源定位就非常簡單容易,。
·安全內(nèi)生化
工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺的建設(shè)以不引入新的風(fēng)險(xiǎn)點(diǎn)為前提,同時(shí)逐步實(shí)現(xiàn)工業(yè)控制系統(tǒng)的內(nèi)生安全,。
如果要實(shí)現(xiàn)內(nèi)生安全,,首先要做國產(chǎn)化,實(shí)現(xiàn)安全的軟硬件環(huán)境,;同時(shí)進(jìn)行相關(guān)自主設(shè)計(jì)來實(shí)現(xiàn)自主協(xié)議的通信,,通過以上兩個(gè)方向?qū)崿F(xiàn)安全內(nèi)升化的工作,。
·信息爆炸化
企業(yè)在建設(shè)工業(yè)互聯(lián)網(wǎng)態(tài)勢感知時(shí),不只有自身數(shù)據(jù)接入辦公系統(tǒng),、工控系統(tǒng)和物聯(lián)網(wǎng)終端設(shè)備,,在企業(yè)的外部會對接到工業(yè)互聯(lián)網(wǎng)平臺、外部供應(yīng)鏈企業(yè)以及工業(yè)APP,,多方位來源數(shù)據(jù)的接入,,需要一個(gè)強(qiáng)大的大數(shù)據(jù)處理能力來支撐。
陳超介紹,,木鏈科技在多方面開展了技術(shù)創(chuàng)新,。
在工控協(xié)議的深度解析方面,市面上常見的解析方式有兩種:
第一,,采用在交換機(jī)中抓取相關(guān)的流量做語義猜測,。通過抓取相關(guān)的數(shù)據(jù)包之后對其中一些字段進(jìn)行替換分析,完成語義猜測,。實(shí)現(xiàn)起來比較簡單,,但是對協(xié)議解析的深度不夠,解析的字段較少,。
第二,,通過固件逆向的方式。通過上位機(jī)和下位機(jī)提取相關(guān)固件,,對于固件進(jìn)行反編譯和反匯編等操作,,變成二進(jìn)制代碼,通過對二進(jìn)制的逆向能夠完整地還原出整個(gè)工業(yè)協(xié)議字段所代表的意思,。
木鏈科技在第二種方式上有較深的技術(shù)積累,。結(jié)合協(xié)議解析的一些手段,目前在指令級解析的基礎(chǔ)上做到了更深層次語義級的深度解析能力,。
在自主協(xié)議設(shè)計(jì)方面,,木鏈科技也在積極探索自主安全的工業(yè)協(xié)議設(shè)置。通常的工業(yè)控制系統(tǒng)中的通訊,,一般是上位機(jī)正向的通訊方式,,由上位機(jī)發(fā)起,下位機(jī)開啟固定的端口接收相關(guān)的數(shù)據(jù)和指令,。因此,,下位機(jī)非常容易被識別以及收到相關(guān)攻擊。
反向通訊就是由下位機(jī)發(fā)起相應(yīng)的通訊請求,,只有建立通訊的上位機(jī)才能給下位機(jī)發(fā)射相關(guān)的數(shù)據(jù)和指令,,以此簡單地把下位機(jī)面臨的防護(hù)壓力轉(zhuǎn)移到上位機(jī),同時(shí)針對上位機(jī)采用成熟的防護(hù)手段來提供安全防護(hù)。
在高速數(shù)據(jù)處理引擎方面,,由于數(shù)據(jù)來源廣泛,為了能實(shí)時(shí)對數(shù)據(jù)內(nèi)容進(jìn)行處理,,就需要強(qiáng)大的數(shù)據(jù)處理引擎來支撐,。木鏈科技在數(shù)據(jù)采集、協(xié)議解析,、數(shù)據(jù)存儲,、異常分析過程中都采用了相關(guān)的高速數(shù)據(jù)處理引擎技術(shù),實(shí)現(xiàn)對海量數(shù)據(jù)的實(shí)時(shí)分析,。
應(yīng)用案例
到底態(tài)勢感知系統(tǒng)是如何運(yùn)行的,?陳超列舉了兩個(gè)案例加以介紹。
·工信部工控安全態(tài)勢感知節(jié)點(diǎn)應(yīng)用試點(diǎn)項(xiàng)目
工信部本身建立了國家級公共安全態(tài)勢感知平臺,,但是在企業(yè)側(cè)的數(shù)據(jù)采集上相對薄弱,。木鏈科技的工控安全態(tài)勢感知節(jié)點(diǎn)項(xiàng)目在10家試點(diǎn)企業(yè)進(jìn)行了部署,一方面捕捉網(wǎng)絡(luò)攻擊的行為,,另一方面將采集到的數(shù)據(jù)上傳到國家平臺,,為國家級態(tài)勢感知的監(jiān)測賦能。
·中船集團(tuán)某所安全靶場及威脅情報(bào)中心建設(shè)項(xiàng)目
中船集團(tuán)某所的安全靶場和威脅情報(bào)項(xiàng)目最大的特色是通過雙平臺的方式去建設(shè),,威脅情報(bào)中心(即工業(yè)互聯(lián)網(wǎng)態(tài)勢感知平臺)所抓取到的威脅可以在靶場平臺中進(jìn)行復(fù)現(xiàn)和防護(hù)效果驗(yàn)證,,實(shí)現(xiàn)對安全處置工作的閉環(huán)管理。
“木鏈科技深知作為一家工控安全企業(yè),,單獨(dú)的力量很難推動工業(yè)互聯(lián)網(wǎng)安全的發(fā)展,,需要建立安全生態(tài),希望相關(guān)的政府部門,、高等院校,、系統(tǒng)廠商和科研機(jī)構(gòu)能一起合力為工業(yè)企業(yè)的安全賦能,實(shí)現(xiàn)政用產(chǎn)學(xué)研協(xié)同發(fā)展,!” 陳超在最后呼吁各界合力建生態(tài),,協(xié)同某發(fā)展。