啟明星辰智能安全運營保障工業企業安全無憂
作者:啟明星辰
2022-03-04
據報道���,3月1日某汽車14家工廠28條生產線停工一天����,約造成1.3萬輛的產量損失��,占某汽車日本產量的5%����,而導致停工的原因是零部件供應商受到了“勒索軟件”入侵����,諸如此類工業勒索事件不勝枚舉����,已經成為工業企業安全運營的頭號大敵�����。
多維度升級 威脅程度逐步加重
目標多樣化:當前���,工業勒索入侵的重點進一步聚焦在產業鏈影響較大的工業企業關鍵業務系統和服務器上�����,如數據庫服務器�����、OPC服務器等�,并逐漸蔓延至工業移動端����,大有愈演愈烈的趨勢�。
行為復雜化:入侵者常以勒索軟件為掩護�����,針對核心工業企業實施有組織性的網絡破壞或間諜行動��,竊取企業關鍵�����、敏感��、核心的數據���。
方式專業化:入侵者針對工業系統難以修補的漏洞進行更為隱蔽的自動滲透��,從而進入局域網內的工業服務器�����,形成“一臺中招�����,一片遭殃”的情況�����。通過行業供應鏈傳播勒索軟件是目前更為難以防御的入侵方式�����。
范圍擴大化:以往工業勒索入侵的范圍主要集中于信息化與網絡化程度高��、產業影響巨大的工業企業��,借此獲得更高的贖金����,然而現已拓展至諸多關鍵基礎設施和重要行業領域�。
軟硬兼施 主要威脅解析
從前序的工業勒索特點分析���,工業環境的威脅主要存在于在5類工業端點主機:工業設備����、網關�、服務器�、應用或第三方系統的客戶端����。這些主機極易受到僵木蠕�、灰色軟件����、后門病毒����、感染性病毒和漏洞等多種形態的病毒威脅或惡意軟件的入侵����,是工業安全難以防御的頭號大敵���。
從對象上看����,工業互聯網面臨的主要安全威脅有:
1)對物理安全的硬入侵��,對工業設備網絡或調試等物理接口進行遠程破壞����,以達到惡意追蹤或非法使用的目的�����;
2)對操作系統�����、應用程序��、協議接口漏洞等軟入侵:通過入侵邊緣設備或服務器操作系統上的脆弱性端點�����,達到對設備節點控制�����、數據非法訪問和篡改的目的�。
貫徹場景化思維 “六部曲”保護工業互聯網安全
一����、建立長效徹底的網絡安全機制與體系
1)全面收斂面向互聯網的入侵暴露面:互聯網暴露面越廣�,越容易成為入侵者的首選目標�,需要持續加強互聯網出口管控��,對全域的下屬子公司及其二��、三級單位互聯網出口實現統一管控���。
2)規范互聯網訪問機制:全面啟用VPN雙因素認證�����,清退各類違規互聯網訪問�����、遠程接入賬號���。
3)IT/OT環境統一的身份認證及行為監測機制:在工業企業全域實施統一的網絡準入控制系統����、桌面安全管理系統�、防病毒系統��,遵循“準入必合規”原則�,對終端入網實現身份驗證和安全管控�。
4)覆蓋全生命周期的風險發現與處置機制:形成常態化的系統上線前安全規劃及代碼審計�、上線時驗收測評���、運行過程中風險評估與安全檢查的機制�����,并開展安全專項治理工作���,平戰結合���,形成長效機制����。
二���、構建深度融合業務和網絡安全的智能化運營體系
1)基于“集約化�、智能化��、精益化”的網絡安全監測體系:資產管理與態勢感知相結合的自動化監測是落實“三化六防”����、實行安全運營的關鍵手段����。通過資產測繪����,明確資產歸屬���,形成資產臺賬���;通過對入侵者的入侵方法�����、路徑��、套路進行分析與提煉��,形成定制策略�,精準識別入侵者的掃描踩點�、漏洞利用���、權限提升��、橫向滲透等行為�����,實現安全事件的監測��、通報����、驗證�、防御�、取證���、處置�、應急等����。同時關注互聯網上泄露的企業敏感信息�。
2)基于“實戰化”的縱深防御體系:實施涵蓋網絡隔離���、主機防護�����、數據防護���、邊界防護�、漏洞掃描����、配置核查����、病毒防范��、入侵檢測��、安全審計等方面的“等?�!焙弦幗ㄔO�,構建防惡意軟件傳播�、防惡意控制指令���、防邊界滲透等安全防護能力�����,滿足工業企業的實際縱深防御要求���。
3)基于數字孿生技術的工業環境對抗試驗體系:滿足工業企業針對高可靠性�、實時性要求的工業控制系統��、核心應用系統的安全配置測試����、設備漏洞測試��、安全設備測試等安全相關驗證測試�����,并提供基于實戰化的場景化應急演練及安全培訓能力�����。
三��、提升基于網絡對抗思維的威脅主動誘捕能力
針對工業企業不同的工作區域���,通過算法重構不同目的誘餌��、不同功能的基于孿生技術的仿真系統�����,設置有針對性的網絡入侵“陷阱”�����,“誘捕”入侵者現身����,結合陷阱���、誘捕����、欺騙和軟硬件入侵利用等方法���,捕獲高質量的關鍵溯源線索�、保護控制對象��,形成結合主動溯源進行對抗出擊的縱深化的主動防御體系�。
如在工業企業經營網的入口���、二級�����、三級機構的關鍵業務節點分別部署仿真業務流程且具有目標特征誘餌的誘捕系統���,真實模擬各業務節點的生產運營�����、控制業務系統的場景����,引誘真實入侵者����,捕獲勒索�、后門等入侵行為�����,溯源身份信息等���,通過入侵者的設備指紋���、位置���、IP地址等信息�����,快速���、精準定位入侵者信息���,達到主動誘捕�����、溯源和主動防御的多重目的��。
四����、完善網絡供應鏈的安全防護與管控能力
我國工業企業的部分關鍵設備��、工業設計軟件��、工業OS等部件重度依賴國外企業�����,存在極其嚴峻的供應鏈潛在威脅����,這些威脅極其隱蔽且不受控性極強����,即使加強使用過程中的管理流程����,也很難清除��,成為目前最大的不易控制的動態安全風險�����,加大了企業的被入侵面�����。
《網絡安全審查辦法》���、《網絡安全產業高質量發展三年行動計劃(2021-2023年)》等多項政策文件���,從知識產權布局�、信創產業建設��、技術安全保障等多個方面����,提出通過技術手段應對網絡供應鏈斷供和網絡入侵問題���,針對工業企業存量系統的供應鏈安全比較有效的方式有:
1)數通產品采用具有國家獨立知識產權的產品���,在良好適配的情況下快速替代���,尤其是核心區域的實時數據庫��、存儲設備�����、核心交換機等��。
2)融合AI��、區塊鏈���、可信計算等新技術��,采用工業安全標識�����、安全審查���、產品溯源�����、逆向分析��、威脅評估����、攻防演練等手段���,加強對不同應用系統的工業設備(系統)的深度安全檢測及其防御技術研究�����,尤其是協議逆向分析�、大流量安全分析等研究�����。
3)在關鍵工藝和關鍵環節實施強安全性評估�����,防止因配置錯誤導致后門����、漏洞等問題而產生安全威脅����。
五����、打造以高素質人才為核心協同高效運營團隊
網絡對抗其實就是人與人(組織與組織)之間的對抗�,在網絡安全人才整體緊缺的大背景下,可以借用網絡安全第三方專業機構����,如啟明星辰的技術能力�,結合企業自身的人才特點形成人才梯隊培育模式并建設攻防演練實訓靶場�����,培育網安隊伍����。同時����,統一調配各專業小組和外圍機動力量�����,協同進行態勢監控和響應��,形成上下一體�����、協同聯動的運營體系�����,實現整體防控��、系統防控�����。
六����、提高工業數據安全防護能力
工業數據是數字經濟時代提高企業生產力的關鍵要素���,按照其屬性特征可以分為:設備數據�、業務系統數據�、知識庫數據����、用戶個人數據等��。根據其敏感程度可以分為:一般數據�����、重要數據和核心數據�,涉及數據采集��、傳輸����、存儲�����、處理等各環節���。對于工業數據安全防護����,覆蓋包括數據收集��、傳輸�����、存儲���、處理等在內的全生命周期的各個環節��,采取數據著權��、數據加密���、訪問控制�����、業務隔離��、接入認證����、數據脫敏等多種防護措施���。
智能安全運營 保障工業企業高枕無憂
工業企業可以依托企業自身的監測能力���、通過工業聯網企業網絡安全分類分級建設�,并將企業側監測平臺接入到省級工業互聯網安全態勢感知平臺�,依賴“國家-省級-企業”三級集約化技術能力����,提升工業企業網絡安全監測感知與精確預警能力���,保障地理分布廣域的工業企業的安全生產運營����。
啟明星辰集團憑借強大的網絡安全建設能力及豐富的安全運營經驗積累�����,推出全套運作穩定的安全產品�,如北斗智能運營平臺�、威脅集中化分析平臺TAR����、異常行為監測分析CSplus��、工業誘捕系統�、工業防火墻���、工業過濾網閘等�,可以幫助工業企業建設集約化的網絡安全監測與大數據分析平臺��,構建基于安全運營的專業化安全監測與服務保障體系��,支撐政府安全監管��,支持企業安全責任落實�����,助力中國工業企業安全平穩完成數字化轉型�。
京公網安備11010802024551號