今日頭條
官方微信
官方抖音
資訊頻道1 引言
工業(yè)安全是個(gè)很大的概念,既包括通常所說的功能安全,也包括現(xiàn)在很火的信息安全,但不管是哪個(gè)方面,工業(yè)企業(yè)的生產(chǎn)安全是首要任務(wù)。即使是工業(yè)信息安全,出現(xiàn)最嚴(yán)重的后果,也是影響企業(yè)的生產(chǎn)。不管如何表述,工業(yè)信息安全,目前已經(jīng)逐步上升到了和功能安全一樣的高度。學(xué)術(shù)界、科技界,正在不斷探討如何將工業(yè)控制系統(tǒng)的功能安全、信息安全、操作安全相融合。因此,工業(yè)信息安全,已經(jīng)是工業(yè)企業(yè)不可或缺的一個(gè)安全要素。
回顧超過百年歷史的工業(yè)發(fā)展歷程,其實(shí)就是工業(yè)控制系統(tǒng)的發(fā)展歷史,就是生產(chǎn)安全的歷史,功能安全由此而生。與控制理論和工程化發(fā)展對(duì)比,信息化的時(shí)間其實(shí)只有短短的幾十年,而信息化應(yīng)用在工業(yè)領(lǐng)域,工控信息安全由此而來。尤其是最近20年,工業(yè)信息安全的歷史有點(diǎn)“黑”。
2 工業(yè)信息安全的“黑”歷史
工業(yè)信息安全,即大家通常所說的工控信息安全,最新的解讀將工業(yè)互聯(lián)網(wǎng)安全也包含在內(nèi)。為何是“黑”歷史?因?yàn)楣た叵到y(tǒng)被“黑”的次數(shù)越來越多。
究其原因,主要是工控人依然以功能安全為主線,并未與時(shí)俱進(jìn)地將信息安全的思想融合在工業(yè)安全的大概念里。因此,澳大利亞污水處理廠、美國(guó)核電站、波蘭地鐵等因信息安全而產(chǎn)生的事故不斷發(fā)生。直到2007年,美國(guó)愛達(dá)荷國(guó)家實(shí)驗(yàn)室搞了一次接近真實(shí)環(huán)境的試驗(yàn),證明了通過網(wǎng)絡(luò)攻擊手段,是可以造成工控系統(tǒng)的物理損壞,為2010年伊朗震網(wǎng)病毒事件的爆發(fā)埋下了伏筆。
一般提到工業(yè)信息安全是必提震網(wǎng)事件的。在2010年后,針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊,包括了大量針對(duì)工控系統(tǒng)的攻擊手段和病毒。2015年又一個(gè)標(biāo)志性事件發(fā)生了——烏克蘭電網(wǎng)停電事件,又是一次被黑,又一次造成了物理損失,最重要的是,我們通常認(rèn)為的黑客,已經(jīng)非常熟悉工業(yè)領(lǐng)域的工藝和工作業(yè)務(wù)流程。2017年,“永恒之藍(lán)”勒索軟件的出現(xiàn),以及隨后的各種變種,目標(biāo)由最初的教育、醫(yī)療領(lǐng)域,轉(zhuǎn)移到了價(jià)值更高的工業(yè)領(lǐng)域,目標(biāo)直指工業(yè)主機(jī),也打破了工業(yè)環(huán)境中,只要病毒木馬不影響生產(chǎn),就可以忽略的現(xiàn)象。“帶病運(yùn)行”的常態(tài),因勒索軟件所打破。
3 “籬笆”還是那個(gè)“籬笆”
籬笆,是用來保護(hù)院子的一種設(shè)施。工控系統(tǒng)的“籬笆”,傳統(tǒng)的方法就是隔離,如物理隔離,以物理鴻溝的方式保護(hù)著工控系統(tǒng)的安全。即使是信息化深入的當(dāng)代,隔離的思維,依然是工控系統(tǒng)的主流防護(hù)措施。比如能源局36號(hào)文,針對(duì)電力監(jiān)控系統(tǒng)安全防護(hù)的要求,在管理信息大區(qū)和生產(chǎn)控制大區(qū)的隔離要求是“接近甚至達(dá)到物理隔離水平”。
即使要求等級(jí)不夠高的工業(yè)領(lǐng)域,信息安全建設(shè)不如電力行業(yè),基本的邊界隔離要求都是有的。物理隔離、邏輯隔離,多種隔離手段兼顧的要求在工業(yè)的各個(gè)領(lǐng)域中都有所提及。隔離即是安全,是普遍的安全思維定式,保護(hù)的效果如何卻無法得到有效的驗(yàn)證。甚至個(gè)別企業(yè)認(rèn)為有個(gè)邊界防護(hù)設(shè)備就萬事大吉,并沒有考慮這個(gè)“籬笆”是否適用于自己、是否真的起到了保護(hù)作用。也就出現(xiàn)了只有透明模式的邊界,內(nèi)部毫無安全防護(hù),工控系統(tǒng)運(yùn)行狀況一目了然的案例出現(xiàn)。
因此,單純的“籬笆”思維,以為隔離即是安全,需要在思想上做出改變。
4 勒索軟件打破了幻想
2017年的“永恒之藍(lán)”勒索病毒爆發(fā),影響面非常廣泛。在應(yīng)對(duì)這起全球性的安全事件過程中,沒有特別的進(jìn)行行業(yè)的區(qū)分和深度分析。而后的事件,卻發(fā)生了很有意思的變化。勒索病毒的目標(biāo),盯上了工業(yè)領(lǐng)域。國(guó)內(nèi)多個(gè)工業(yè)企業(yè)遭受了勒索病毒的攻擊,工業(yè)主機(jī)被鎖、藍(lán)屏,不斷重啟,嚴(yán)重影響了工業(yè)企業(yè)的正常生產(chǎn)。國(guó)內(nèi)某制造企業(yè),因勒索病毒肆虐,導(dǎo)致近一個(gè)月的停產(chǎn)。而在處理此次安全事件過程中發(fā)現(xiàn),邊界設(shè)置了防火墻,但該企業(yè)內(nèi)部是一張大網(wǎng),辦公、OA、財(cái)務(wù)、控制網(wǎng),都可以互聯(lián)互通,野蠻性擴(kuò)張,導(dǎo)致安全漏洞百出,信息安全設(shè)備除了邊界防護(hù)外,一片空白;管理制度形同虛設(shè),移動(dòng)介質(zhì)濫用;除了發(fā)現(xiàn)勒索病毒外,傳統(tǒng)的病毒、木馬竟然有一萬多種。在和企業(yè)人員訪談過程中,控制網(wǎng)有病毒和木馬,已經(jīng)有好多年了,因?yàn)闆]有導(dǎo)致停機(jī)停產(chǎn),也沒做任何安全措施;在處置分析此次安全問題過程中,甚至發(fā)現(xiàn)其用于系統(tǒng)恢復(fù)的GHOST文件,也都被植入了病毒和木馬。其實(shí),這類企業(yè)的安全問題和事件,是一大批企業(yè)的代表。要不是勒索病毒爆發(fā),導(dǎo)致了停產(chǎn),企業(yè)可能仍然不會(huì)真的在意工業(yè)信息安全的建設(shè)。
5 工業(yè)信息安全,從保護(hù)工業(yè)主機(jī)安全開始
經(jīng)過這么多年的工控安全“洗禮”,在很多行業(yè)以及企業(yè),都做了試點(diǎn)驗(yàn)證工作,甚至進(jìn)行了成體系的安全規(guī)劃及建設(shè)。但從美國(guó)ICS-CERT、中國(guó)CNVD和卡巴斯基工控安全應(yīng)急響應(yīng)中心研究報(bào)告中顯示,工控漏洞的數(shù)量并沒有因?yàn)楣た匕踩ㄔO(shè)而減少,反而是逐年增加的趨勢(shì)。但我們相信看到的公開披露的工控安全漏洞,也只是冰山的一角。
在分析這些公開的工控安全漏洞的過程中,我們發(fā)現(xiàn)以工業(yè)主機(jī)運(yùn)行的軟件和通信協(xié)議漏洞占主流。通過調(diào)查,一個(gè)中級(jí)程序員在編寫1000行代碼中就會(huì)存在一個(gè)bug,而工業(yè)軟件的漏洞,大部分集中在軟件bug上。當(dāng)然,發(fā)現(xiàn)工業(yè)主機(jī)軟件漏洞持續(xù)增加,也有其他的原因存在,包括工業(yè)軟件獲取渠道多、成本低;分析研究工業(yè)軟件漏洞的技術(shù)利用IT軟件漏洞分析的經(jīng)驗(yàn)、方法和工具;工業(yè)現(xiàn)場(chǎng)主機(jī)系統(tǒng)老舊,幾乎不做安全更新,漏洞多、防護(hù)差等問題。
工業(yè)環(huán)境之前“帶毒運(yùn)行”是常態(tài),勒索病毒將使此常態(tài)成為過去時(shí)。以前的工業(yè)環(huán)境,只要病毒和木馬未威脅到工業(yè)企業(yè)的正常生產(chǎn),工業(yè)企業(yè)幾乎放任自流,最多因?yàn)椴《竞湍抉R導(dǎo)致系統(tǒng)運(yùn)行緩慢;但勒索病毒的出現(xiàn),打破了這一情況,比如今年8月的臺(tái)積電安全事件,勒索病毒的爆發(fā),導(dǎo)致了業(yè)務(wù)停擺,直接經(jīng)濟(jì)損失近2億美金,毛利率降1%的損失,這還是在有一定安全能力的工業(yè)企業(yè)里發(fā)生的安全事件。其實(shí)國(guó)內(nèi)的工業(yè)企業(yè)也或多或少受到勒索病毒的影響,主要分布在汽車制造、電子制造、煙草、能源等行業(yè)。高價(jià)值、低保護(hù)的工業(yè)主機(jī)將成為網(wǎng)絡(luò)犯罪集團(tuán)理想的勒索攻擊目標(biāo)。
APT攻擊,已經(jīng)不再僅僅停留在“狼來了”階段,而是“狼已經(jīng)來了”。 震網(wǎng)(Stuxnet)、BlackEnergy2、Havex再到烏克蘭停電事件的反復(fù)爆發(fā),以及最近針對(duì)沙特石油天然氣工廠攻擊的Triton/TriSYS。Triton攻擊框架能與施耐德公司的Triconex安全儀表系統(tǒng)控制器(SIS)形成通信交互,通過SIS控制器的重新編程,可導(dǎo)致不可逆轉(zhuǎn)的關(guān)機(jī)操作和設(shè)備物理損害。可以看到,針對(duì)以工控系統(tǒng)為業(yè)務(wù)核心的能源行業(yè)、關(guān)鍵制造業(yè)、水處理行業(yè)等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的攻擊一直在持續(xù)。APT攻擊就像一把達(dá)摩克里斯之劍,高懸在工業(yè)企業(yè)的頭頂,不得不令人擔(dān)憂面對(duì)這些問題和挑戰(zhàn),針對(duì)工控系統(tǒng)的主要威脅進(jìn)行了深度研究,研究結(jié)果是:信息技術(shù)的發(fā)展,工業(yè)互聯(lián)的需求,工業(yè)主機(jī)是IT與OT技術(shù)融合的連接點(diǎn),是信息世界與物理世界的通道和橋梁,也是成本低廉、效果極佳的攻擊實(shí)施點(diǎn)。做好工業(yè)主機(jī)的安全防護(hù)和控制,是極為關(guān)鍵的。因此,針對(duì)工業(yè)企業(yè)的特點(diǎn)、面臨的三大安全威脅,提出了相應(yīng)的三大對(duì)策:
·馬上行動(dòng),工業(yè)信息安全從主機(jī)防護(hù)開始;
·開放心態(tài),建立工控漏洞的協(xié)同治理機(jī)制;
·協(xié)同聯(lián)動(dòng),建立工控安全事件協(xié)同應(yīng)急響應(yīng)機(jī)制。
工業(yè)主機(jī)運(yùn)行環(huán)境是非常特殊的,絕大部分工業(yè)主機(jī)安裝部署后,就不會(huì)再進(jìn)行根本性的升級(jí)、修改;工業(yè)主機(jī)以及軟件的特殊性,以防黑為主的殺毒軟件是很難在工業(yè)環(huán)境中進(jìn)行適配、使用;因此業(yè)內(nèi)普遍采用“白名單”技術(shù)進(jìn)行工業(yè)主機(jī)的安全防護(hù)。
在互聯(lián)網(wǎng)安全領(lǐng)域內(nèi),正是360首次提出了白名單技術(shù),基于白名單機(jī)制建立起來的防惡意代碼軟件,也正是360的強(qiáng)項(xiàng)。因此提出了工業(yè)主機(jī)一體化安全防護(hù)的理念,是以白名單技術(shù)為基礎(chǔ),集成了資產(chǎn)管理、外設(shè)管控、虛擬補(bǔ)丁、準(zhǔn)入控制等功能,并集成特定病毒查殺工具、主機(jī)加固工具等。其中虛擬補(bǔ)丁技術(shù)是很關(guān)鍵的,在工業(yè)主機(jī)不能進(jìn)行補(bǔ)丁更新的情況下,發(fā)現(xiàn)工業(yè)主機(jī)漏洞后,可以采用虛擬補(bǔ)丁技術(shù),結(jié)合白名單機(jī)制,進(jìn)行有效的漏洞防護(hù),不僅僅是禁止非法軟件啟動(dòng),甚至可以防止非法軟件入侵主機(jī)。比如針對(duì)勒索病毒的防護(hù)模塊就是基于此類技術(shù)建立起來的,可以有效地防御勒索病毒。
但在工業(yè)主機(jī)防護(hù)方面,單一的白名單技術(shù)不能做較全面的防護(hù),有些高級(jí)的惡意攻擊代碼可以繞過簡(jiǎn)單的白名單機(jī)制。因此,工業(yè)主機(jī)防護(hù)技術(shù)需要在“白名單”技術(shù)的基礎(chǔ)上,引入“白行為”技術(shù)。
工控系統(tǒng)具備兩個(gè)“有限”:首先是設(shè)備運(yùn)行狀態(tài)是有限的,其次是運(yùn)行狀態(tài)下的控制指令是有限的。工業(yè)主機(jī)防護(hù)同樣具備這樣的特點(diǎn)。控制指令的有限,恰恰證明了工業(yè)主機(jī)的操作行為是穩(wěn)定、可知的,采用大數(shù)據(jù)技術(shù)很容易建立起穩(wěn)定的工業(yè)主機(jī)“白行為”基線,偏離基線的工業(yè)主機(jī)異常行為,也非常容易檢測(cè)到。因此,建立基于工業(yè)主機(jī)為重要節(jié)點(diǎn)的工業(yè)主機(jī)操作“白行為”,通過監(jiān)測(cè)操作行為,擴(kuò)大可知探測(cè)能力、確定已知合法行為、防范未知威脅操作;實(shí)時(shí)監(jiān)視工控系統(tǒng)的資產(chǎn)、操作等,出現(xiàn)異常,實(shí)時(shí)報(bào)警,啟動(dòng)應(yīng)急處置流程;結(jié)合工業(yè)威脅情報(bào)進(jìn)行威脅的追蹤溯源,提供更高強(qiáng)度的工業(yè)主機(jī)主動(dòng)防御能力。
工控系統(tǒng)的縱深防御策略,在不少工業(yè)企業(yè)內(nèi)已經(jīng)進(jìn)行了部署。但安全是動(dòng)態(tài)的,縱深防御更多的是靜態(tài)的防御方式,不具備與時(shí)俱進(jìn)的能力。工業(yè)互聯(lián)網(wǎng)時(shí)代,業(yè)務(wù)的不斷發(fā)展、數(shù)據(jù)量成級(jí)數(shù)增長(zhǎng),以業(yè)務(wù)規(guī)則為核心,建立安全基線,動(dòng)態(tài)地實(shí)時(shí)監(jiān)測(cè)工業(yè)互聯(lián)網(wǎng)的信息流及操作指令,以控制指令有限為原則,監(jiān)測(cè)、告警異常行為,從而建立工業(yè)互聯(lián)網(wǎng)的“白行為”知識(shí)庫(kù),建立以實(shí)時(shí)監(jiān)測(cè)為基礎(chǔ)的安全運(yùn)營(yíng)體系。
安全的本質(zhì):漏洞是源頭、響應(yīng)是最佳實(shí)踐。因此針對(duì)安全事件的應(yīng)急響應(yīng)機(jī)制的建立,同樣迫在眉睫。安全響應(yīng)不僅僅只是安全廠商的事情,應(yīng)該是工業(yè)用戶、自動(dòng)化廠商、安全廠商聯(lián)動(dòng),共同解決棘手的安全問題,共建一個(gè)良好的安全應(yīng)急響應(yīng)機(jī)制。
6 總結(jié)
綜上所述,工業(yè)信息安全的體系,到目前為止還是在不斷的發(fā)展階段,雖然靜態(tài)的縱深防御策略普遍被業(yè)內(nèi)人所認(rèn)可,但安全是動(dòng)態(tài)的、持續(xù)的,單純的“扎籬笆”已經(jīng)被證明是嚴(yán)重不足的。只有加強(qiáng)工業(yè)主機(jī)安全,建立安全基礎(chǔ),以實(shí)時(shí)監(jiān)測(cè)技術(shù)建立行為基線,以聯(lián)動(dòng)的安全響應(yīng)為保障,才可有效地解決工業(yè)企業(yè)的工控信息安全的老大難問題。
作者簡(jiǎn)介
李 航,男,高級(jí)工程師、高級(jí)等保測(cè)評(píng)師,畢業(yè)于山東大學(xué),碩士。現(xiàn)任360企業(yè)安全技術(shù)(北京)集團(tuán)有限公司工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理,原工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室工業(yè)安全檢測(cè)中心主任,從事工控信息安全研究和工作,主要針對(duì)工控安全漏洞發(fā)現(xiàn)、驗(yàn)證,工控系統(tǒng)信息安全防護(hù)體系設(shè)計(jì)與實(shí)施等,參與多個(gè)工控安全國(guó)家標(biāo)準(zhǔn),工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室技術(shù)委員會(huì)委員,參與G20峰會(huì)網(wǎng)絡(luò)安全保障工作,被聘為專家組專家成員,曾榮獲部級(jí)科技進(jìn)步三等獎(jiǎng)。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)