無孔不入的工控安全問題,該如何破局?
http://www.moduwu.com 2021-01-13 09:06 來源:中國工業新聞網
雖然互聯網的普及推動了技術的進步與革新,但也幫助黑客擴大了其攻擊范圍,上至工業控制系統,下至家用攝像頭,都可能成為他們無孔不入的目標。
在工業圈,近期比較引人注目的信息是:工業電腦廠商研華公司部分服務器被黑客攻擊,黑客提出750個比特幣的贖金要求(約合8280萬人民幣),并且支付贖金后才會移除所有植入該公司網絡的木馬程序,刪除所盜走的資料。后已逐步復原。
不管是遭遇勒索還是系統破壞,一旦遭遇網絡安全問題,企業都將面臨業務中斷及高額損失的風險。類似這種事件在工業領域不足為奇:美國在2007~2008年初對伊朗鈾濃縮工廠發動的“震網”攻擊,即便過去多年后仍令人記憶猶新;2014年,有黑客攻擊了德國境內的一間鋼廠,入侵造成了物理設施的損壞,并干擾了工廠的控制系統,使得高爐無法正常關閉,導致嚴重的經濟損失;2019年3月,委內瑞拉國內大部分地區停電,全國交通系統癱瘓,地鐵系統關閉,通訊大規模中斷…
為什么會出現這種情況?因為當今的工業控制系統安全不再是“老系統碰上新問題”那么簡單,而是傳統信息安全問題在工業控制領域的延伸。以往,傳統的工業控制系統網絡安全防護大多采用隔離網關加殺毒軟件的方式:控制網對外基本與世隔絕,內部被認為是完全可靠的安全網絡,各功能區域之間很少產生信息傳遞,就像世外桃源;加上各個主機由于系統漏洞長期不打補丁,殺毒軟件病毒特征庫長期得不到升級,處于“夜不閉戶”狀態的工控網絡內憂比比皆是。
為了方便數據采集與監控系統更好地收集數據,確保各組件之間通信的順暢,工業控制系統的網絡架構在不斷更新換代中變得開放,因為過多重視開放及兼容程度所帶來的效率和實時性,當高可用性和業務的連續性成為關鍵設計理念時,工控系統就不再重視形成有效的工業安全防御和數據通信保密措施。
就像桃源通了公路,“外來人口”大量涌入,使得外患接踵而至,無為而治的防護方式必須加以改變。
近年來,我國工業控制安全產業政策環境持續向好,產業規模得到快速增長,技術體系日益完善,但若要實現工業控制系統自主可控的道路卻異常艱難,尤其是在老、新系統都有國外廠商品牌參與其中,關鍵組件與系統的集成搭建仍由國外廠商實施,核心系統非自主可控,具有國家背景的攻擊行為不斷增加,這種情況更加令人堪憂。
從市場層面來看,根據工業信息安全產業聯盟——前瞻研究院分析:2019年,我國工業信息安全產業規模保持了快速上升之勢,我國工業信息安全產業規模為99.74億元,市場增長率達41.84%;其中,工業互聯網安全產業規模為38.3億元,較2018年同比增長51.62%。雖然疫情會對產業造成一定影響,但經綜合研判:2020年我國工業信息安全市場增長率將達23.13%,市場整體規模將增長至122.81億元。2021年,這個數據將達到157.01億元。
2019年,我國工業信息安全管理類產品市場規模約為20.178億元,占市場總額的53%;工業信息安防護類產品市場規模達10.125億元,占市場總額的26%,防護類產品市場增速有所放緩;工業信息安全服務類產品繼續快速增長,市場規模近7.997億元,占市場總額的21%。
從技術層面來看,工控系統存在服務層、網絡層、設備層的問題,由于網絡控制高度自動化,每一層都面臨潛在被攻擊的風險。目前工控系統的安全防護措施主要是構建區域化、網格化的邊界防護,建立安全可信的上位控制白環境,并通過基于策略的邊界安全防護、流量的實時監測,能AI關聯分析,挖掘隱藏的工控現場威脅,來構建分層、分域、分層次的縱深安全防護體系。
這里面涉及的熱門的技術有:
白名單——依據工控系統程序特征建立操作系統運行的安全白環境,并且禁止非授信程序運行,不依賴于特征庫,不用頻繁升級,完美適配工控環境需求。
深度報解析——通過對工業通信協議的深度解析,阻止控制指令中的不合規的控制參數,并進一步解析到工控網絡包的應用層,對工控協議進行深度分析,防止應用層協議被篡改或破壞。
工業網絡流量安全檢測——針對工業生產網絡中的過程流量進行解析、檢測,惡意代碼、病毒、攻擊行為等。
動態端口防護——深度解析協議到指令級別,可以跟蹤服務器和客戶端之間協商的動態端口,最小化開放生產控制網的端口。
網絡隔離——通過隔離單元擺渡、單向傳輸等實現網絡的數據安全交換,隔離網絡攻擊。
通信數據加密——通過密碼算法及芯片,對關鍵通信數據和鏈路建立加密通信數據通道。增強的工控協議的認證和加密傳輸功能無需改變底層傳輸協議,即可實現系統的傳輸安全。
工業蜜罐主動防御——對系統中所有的操作和行為進行監視和記錄,通過對系統進行偽裝,使得攻擊者在進入到蜜罐系統后并不會知曉其行為已經處于系統的監視中。
惡意代碼沙箱——通過了解ICS協議,設備和應用程序,在云端創建虛擬ICS環境(基于云的沙箱),用于執行可疑ICS惡意軟件并觀察其行為。
監測分析預警——通對工控協議的內容進行解析,實時發現工業網絡中的異常行為和對重要工業控制系統的攻擊事件后產生告警,為安全防護策略的配置提供參考依據。
機器學習建模——通過機器學習對數據的處理能力,實時監測潛在威脅模式,實時更新模型。
從廠商而言,在安全領域,新玩家及跨界選手層出不窮。尤其是在深耕內循環的時代,核心技術被“卡脖子”,自主可控技術的重要性顯得越發重要,國內工控系統廠商、傳統信息安全廠商及系統集成商都基于自身在工業領域深耕多年的基因和骨血,力爭在工業信息安全領域取得先發優勢。
但是,每個廠商的側重點都有所不同,拿幾個有代表性的專門做工控安全廠商來舉例:威努特“白環境”方案只讓可信任的軟件才允許被執行;天地和興擅長于DPI技術、OT和可信融合技術、ICS威脅檢測、ICS威脅情報和獵殺等技術;木鏈科技提出的“流立方大數據引擎”利用23種通訊協議/13種工控協議的深度語義級別解析,具備了行業領先的協議解析能力;閃藤科技的特色安全保護模型、工業協議和設備的指紋識別技術可內外結合的主機防護模式等...
當然,這個領域里也有從一些綜合性玩家,比如浙大中控、啟明星辰、東土科技等等。
之前我們提到的技術中,可信計算與白名單加固,是解決安全問題的重要思路之一。工控系統中設備、系統、應用、業務、單一、穩定,需要相對穩定的工控軟件環境,與各類復雜的智能算法相比,可信計算技術算法簡單、運行效率高,可更好地滿足工控系統對實時性的要求。
舉個例子,東土科技的完整產品線,在芯片、操作系統、工業應用軟件、通信/控制設備,已完全做到自主可控國產化。比如:旗下的工業網絡芯片產品內置安全監測能力及高性能數據流加密,利用收發方的共享秘鑰進行數據流加密安全傳輸,保障通過數據均為可信數據;自主研發的細粒度內容解析引擎功能,對工控協議特征進行實時解析和精準的識別,實現指令級甚至值域級精細控制粒度;通過芯片級策略構筑信任網絡白環境和工控軟件白名單理念,為工控系統構筑“安全白環境”整體防護體系,保護基礎設施安全。
在操作系統層,INTEWELL工業級網絡操作系統可提供獨立的運行環境,運行可信基和自身完整性管理,完成安全檢查、入侵防護、身份鑒權、日志與補丁服務與安全加固能力,并在可信基的基礎上通過智能調度、報文解析加速等手段,實現報文的全面安全過濾,達到指令級甚至值域級精細控制粒度,尤其適合工業領域應用。
總體來看,工控安全行業還有很長的路要走,任重而道遠。但沒有網絡安全,就沒有國家安全,在發展自主可控工業安全技術的路上,相信有很多廠商會一直堅持下去。
相關新聞
- ? IDC 2024年中國智能工控安全審計市場份額報告正式發布
- ? 破局增長壓力,AI或成增長新動能:IDC 2024年中國智能工控防火墻市場份額報告正式發布
- ? 智能化提速!工控安全市場規模2026年或超百億
- ? 需求釋放,增速喜人 IDC 2022年中國工控安全審計市場份額報告正式發布
- ? 工控安全獨角獸Dragos遭勒索軟件攻擊
- ? 龍芯攜手中國工聯院等成立“新型工業控制系統聯合實驗室”
- ? 龍頭廠商大漲114.37%,工業互聯網安全迎來風口?
- ? Forescout發布“冰瀑”報告 披露56個重大OT漏洞
- ? 中國工控安全行業崛起 四大國資再入股威努特
- ? 未來5年,全球工控安全市場規模或達223億美元
編輯精選
