根據國家工業信息安全發展研究中心發布的《2020年工業信息安全態勢報告》,國內低防護聯網工業控制系統數量激增,高危漏洞占比居高不下,工業互聯網安全形勢嚴峻。截至2018年底,低防護聯網工業控制系統數量約3000余臺/套,到2019年底增加到了5000余臺/套,2020年較2019年同期增長了375%。漏洞層面,截至2020年,國家工業信息安全漏洞庫(CICSVD)共收錄工業信息安全漏洞2138個,較2019年上升22.2%,高危及以上漏洞占比高達62.5%。
杭州木鏈物聯網科技有限公司解決方案部總監 陳超先生
4月10日,由中國電子信息產業集團有限公司主辦,中國電子信息產業集團有限公司第六研究所、《電子技術應用》雜志社等承辦的CITE2021工業互聯網發展與安全峰會在深圳隆重舉行。杭州木鏈物聯網科技有限公司解決方案部總監陳超先生以“工業互聯網態勢感知發展探究”為題發表了主旨演講,分析了網絡安全態勢感知的現狀,闡述了木鏈科技對工業互聯網態勢感知的理解及認知,并對工業互聯網態勢感知的發展進行了展望。
木鏈科技是一家面向工業互聯網,專注于工控系統安全產品開發、技術研究的國家高新技術企業。其背靠浙江大學,結合國內領先的高速數據處理引擎組群和工業協議深度解析能力,形成了一套自主安全的技術體系,為企業客戶提供了從工業生產網絡到工業互聯網的整體解決方案,已在軍工、電力、軌道交通、石油化工、鋼鐵、智能制造等多個行業落地成熟案例。
網絡安全態勢感知現狀
工業互聯網態勢感知是指通過采集工業互聯網流量、資產、日志、告警、安全處置數據和第三方數據,利用統計分析和數據挖掘等方法,分析網絡行為及用戶行為,識別能引起工業互聯網態勢變化的安全要素,從而展示整個網絡當前的安全狀態并預測未來發展趨勢。
“態勢感知的出現將過去以防火墻、路徑檢測等產品為主的被動防御帶入了分析、預測、聯動方向為主的主動防御時代。” 陳超表示。
目前國內工業互聯網的安全形勢嚴峻,企業側面臨了一系列挑戰。
工業企業側面臨的挑戰
在政策法規層面,從《中華人民共和國網絡安全法》到工信部《工業互聯網企業網絡安全分類分級管理指南(試行)》再到“十四五”規劃和2035年遠景目標綱要,都提到了健全相關的預警和通報體系。
在態勢感知的相關標準研制方面,目前國內主要是由全國信息安全標準化技術委員會(TC260)和中國通信標準化協會(CCSA)牽頭制定一系列的態勢感知標準,相關標準絕大部分都處于在研的狀態。“在整個行業內,態勢感知相關標準的缺失直接導致了態勢感知研制廠商和各類平臺建設單位缺乏相關的數據標準,在數據對接、平臺對接和威脅情報共享方面帶來了一系列困難。” 陳超指出。
關于工業互聯網態勢感知功能的現狀,木鏈科技總結了五點,主要包括:數據獲取、數據處理、監測分析、可視化展示和響應處置五大功能。其中,前四大功能在行業內做得相對較好,響應處置目前在功能實現上還比較薄弱,無法實現真正的閉環操作。
隨著相關需求的擴大,網絡安全態勢感知的市場規模也將逐年擴大。據相關數據顯示, 2019年國內態勢感知的市場規模約為32億元,預計今年2021年將達到54億元左右,在國內整個網絡安全市場中的占比在6%左右。可以看出國內的態勢感知市場在未來有較大的提升空間。
工業互聯網態勢感知與傳統態勢感知存在差異
目前工業互聯網安全呈現出了一些新特點,陳超歸納為以下四點:
(1)海量設備和系統的接入加大了安全防護的難度,設備之間互聯互通導致攻擊路徑增多,將傳統網絡安全問題延伸到了整個工業互聯網的領域;
(2)企業在進行工業互聯網平臺建設時會運用到云平臺和云計算技術,在云環境下安全風險跨域傳播的級聯效應愈發明顯,工業數據面臨的安全風險與日俱增;
(3)企業間的工業控制系統和工藝流程方面差異較大,對業互聯網態勢感知建設的需求各不相同;
(4)通過工業互聯網安全態勢感知實現工控網絡安全的主動防御,保障生產系統安全運行不中斷是工業企業的核心關注點。
基于這些特點,木鏈科技認為工業互聯網的態勢感知與傳統的態勢感知存在至少兩個方面的差異:
(1)工業互聯網態勢感知會更加貼合用戶的業務場景。目前整個工業互聯網態勢感知的市場目標客戶主要包括兩類:第一類是監管類態勢感知平臺,對象主要是工信、公安等;第二類是關鍵信息基礎設施保護類態勢感知,對象主要是各行業的工業企業客戶等。這一類客戶在進行工業互聯網態勢感知建設時首先關注的是四個方面:
一是現場工控系統品牌眾多,通訊協議各不相同,怎么將這些協議和通訊內容識別出來;
二是工業現場設備多種多樣,因而需要采集的工業種類特別多;
三是在企業數字化轉型的過程中,傳統IT企業理解不夠;
四是貼合用戶的業務場景才能真正實現降本增效。
(2)在工業互聯網態勢感知建設中,核心知識庫的積累關鍵。態勢感知在實現現場數據采集到最終威脅呈現過程中,需要靠核心知識庫進行相關的賦能。核心知識庫的好壞或者所積累的深度、廣度直接關系到工業互聯網態勢感知的好壞。
工業互聯網態勢感知發展展望
關于工業互聯網態勢感知發展,陳超指出了未來的三個方向:業務融合化、安全內生化、信息爆炸化。
·業務融合化
通常的項目在進行相關網絡安全建設時,會先從底層去建設完整的安全防護體系。之后,通過在公司層面或集團層面建立相關網絡安全態勢感知平臺,將安全信息收集起來進行相關網絡威脅分析等一系列操作。
而工業互聯網的建設有所不同,企業更關注整個業務系統的安全,首先建立融合業務的集中化監測,在此基礎上融入信息安全相關的數據和內容來實現整個融合業務的工業互聯網態勢感知平臺的建設。因此在建設思路上有相應的區別。
關于業務融合化,陳超舉例說明。
上圖從工業互聯網上微機界面看到-999℃的數值,這明顯是一個有問題的數值。問題的來源是由于現場的儀表故障所造成的,還是由于PLC故障導致的傳輸錯誤,還是遭遇網絡攻擊所產生的錯誤……如果為了網絡安全,需要聯動IT部門、儀表部門一起檢查問題的所在,是比較費時費力的事情。
如果有了一個融合業務,融合了生產安全和信息安全的一套工業互聯網態勢感知平臺,由于其本身接入了生產數據和信息安全數據,因此做相關問題的溯源定位就非常簡單容易。
·安全內生化
工業互聯網態勢感知平臺的建設以不引入新的風險點為前提,同時逐步實現工業控制系統的內生安全。
如果要實現內生安全,首先要做國產化,實現安全的軟硬件環境;同時進行相關自主設計來實現自主協議的通信,通過以上兩個方向實現安全內升化的工作。
·信息爆炸化
企業在建設工業互聯網態勢感知時,不只有自身數據接入辦公系統、工控系統和物聯網終端設備,在企業的外部會對接到工業互聯網平臺、外部供應鏈企業以及工業APP,多方位來源數據的接入,需要一個強大的大數據處理能力來支撐。
陳超介紹,木鏈科技在多方面開展了技術創新。
在工控協議的深度解析方面,市面上常見的解析方式有兩種:
第一,采用在交換機中抓取相關的流量做語義猜測。通過抓取相關的數據包之后對其中一些字段進行替換分析,完成語義猜測。實現起來比較簡單,但是對協議解析的深度不夠,解析的字段較少。
第二,通過固件逆向的方式。通過上位機和下位機提取相關固件,對于固件進行反編譯和反匯編等操作,變成二進制代碼,通過對二進制的逆向能夠完整地還原出整個工業協議字段所代表的意思。
木鏈科技在第二種方式上有較深的技術積累。結合協議解析的一些手段,目前在指令級解析的基礎上做到了更深層次語義級的深度解析能力。
在自主協議設計方面,木鏈科技也在積極探索自主安全的工業協議設置。通常的工業控制系統中的通訊,一般是上位機正向的通訊方式,由上位機發起,下位機開啟固定的端口接收相關的數據和指令。因此,下位機非常容易被識別以及收到相關攻擊。
反向通訊就是由下位機發起相應的通訊請求,只有建立通訊的上位機才能給下位機發射相關的數據和指令,以此簡單地把下位機面臨的防護壓力轉移到上位機,同時針對上位機采用成熟的防護手段來提供安全防護。
在高速數據處理引擎方面,由于數據來源廣泛,為了能實時對數據內容進行處理,就需要強大的數據處理引擎來支撐。木鏈科技在數據采集、協議解析、數據存儲、異常分析過程中都采用了相關的高速數據處理引擎技術,實現對海量數據的實時分析。
應用案例
到底態勢感知系統是如何運行的?陳超列舉了兩個案例加以介紹。
·工信部工控安全態勢感知節點應用試點項目
工信部本身建立了國家級公共安全態勢感知平臺,但是在企業側的數據采集上相對薄弱。木鏈科技的工控安全態勢感知節點項目在10家試點企業進行了部署,一方面捕捉網絡攻擊的行為,另一方面將采集到的數據上傳到國家平臺,為國家級態勢感知的監測賦能。
·中船集團某所安全靶場及威脅情報中心建設項目
中船集團某所的安全靶場和威脅情報項目最大的特色是通過雙平臺的方式去建設,威脅情報中心(即工業互聯網態勢感知平臺)所抓取到的威脅可以在靶場平臺中進行復現和防護效果驗證,實現對安全處置工作的閉環管理。
“木鏈科技深知作為一家工控安全企業,單獨的力量很難推動工業互聯網安全的發展,需要建立安全生態,希望相關的政府部門、高等院校、系統廠商和科研機構能一起合力為工業企業的安全賦能,實現政用產學研協同發展!” 陳超在最后呼吁各界合力建生態,協同某發展。