无孔不入的工控安全问题,该如何破局?
无孔不入的工控安全问题,该如何破局?
虽然互联网的普及推动了技术的进步与革新,但也帮助黑客扩大了其攻击范围,上至工业控制系统,下至家用摄像头,都可能成为他们无孔不入的目标。
在工业圈,近期比较引人注目的信息是:工业电脑厂商研华公司部分服务器被黑客攻击,黑客提出750个比特币的赎金要求(约合8280万人民币),并且支付赎金后才会移除所有植入该公司网络的木马程序,删除所盗走的资料。后已逐步复原。
不管是遭遇勒索还是系统破坏,一旦遭遇网络安全问题,企业都将面临业务中断及高额损失的风险。类似这种事件在工业领域不足为奇:美国在2007~2008年初对伊朗铀浓缩工厂发动的“震网”攻击,即便过去多年后仍令人记忆犹新;2014年,有黑客攻击了德国境内的一间钢厂,入侵造成了物理设施的损坏,并干扰了工厂的控制系统,使得高炉无法正常关闭,导致严重的经济损失;2019年3月,委内瑞拉国内大部分地区停电,全国交通系统瘫痪,地铁系统关闭,通讯大规模中断…
为什么会出现这种情况?因为当今的工业控制系统安全不再是“老系统碰上新问题”那么简单,而是传统信息安全问题在工业控制领域的延伸。以往,传统的工业控制系统网络安全防护大多采用隔离网关加杀毒软件的方式:控制网对外基本与世隔绝,内部被认为是完全可靠的安全网络,各功能区域之间很少产生信息传递,就像世外桃源;加上各个主机由于系统漏洞长期不打补丁,杀毒软件病毒特征库长期得不到升级,处于“夜不闭户”状态的工控网络内忧比比皆是。
为了方便数据采集与监控系统更好地收集数据,确保各组件之间通信的顺畅,工业控制系统的网络架构在不断更新换代中变得开放,因为过多重视开放及兼容程度所带来的效率和实时性,当高可用性和业务的连续性成为关键设计理念时,工控系统就不再重视形成有效的工业安全防御和数据通信保密措施。
就像桃源通了公路,“外来人口”大量涌入,使得外患接踵而至,无为而治的防护方式必须加以改变。
近年来,我国工业控制安全产业政策环境持续向好,产业规模得到快速增长,技术体系日益完善,但若要实现工业控制系统自主可控的道路却异常艰难,尤其是在老、新系统都有国外厂商品牌参与其中,关键组件与系统的集成搭建仍由国外厂商实施,核心系统非自主可控,具有国家背景的攻击行为不断增加,这种情况更加令人堪忧。
从市场层面来看,根据工业信息安全产业联盟——前瞻研究院分析:2019年,我国工业信息安全产业规模保持了快速上升之势,我国工业信息安全产业规模为99.74亿元,市场增长率达41.84%;其中,工业互联网安全产业规模为38.3亿元,较2018年同比增长51.62%。虽然疫情会对产业造成一定影响,但经综合研判:2020年我国工业信息安全市场增长率将达23.13%,市场整体规模将增长至122.81亿元。2021年,这个数据将达到157.01亿元。
2019年,我国工业信息安全管理类产品市场规模约为20.178亿元,占市场总额的53%;工业信息安防护类产品市场规模达10.125亿元,占市场总额的26%,防护类产品市场增速有所放缓;工业信息安全服务类产品继续快速增长,市场规模近7.997亿元,占市场总额的21%。
从技术层面来看,工控系统存在服务层、网络层、设备层的问题,由于网络控制高度自动化,每一层都面临潜在被攻击的风险。目前工控系统的安全防护措施主要是构建区域化、网格化的边界防护,建立安全可信的上位控制白环境,并通过基于策略的边界安全防护、流量的实时监测,能AI关联分析,挖掘隐藏的工控现场威胁,来构建分层、分域、分层次的纵深安全防护体系。
这里面涉及的热门的技术有:
白名单——依据工控系统程序特征建立操作系统运行的安全白环境,并且禁止非授信程序运行,不依赖于特征库,不用频繁升级,完美适配工控环境需求。
深度报解析——通过对工业通信协议的深度解析,阻止控制指令中的不合规的控制参数,并进一步解析到工控网络包的应用层,对工控协议进行深度分析,防止应用层协议被篡改或破坏。
工业网络流量安全检测——针对工业生产网络中的过程流量进行解析、检测,恶意代码、病毒、攻击行为等。
动态端口防护——深度解析协议到指令级别,可以跟踪服务器和客户端之间协商的动态端口,最小化开放生产控制网的端口。
网络隔离——通过隔离单元摆渡、单向传输等实现网络的数据安全交换,隔离网络攻击。
通信数据加密——通过密码算法及芯片,对关键通信数据和链路建立加密通信数据通道。增强的工控协议的认证和加密传输功能无需改变底层传输协议,即可实现系统的传输安全。
工业蜜罐主动防御——对系统中所有的操作和行为进行监视和记录,通过对系统进行伪装,使得攻击者在进入到蜜罐系统后并不会知晓其行为已经处于系统的监视中。
恶意代码沙箱——通过了解ICS协议,设备和应用程序,在云端创建虚拟ICS环境(基于云的沙箱),用于执行可疑ICS恶意软件并观察其行为。
监测分析预警——通对工控协议的内容进行解析,实时发现工业网络中的异常行为和对重要工业控制系统的攻击事件后产生告警,为安全防护策略的配置提供参考依据。
机器学习建模——通过机器学习对数据的处理能力,实时监测潜在威胁模式,实时更新模型。
从厂商而言,在安全领域,新玩家及跨界选手层出不穷。尤其是在深耕内循环的时代,核心技术被“卡脖子”,自主可控技术的重要性显得越发重要,国内工控系统厂商、传统信息安全厂商及系统集成商都基于自身在工业领域深耕多年的基因和骨血,力争在工业信息安全领域取得先发优势。
但是,每个厂商的侧重点都有所不同,拿几个有代表性的专门做工控安全厂商来举例:威努特“白环境”方案只让可信任的软件才允许被执行;天地和兴擅长于DPI技术、OT和可信融合技术、ICS威胁检测、ICS威胁情报和猎杀等技术;木链科技提出的“流立方大数据引擎”利用23种通讯协议/13种工控协议的深度语义级别解析,具备了行业领先的协议解析能力;闪藤科技的特色安全保护模型、工业协议和设备的指纹识别技术可内外结合的主机防护模式等...
当然,这个领域里也有从一些综合性玩家,比如浙大中控、启明星辰、东土科技等等。
之前我们提到的技术中,可信计算与白名单加固,是解决安全问题的重要思路之一。工控系统中设备、系统、应用、业务、单一、稳定,需要相对稳定的工控软件环境,与各类复杂的智能算法相比,可信计算技术算法简单、运行效率高,可更好地满足工控系统对实时性的要求。
举个例子,东土科技的完整产品线,在芯片、操作系统、工业应用软件、通信/控制设备,已完全做到自主可控国产化。比如:旗下的工业网络芯片产品内置安全监测能力及高性能数据流加密,利用收发方的共享秘钥进行数据流加密安全传输,保障通过数据均为可信数据;自主研发的细粒度内容解析引擎功能,对工控协议特征进行实时解析和精准的识别,实现指令级甚至值域级精细控制粒度;通过芯片级策略构筑信任网络白环境和工控软件白名单理念,为工控系统构筑“安全白环境”整体防护体系,保护基础设施安全。
在操作系统层,INTEWELL工业级网络操作系统可提供独立的运行环境,运行可信基和自身完整性管理,完成安全检查、入侵防护、身份鉴权、日志与补丁服务与安全加固能力,并在可信基的基础上通过智能调度、报文解析加速等手段,实现报文的全面安全过滤,达到指令级甚至值域级精细控制粒度,尤其适合工业领域应用。
总体来看,工控安全行业还有很长的路要走,任重而道远。但没有网络安全,就没有国家安全,在发展自主可控工业安全技术的路上,相信有很多厂商会一直坚持下去。