一場絕對輸不起的網絡戰爭——現代IT與OT融合協同防御

發布時間 2019-07-03
工業革命帶給了人類文明,極大推動了工業互聯網的飛速發展和生產效率的提高,同時,也加速了工業互聯網的網絡攻擊事件爆發,甚至已上升到國家間的網絡戰。面對如此復雜的國際網絡空間環境,未來,文明的安全如何保障?
 
在2019年中國工業信息安全大會上,啟明星辰總裁嚴立提出了自己的一些思考:信息化、工業化發展到今天,網絡安全已經和工業文明對接,一旦爆發網絡戰,將會對工業文明成果帶來反噬,具有災難性的后果。當今人類社會最大的文明是工業和科技文明,科技安全是整個人類命運共同體最大的文明保障,沒有科技安全就沒有文明的安全。
 
信息技術(IT)和流程技術(OT,Operational Technology)一體化迅速發展、工業控制系統(ICS)與IT的高度互聯互通,這就導致了從研發端、管理端、消費端、生產端任意一端都有可能實現對工業互聯網控制系統的網絡攻擊或病毒傳播,網絡攻擊逐漸從IT滲透到OT環境已成為可能。2018年臺積電生產環境被病毒感染、2019年委內瑞拉的電力設施被網絡攻擊等安全事件充分說明:當今國際網絡空間局勢異常復雜,有針對性的網絡攻擊不是會不會發生而是什么時候會發生的問題,可以說,IT和OT融合協同防御,保護現代OT運行環境的安全,是一場輸不起的網絡戰爭。


OT網絡運行環境  日益惡化



1、漏洞成為了網絡空間安全治理與管理的核心命題

網絡安全漏洞不同于病毒,用現有的技術條件無法實現徹底根除。漏洞本身沒有危害,一旦被利用,極易造成破壞性的后果。對漏洞進行發現和利用需要一定的技術環境條件和時間窗口,攻防兩端便圍繞這個窗口進行對抗博弈。對攻擊者而言,先發現漏洞,就能立即設計漏洞利用機制,開展針對網絡信息系統的破壞攻擊,或出售資料滿足其經濟目的;對防御者而言,先發現漏洞,就可立即著手修補工作,建立免疫機制,有效減少來自網絡的威脅,降低潛在的損失。因此,對于漏洞的發現和利用,成為了網絡攻防博弈的基礎和根源。在這種安全風險不斷增大的復雜網絡空間形勢下,漏洞日益成為各國網絡安全的關鍵資源,也成為了網絡空間安全治理與管理的核心命題。
 
面向網絡空間安全攻防對抗白熱化,以及我國在這一領域與國外先進水平的現存差距,研究突破高效化、規?;?、協同化的漏洞挖掘方法,提升對漏洞資源的掌控和管理能力,已成為維護國家安全和公眾權益的重要保障和迫切需求。

2、工業互聯網系統的網絡攻擊難度逐漸降低

大量工控系統軟硬件設備漏洞及利用方式可通過公開或半公開的渠道獲得,眾多開發者社區發布的工控系統安全事件技術分析報告不斷增多,其中許多技術分析報告給出了網絡攻擊步驟、詳細攻擊代碼甚至攻擊工具等詳細信息,易被黑客獲取、復現以實施網絡攻擊。透過伊朗、烏克蘭、委內瑞拉、俄羅斯所遭受的網絡安全事件,我們可以看出網絡攻擊正呈現出4點深刻的變化:

(1)網絡攻擊的對象已經從傳統的IT系統擴大到關鍵基礎設施;
(2)網絡攻擊的目的已經從獲取經濟利益轉變成為政治利益服務;
(3)網絡攻擊的發起從普通的黑客組織行為變成了國家行為;
(4)網絡攻擊造成的影響已經從虛擬世界擴大到現實世界,甚至影響到一國執政當局的合法性。


工業互聯網安全的根本——IT與OT融合協同防御


1、IT和OT融合協同防御的困難

OT和IT不僅運營方式各異,各自的安全責任也不盡相同,并且歷來抗拒改變并互不信任。在實際的過程中,工業控制系統通常對可靠性、可用性要求非常高,所以,工業控制系統依照GB/T22239-2019等級保護進行IT和OT融合協同防御時,需滿足以下約束條件:
 
1) 在目前原則上安全措施不應對高可用性的工業控制系統基本功能產生不利影響。例如用于基本功能的賬戶不應被鎖定,甚至短暫的也不行;
2) 安全措施的部署不應顯著增加延遲而影響系統響應時間;
3) 對于高可用性的控制系統,安全措施失效不應中斷基本功能等;
4) 經評估對可用性有較大影響而無法實施和落實安全等級保護要求的相關條款時,應進行安全聲明,分析和說明此條款實施可能產生的影響和后果,以及使用的補償措施。

由此可知,在實現OT和IT融合協同防御所面臨的難題遠比其他行業多。

2、針對APT(高級可持續性威脅)攻擊技術的防范研究

IT和OT融合協同防御的重點是防范APT(高級可持續性威脅)攻擊,針對APT攻擊不是能夠依靠單一的技術實現防范和檢測的,針對性的防護需要多個層面安全防護措施的綜合開展:

1) 任何安全短板都可能成為攻擊者的快速通道,只有通過多種安全機制協同工作的體系化防御措施才能夠抵御APT這些高級的持久性攻擊;
2) 通過收集APT攻擊的特征、原理、危害、樣本及分析報告等,并利用多維度的海量數據挖掘和關聯分析技術,實現跨時域、跨設備和跨區域的蹤跡分析,有效地提供針對性的APT安全防護能力;
3) 加強國際合作,協同研究與防范,打擊網絡犯罪及恐怖主義行為;
4) 持續改善IT和OT的安全保障措施,方可使工業控制系統獲得最大程度的保護。

3、IT/OT融合協同安全防御策略

為確保工業互聯網協同能抵御當前復雜的網絡安全威脅,必須采取足夠的安全防御措施,并根據工業互聯網實際的網絡風險優先級,因地制宜地制定有效的IT和OT深度融合的協同防御策略。這其中,最重要的是保護網絡、保護終端、保護控制器。
 
啟明星辰通過對多個典型行業和企業工業互聯網的應用架構進行分析,從平臺安全、網絡安全、數據安全、設備安全和安全運營等多個維度和視角,整理和挖掘工業互聯網在宏觀運營和微觀防護方面的安全需求,力求為國家、行業和用戶提供完整的、高細粒度的工業互聯網網絡安全解決方案。



啟明星辰工業互聯網網絡安全架構設計


4、構建數據驅動的自適應安全防御和反攻擊體系

我國工業互聯網網絡攻擊不只是來自民間的黑客和黑灰產業,更多的來自某些強大的國家級背景的黑客團隊,以及有組織的黑客犯罪集團。因此IT/OT的網絡安全,僅研究其防御技術遠遠不能滿足當前我國的工業互聯網安全的環境的復雜性,還需研究其攻擊原理及攻擊軌跡,進行溯源分析。
 
對于分布范圍廣、系統規模大、設備復雜的關鍵基礎設施,很難同時做到絕對的物理隔離、所有核心設備和組件全部國產化及系統不存在任何可利用的漏洞。只有研究了其攻擊原理和攻擊軌跡等,才能在關鍵基礎設施受到網絡攻擊時有效阻止和誘捕。我國工業互聯網三年規劃明確指出,建設“一網一庫三平臺”,其含義有:

1) 資產分析與網絡測繪系統:對國家的關鍵基礎設施進行全面的網絡測繪,為研究其反制防御提供可靠的網絡信息地圖;
2) 建立完善的知識庫,包括:設備庫、漏洞庫、惡意代碼庫、網絡武器庫等;
3) 建立準確的攻擊溯源和定位系統。

以上分析可知,在當前網絡空間安全復雜情況下,網絡安全防御有新的變化:

1) 由被動監控向主動預防轉變;
2) 由邊界安全向全網安全轉變;
3) 由靜態特征識別向動態異常分析轉變;
4) 由系統安全向業務驅動安全轉變。

最終,網絡安全的所有問題本質上將轉變為大數據分析問題,傳統的應急式安全響應中心將轉變為持續安全響應中心。為了實現這個目標,將從以Policy 策略、Protect 防護、Detect 檢測、Response 響應四個階段組成的PPDR 安全防護體系,轉變為以Predict 預測、Protect 防護、Detect 檢測、Response 響應四個階段組成的新PPDR 閉環安全防護模型,并且在不同階段引入威脅情報、大數據分析、機器學習、云防護等新技術和服務,從而真正構建一個能進行持續性威脅響應、智能化、協同化的自適應安全防護體系。