今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業安全是個很大的概念,既包括通常所說的功能安全,也包括現在很火的信息安全,但不管是哪個方面,工業企業的生產安全是首要任務。即使是工業信息安全,出現最嚴重的后果,也是影響企業的生產。不管如何表述,工業信息安全,目前已經逐步上升到了和功能安全一樣的高度。學術界、科技界,正在不斷探討如何將工業控制系統的功能安全、信息安全、操作安全相融合。因此,工業信息安全,已經是工業企業不可或缺的一個安全要素。
回顧超過百年歷史的工業發展歷程,其實就是工業控制系統的發展歷史,就是生產安全的歷史,功能安全由此而生。與控制理論和工程化發展對比,信息化的時間其實只有短短的幾十年,而信息化應用在工業領域,工控信息安全由此而來。尤其是最近20年,工業信息安全的歷史有點“黑”。
2 工業信息安全的“黑”歷史
工業信息安全,即大家通常所說的工控信息安全,最新的解讀將工業互聯網安全也包含在內。為何是“黑”歷史?因為工控系統被“黑”的次數越來越多。
究其原因,主要是工控人依然以功能安全為主線,并未與時俱進地將信息安全的思想融合在工業安全的大概念里。因此,澳大利亞污水處理廠、美國核電站、波蘭地鐵等因信息安全而產生的事故不斷發生。直到2007年,美國愛達荷國家實驗室搞了一次接近真實環境的試驗,證明了通過網絡攻擊手段,是可以造成工控系統的物理損壞,為2010年伊朗震網病毒事件的爆發埋下了伏筆。
一般提到工業信息安全是必提震網事件的。在2010年后,針對關鍵基礎設施的攻擊,包括了大量針對工控系統的攻擊手段和病毒。2015年又一個標志性事件發生了——烏克蘭電網停電事件,又是一次被黑,又一次造成了物理損失,最重要的是,我們通常認為的黑客,已經非常熟悉工業領域的工藝和工作業務流程。2017年,“永恒之藍”勒索軟件的出現,以及隨后的各種變種,目標由最初的教育、醫療領域,轉移到了價值更高的工業領域,目標直指工業主機,也打破了工業環境中,只要病毒木馬不影響生產,就可以忽略的現象。“帶病運行”的常態,因勒索軟件所打破。
3 “籬笆”還是那個“籬笆”
籬笆,是用來保護院子的一種設施。工控系統的“籬笆”,傳統的方法就是隔離,如物理隔離,以物理鴻溝的方式保護著工控系統的安全。即使是信息化深入的當代,隔離的思維,依然是工控系統的主流防護措施。比如能源局36號文,針對電力監控系統安全防護的要求,在管理信息大區和生產控制大區的隔離要求是“接近甚至達到物理隔離水平”。
即使要求等級不夠高的工業領域,信息安全建設不如電力行業,基本的邊界隔離要求都是有的。物理隔離、邏輯隔離,多種隔離手段兼顧的要求在工業的各個領域中都有所提及。隔離即是安全,是普遍的安全思維定式,保護的效果如何卻無法得到有效的驗證。甚至個別企業認為有個邊界防護設備就萬事大吉,并沒有考慮這個“籬笆”是否適用于自己、是否真的起到了保護作用。也就出現了只有透明模式的邊界,內部毫無安全防護,工控系統運行狀況一目了然的案例出現。
因此,單純的“籬笆”思維,以為隔離即是安全,需要在思想上做出改變。
4 勒索軟件打破了幻想
2017年的“永恒之藍”勒索病毒爆發,影響面非常廣泛。在應對這起全球性的安全事件過程中,沒有特別的進行行業的區分和深度分析。而后的事件,卻發生了很有意思的變化。勒索病毒的目標,盯上了工業領域。國內多個工業企業遭受了勒索病毒的攻擊,工業主機被鎖、藍屏,不斷重啟,嚴重影響了工業企業的正常生產。國內某制造企業,因勒索病毒肆虐,導致近一個月的停產。而在處理此次安全事件過程中發現,邊界設置了防火墻,但該企業內部是一張大網,辦公、OA、財務、控制網,都可以互聯互通,野蠻性擴張,導致安全漏洞百出,信息安全設備除了邊界防護外,一片空白;管理制度形同虛設,移動介質濫用;除了發現勒索病毒外,傳統的病毒、木馬竟然有一萬多種。在和企業人員訪談過程中,控制網有病毒和木馬,已經有好多年了,因為沒有導致停機停產,也沒做任何安全措施;在處置分析此次安全問題過程中,甚至發現其用于系統恢復的GHOST文件,也都被植入了病毒和木馬。其實,這類企業的安全問題和事件,是一大批企業的代表。要不是勒索病毒爆發,導致了停產,企業可能仍然不會真的在意工業信息安全的建設。
5 工業信息安全,從保護工業主機安全開始
經過這么多年的工控安全“洗禮”,在很多行業以及企業,都做了試點驗證工作,甚至進行了成體系的安全規劃及建設。但從美國ICS-CERT、中國CNVD和卡巴斯基工控安全應急響應中心研究報告中顯示,工控漏洞的數量并沒有因為工控安全建設而減少,反而是逐年增加的趨勢。但我們相信看到的公開披露的工控安全漏洞,也只是冰山的一角。
在分析這些公開的工控安全漏洞的過程中,我們發現以工業主機運行的軟件和通信協議漏洞占主流。通過調查,一個中級程序員在編寫1000行代碼中就會存在一個bug,而工業軟件的漏洞,大部分集中在軟件bug上。當然,發現工業主機軟件漏洞持續增加,也有其他的原因存在,包括工業軟件獲取渠道多、成本低;分析研究工業軟件漏洞的技術利用IT軟件漏洞分析的經驗、方法和工具;工業現場主機系統老舊,幾乎不做安全更新,漏洞多、防護差等問題。
工業環境之前“帶毒運行”是常態,勒索病毒將使此常態成為過去時。以前的工業環境,只要病毒和木馬未威脅到工業企業的正常生產,工業企業幾乎放任自流,最多因為病毒和木馬導致系統運行緩慢;但勒索病毒的出現,打破了這一情況,比如今年8月的臺積電安全事件,勒索病毒的爆發,導致了業務停擺,直接經濟損失近2億美金,毛利率降1%的損失,這還是在有一定安全能力的工業企業里發生的安全事件。其實國內的工業企業也或多或少受到勒索病毒的影響,主要分布在汽車制造、電子制造、煙草、能源等行業。高價值、低保護的工業主機將成為網絡犯罪集團理想的勒索攻擊目標。
APT攻擊,已經不再僅僅停留在“狼來了”階段,而是“狼已經來了”。 震網(Stuxnet)、BlackEnergy2、Havex再到烏克蘭停電事件的反復爆發,以及最近針對沙特石油天然氣工廠攻擊的Triton/TriSYS。Triton攻擊框架能與施耐德公司的Triconex安全儀表系統控制器(SIS)形成通信交互,通過SIS控制器的重新編程,可導致不可逆轉的關機操作和設備物理損害。可以看到,針對以工控系統為業務核心的能源行業、關鍵制造業、水處理行業等國家關鍵基礎設施的攻擊一直在持續。APT攻擊就像一把達摩克里斯之劍,高懸在工業企業的頭頂,不得不令人擔憂面對這些問題和挑戰,針對工控系統的主要威脅進行了深度研究,研究結果是:信息技術的發展,工業互聯的需求,工業主機是IT與OT技術融合的連接點,是信息世界與物理世界的通道和橋梁,也是成本低廉、效果極佳的攻擊實施點。做好工業主機的安全防護和控制,是極為關鍵的。因此,針對工業企業的特點、面臨的三大安全威脅,提出了相應的三大對策:
·馬上行動,工業信息安全從主機防護開始;
·開放心態,建立工控漏洞的協同治理機制;
·協同聯動,建立工控安全事件協同應急響應機制。
工業主機運行環境是非常特殊的,絕大部分工業主機安裝部署后,就不會再進行根本性的升級、修改;工業主機以及軟件的特殊性,以防黑為主的殺毒軟件是很難在工業環境中進行適配、使用;因此業內普遍采用“白名單”技術進行工業主機的安全防護。
在互聯網安全領域內,正是360首次提出了白名單技術,基于白名單機制建立起來的防惡意代碼軟件,也正是360的強項。因此提出了工業主機一體化安全防護的理念,是以白名單技術為基礎,集成了資產管理、外設管控、虛擬補丁、準入控制等功能,并集成特定病毒查殺工具、主機加固工具等。其中虛擬補丁技術是很關鍵的,在工業主機不能進行補丁更新的情況下,發現工業主機漏洞后,可以采用虛擬補丁技術,結合白名單機制,進行有效的漏洞防護,不僅僅是禁止非法軟件啟動,甚至可以防止非法軟件入侵主機。比如針對勒索病毒的防護模塊就是基于此類技術建立起來的,可以有效地防御勒索病毒。
但在工業主機防護方面,單一的白名單技術不能做較全面的防護,有些高級的惡意攻擊代碼可以繞過簡單的白名單機制。因此,工業主機防護技術需要在“白名單”技術的基礎上,引入“白行為”技術。
工控系統具備兩個“有限”:首先是設備運行狀態是有限的,其次是運行狀態下的控制指令是有限的。工業主機防護同樣具備這樣的特點。控制指令的有限,恰恰證明了工業主機的操作行為是穩定、可知的,采用大數據技術很容易建立起穩定的工業主機“白行為”基線,偏離基線的工業主機異常行為,也非常容易檢測到。因此,建立基于工業主機為重要節點的工業主機操作“白行為”,通過監測操作行為,擴大可知探測能力、確定已知合法行為、防范未知威脅操作;實時監視工控系統的資產、操作等,出現異常,實時報警,啟動應急處置流程;結合工業威脅情報進行威脅的追蹤溯源,提供更高強度的工業主機主動防御能力。
工控系統的縱深防御策略,在不少工業企業內已經進行了部署。但安全是動態的,縱深防御更多的是靜態的防御方式,不具備與時俱進的能力。工業互聯網時代,業務的不斷發展、數據量成級數增長,以業務規則為核心,建立安全基線,動態地實時監測工業互聯網的信息流及操作指令,以控制指令有限為原則,監測、告警異常行為,從而建立工業互聯網的“白行為”知識庫,建立以實時監測為基礎的安全運營體系。
安全的本質:漏洞是源頭、響應是最佳實踐。因此針對安全事件的應急響應機制的建立,同樣迫在眉睫。安全響應不僅僅只是安全廠商的事情,應該是工業用戶、自動化廠商、安全廠商聯動,共同解決棘手的安全問題,共建一個良好的安全應急響應機制。
6 總結
綜上所述,工業信息安全的體系,到目前為止還是在不斷的發展階段,雖然靜態的縱深防御策略普遍被業內人所認可,但安全是動態的、持續的,單純的“扎籬笆”已經被證明是嚴重不足的。只有加強工業主機安全,建立安全基礎,以實時監測技術建立行為基線,以聯動的安全響應為保障,才可有效地解決工業企業的工控信息安全的老大難問題。
作者簡介
李 航,男,高級工程師、高級等保測評師,畢業于山東大學,碩士。現任360企業安全技術(北京)集團有限公司工業互聯網安全事業部副總經理,原工業控制系統信息安全技術國家工程實驗室工業安全檢測中心主任,從事工控信息安全研究和工作,主要針對工控安全漏洞發現、驗證,工控系統信息安全防護體系設計與實施等,參與多個工控安全國家標準,工業控制系統信息安全技術國家工程實驗室技術委員會委員,參與G20峰會網絡安全保障工作,被聘為專家組專家成員,曾榮獲部級科技進步三等獎。
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號