为了帮助厘清工业设施面临的真实安全威胁以及刚性合规要求,安全419推出《工业网络安全解决方案》系列访谈,希望为工业企业运营者提升安全保障能力提供参考借鉴。本期,我们走进浙江木链物联网科技有限公司(以下简称 木链科技),一睹他们在该领域的思考和积累。
木链科技受益于陈纯院士技术指导,于2017年在杭州成立,目前拥有“5+2”产品线,涵盖工控网络安全实验室、工业互联网安全运营平台以及5大类20余款标准化产品。擅长以创新技术为关键信息基础设施和工业企业提供安全保护,提升安全韧性,构建高质量发展安全屏障。
工业领域的攻防对抗是一场没有硝烟的战争
如果翻看近十年的全球网络安全大事记,能够被层层筛选记录在册的受攻击目标,总是不乏能源、水务、交通等等举足轻重的工业设施。木链科技解决方案高级经理胡镖对此表示,自从2010年伊朗核电站遭受“震网”病毒袭击开始,针对工业领域的攻击就再也没有停止过。演变至今,甚至成为网络空间对抗的一个高地,首先是因为大部分的工业设施都属于一个国家的关键信息基础设施,承载着亿万民众的生产生活,一旦遭到功能破坏或者数据泄露,就可能严重危害国计民生、公共利益和国家安全,工业行业大国重器一般的功能使命,让其成为大国博弈的一个衍生点,工业网络成为继海陆空天之外的第五战场。
除了外部环境的日益恶劣,工业领域自身的发展也导致了更加复杂的安全形势。在“震网”病毒问世之前,人们相信封闭的工业环境不可能遭受网络层面的攻击,物理隔离就足够无敌。随着信息化及数字化技术向工业领域延展,两化融合、工业互联网等进程的积极推进,带动了工业行业的革新与高质量发展,也引入了原本只存在于IT环境中的网络安全风险。加之OT层面还会面临的漏洞、缺陷等风险,针对工业领域的整个攻击链被极度扩大。
工业化起步晚 导致我国工业安全建设滞后
在这样普遍而严峻的安全形势之下,我国的工业行业自然也无法独善其身,据胡镖介绍,受制于安全意识与安全能力的局限,国内大部分工业企业面临的安全挑战,甚至比国际形势还要更加不容乐观。
整体上,相比于西方国家,我国的工业化建设起步较晚,许多核心的工业控制系统、工业生产设备采用的都是国外产品,对于其设计逻辑、工业协议的理解并不全面,距离自主可控仍有较大挑战。这就导致我国整体的工业安全基础比较薄弱,无论法规政策的顶层设计,还是关键技术的创新突破,都仍在逐步地建立健全过程中。
与之对应的,工业发展尚处于追赶阶段,安全意识不到位的情况在工业领域尤为普遍。一些企业注重生产与质量,而安全作为一种偏隐性价值的投入,并不在管理者的首要考虑范围内,其对于推行工业互联网建设可能带来的安全隐患认识不足,目前仍然需要监管部门的大力宣贯和长期的市场培育去形成影响和共识。
另一个普遍存在的挑战在于专业人才的缺失。因为工业环境的特殊性,要求其安全建设既需要掌握信息安全专业技能,又需要掌握自动化等业务场景及流程,因为担心安全部署影响业务的连续性,许多企业的安全实施非常浅显,仅仅只在IT与OT之间加一道防护隔离,没有匹配业务的针对性防护方案,难以达成有效的安全目标。
那么,工业领域到底会面临哪些安全威胁?胡镖为大家总结了以下三方面:
首当其冲的就是勒索攻击,这已成为黑客团伙最直观也能带来最大利益的一种方式。Group-IB近期发布的一份报告显示,过去三年,勒索攻击在全球网络威胁领域内保持着稳固的领先地位,初始访问代理(IAB)和勒索软件即服务(RaaS)的扩张让勒索业务持续增长。2021年的平均赎金要求提高了45%,达到24.7万美元,受害者的宕机时间从2020年的18天增加到2021年的22天。可以看出,勒索攻击的演化越来越复杂。
第二类是针对不同工业设施的定向攻击。比如:针对水厂工业控制设备的入侵,通过调整水中化学物质的含量,试图给饮用水“投毒”;针对风电厂的恶意破坏,篡改设备的运行状态,突然触发制动以损坏涡轮机等核心设备……这类攻击以破坏工业设施的功能为目标,可以辐射影响一定区域内居民的公共利益,多为具有政治诉求的专业集团进行的国家级对抗,因此其往往拥有较为丰厚的资源和高超的能力,识别与防御都比较艰巨。
还有一类是目前越来越频发的数据泄露。随着数据在各行各业都成为重要的生产要素,竞争对手或者以获利为主的黑客团伙会紧盯工业组织的生产数据或业务数据,通过双重勒索、APT攻击、社会工程学攻击等多种手段盗取这些高价值数据。这对工业企业的影响是非常深远的,相关调研显示,数据泄露造成的成本,包括财务成本和负面声誉,可能在一年后都还会持续地产生。
三重安全水平递增的定制化方案 匹配不同安全成熟度的市场需求
工业领域的安全现状迫在眉睫,作为专门为工业企业提供安全防护方案与服务的企业,公开资料显示,木链科技目前已经打造了包括防护、监测、管理、检测、攻防在内的5大类20余款标准化产品和覆盖主流工业行业的安全解决方案。
而胡镖立足于用户需求的视角,为我们介绍了木链科技三类安全能力水平依次递增的建设思路和方案体系。
一、建设基础安全防护架构
对于没有安全基础或安全建设比较薄弱的工业企业,首先需要满足网安法、等保2.0、关基保护条例等国家及行业层面要求的、最基本的安全保障义务。木链科技提出了“三位一体”的安全体系整体架构——
安全技术体系,以企业安全现状为切入点,从结构安全、行为安全、主机安全和集中管控四个层面形成纵深防御的防护体系,构造企业工控安全的技术屏障;
安全服务体系,以企业实际需求为出发带点,从风险评估、合规咨询、渗透测试、漏洞扫描、攻防演练、安全运维、教育培训和应急响应八个维度实现安全产品与安全服务的有机结合,提高企业安全威胁感知能力;
安全管理体系,以企业具体业务为落脚点,以综合管理平台为支撑,采用微服务架构、灵活的定制化组合,建设一体化管理技术平台。通过内置制度管理、人员管理、建设管理、运维管理和管理机构模块,实现等级保护基本要求中安全管理部分的切实落地,建立安全技术与安全管理相结合的双轮驱动机制。
木链科技三位一体安全体系架构
总体而言,依托安全技术体系为基础,大幅提升企业检测审计与动态防御能力,实现对网络各层级威胁全面感知与协同防御的目的;依靠安全管理体系为支撑,加强企业运维管理与安全保障能力,满足技术手段与管理措施相结合的立体化防护要求;依赖安全服务体系为保障,提高企业风险管控与应急响应能力,达到了对系统威胁与安全事件的精准定位并迅速掌控的效果。
三大体系彼此补充、相互支撑、协同运作,可以满足等保2.0建设需求以及关键信息基础设施安全建设标准。
二、提升风险感知、应对能力
在满足基础合规安全防护要求之后,下一阶段,侧重于为工业企业打造主动防御能力,从被动响应的层次进阶到能够主动地、有针对性地发现识别生产环境和办公环境中的脆弱环节、入侵行为等安全隐患。通过部署控网络攻击诱捕系统(俗称“蜜罐”)及工业互联网安全运营平台(俗称“工业态势感知”)来提升风险感知、应对能力。
工控网络攻击诱捕系统:基于欺骗伪装技术,通过在攻击者入侵的关键路径上部署诱饵,诱导攻击者进入与真实网络隔离带蜜网,可识别并捕获利用新型 0day 漏洞的高级 APT 攻击,全面感知威胁。
据胡镖介绍,木链团队基于多年网络攻防经验打造的这款工控蜜罐全面支持工控协议解析与仿真,支持高度自定义蜜罐数据,使蜜罐蜜网环境和真实环境更加契合,具备极强伪装性和欺骗性,系统可自动化记录攻击者的全部入侵过程和遗留文件,精准识别攻击意图,自动化完整取证溯源。
工业互联网安全运营平台:集安全可视化、监测、预警和响应处置于一体,通过集中收集、分析客户工控环境的资产、日志、流量等安全相关的数据,借助大数据、机器学习、智能分析等技术,对网络内部的违规资产、风险行为进行实时监测,网络外部攻击事件的预警及研判,实现网络风险的主动探知。
木链科技结合用户实际需求,基于星期五实验室(专注于工控安全前沿技术研究的安全团队)工控协议语义级解析、工控漏洞深度挖掘分析能力,参照行业特性定制化开发工业互联网安全运营平台,从识别认定、安全防护、检测评估、监测预警、应急处置环节实现业务信息系统的统一安全保障和闭环,同时基于可视化技术对现场安全数据进行实时分析展示,为管理层、执行层提供辅助决策和运维指导。
三、构建一体化安全管理体系
当企业具备了基础安全防护能力以及针对安全威胁的主动应对能力后,木链科技将结合工控网络安全靶场构建企业的仿真验证体系。其中安全防护体系负责对安全风险事件进行处置、防护,安全监测体系用于感知网络安全风险、同时联动安全产品对风险进行处置,仿真验证体系负责对安全处置策略进行验证、对安全防护体系的有效性进行推演,三者形成一套闭环的、可定制的工业企业安全管理体系。
其自主研发的工控网络安全靶场是集仿真、实训、竞赛、演练、测试等功能为一体的安全实战演练平台,通过虚拟化、虚实结合组网等技术,能够低成本、高效率地仿真出接近真实的工控网络环境和企业网络环境,并具备可视化拓扑组网引擎,丰富靶标资源,第三方接入支撑,多样化赛事支持,定制化教学课程,创新性高阶安全工具等功能,方便企业进行网络体系规划验证、人才教学培训、能力测试评估、安全攻防演练、安全赛事承建、产品研发试验、产品安全性测试、前沿技术评估等任务。
木链科技工控网络安全靶场核心功能
胡镖介绍,该工控网络安全靶场构建了专业的、高并发的、高可靠的底层平台和架构,可满足用户大规模应用需求,具备高开放性和灵活性,强自主性和拓展性等特点,可不断融合云计算、数字孪生、固件分析等新型技术。且聚焦工控网络安全结合传统网络安全,行业属性突出,亦可针对军工、电力能源、钢铁、智能制造等细分行业用户的个性化诉求提供专业定制化开发。
夯实技术研究 以定制化服务、多样化技术和工程实施提升行业安全水平
在木链科技的整体方案思路中,与市场中大部分工业安全企业提供标准化产品的方式大相径庭,胡镖表示,其聚焦于从底层与源头解决工业安全难题,全线产品均采用松耦合技术架构,与用户深度绑定,完全贴近实际业务场景和个性化需求,提供灵活的产品定制服务。
这种规划策略源于木链科技的企业基因、自身定位与市场判断。胡镖表示,工业互联网持续深化推进的过程中,产生的市场安全需求必然是更加复杂多元的,不同规模与领域的客户的业务场景不一致,安全成熟度不一致,安全诉求也不一致,基于木链科技的技术优势与基因——具备深度协议解析、高效数据处理等底层研究能力,其响应市场需求、提升自身竞争力的解法是与客户达成深层次的绑定,更加侧重于与行业头部企业、科研机构等一起探索、打磨一些前沿的、创新的,甚至是目前暂时没有市场化但具有行业发展指向意义的项目与课题,将其技术实力、研究能力应用到更广泛的生产现场和办公场景,推动工业领域整体安全水平的提升。而木链科技自身,也逐渐从一家工控安全企业,晋升为工业互联网安全领域多样化技术和工程建设的卓越者。
“我们相信,工业安全行业的发展形势是一路向好的,行业共建需要不同的角色,市场需要侧重于提供标准化产品的企业,也需要有我们这样更擅长基础性的技术研究、解决复杂安全问题的企业,大家各自把自己的专业和优势发挥价值最大化,相互协同协作,整个行业生态才会更加健康长久。”胡镖说道。
写在最后
安全419《工业网络安全解决方案》系列访谈意在探讨分析我国工业企业面临的重重安全挑战,通过分享展示不同的安全解决方案的差异和优势,为工业企业开展网络安全建设工作提供一定的参考。本系列选题将持续更新,欢迎更多有相关思考探索、技术能力的安全厂商和企业用户跟大家分享自己的实践经验,帮助更多企业用户在波谲云诡的网络空间和日益严苛的监管下安全发展。
Copyright © 2005-2021 网信安全世界版权所有