2020年1月份前后，網(wǎng)上爆出50萬臺(tái)服務(wù)器、路由器和IoT設(shè)備telnet密碼泄露事件，隨后類似的事件頻頻出現(xiàn)，包括網(wǎng)絡(luò)攝像頭的信息泄露等，這些事件反映出一個(gè)真實(shí)的現(xiàn)狀，那就是大量的工業(yè)OT設(shè)備在互聯(lián)網(wǎng)中處于一種“裸奔”狀態(tài)，而對(duì)于黑客而言，在弱口令存在的情況下其攻擊成本極其低廉。

 

　　工業(yè)互聯(lián)網(wǎng)相對(duì)缺乏安全防護(hù)經(jīng)驗(yàn)

 

　　不幸的是，以上這種安全事件恰恰就是目前工業(yè)互聯(lián)網(wǎng)安全所面臨的一種尷尬現(xiàn)實(shí)。盛邦安全技術(shù)總監(jiān)聶曉磊表示，“相對(duì)于通用行業(yè)的網(wǎng)絡(luò)安全而言，工業(yè)互聯(lián)網(wǎng)的安全經(jīng)驗(yàn)相對(duì)欠缺，通用行業(yè)的網(wǎng)絡(luò)安全已經(jīng)經(jīng)歷過多年的攻防錘煉，不同領(lǐng)域不同層面的安全建設(shè)思路已有一定的基礎(chǔ)，而工業(yè)互聯(lián)網(wǎng)當(dāng)中引入的新場景則缺乏這樣的經(jīng)驗(yàn)，實(shí)際問題包括專有協(xié)議的兼容、特定系統(tǒng)環(huán)境的適配、OT資產(chǎn)的識(shí)別和安全檢測，以及大量未知安全漏洞爆發(fā)后的應(yīng)急響應(yīng)等等。”

 

 

盛邦安全技術(shù)總監(jiān)聶曉磊

 

　　另外，對(duì)于工業(yè)互聯(lián)網(wǎng)而言，安全所帶來的影響將會(huì)更大。聶曉磊指出，“工業(yè)互聯(lián)網(wǎng)當(dāng)中的系統(tǒng)一旦出現(xiàn)安全問題，可能影響倒監(jiān)控層、控制層，甚至直接破壞生產(chǎn)系統(tǒng)，帶來的是直接的經(jīng)濟(jì)損失，影響的是關(guān)鍵基礎(chǔ)設(shè)施的穩(wěn)定性，相對(duì)于通用行業(yè)的網(wǎng)絡(luò)安全而言所造成的影響會(huì)更大。”

 

　　同時(shí)，聶曉磊指出，隨著IT與OT的不斷融合，工業(yè)互聯(lián)網(wǎng)將面臨幾種典型風(fēng)險(xiǎn)：

 

　　第一，暴露面安全風(fēng)險(xiǎn)。一方面，大量的控制系統(tǒng)和OT設(shè)備直接暴露在互聯(lián)網(wǎng)當(dāng)中，存在安全隱患；另一方面，隨著智能制造等新舉措的實(shí)施，原本封閉在內(nèi)部網(wǎng)絡(luò)當(dāng)中的控制系統(tǒng)會(huì)逐漸開放更多的調(diào)用接口給外部程序，這就加大了暴露面風(fēng)險(xiǎn)。

 

　　第二，漏洞利用攻擊。工業(yè)互聯(lián)網(wǎng)當(dāng)中各種系統(tǒng)和程序也不可避免的存在安全漏洞，而工業(yè)系統(tǒng)的漏洞直接影響到生產(chǎn)安全，如果被黑客利用將直接造成核心系統(tǒng)被接管或關(guān)鍵設(shè)施遭到破壞。

 

　　第三，勒索病毒。基于工業(yè)互聯(lián)網(wǎng)安全隔離和訪問控制上可能存在的弱點(diǎn)，各類生產(chǎn)制造企業(yè)遭受勒索病毒的案例越來越多，且影響范圍廣，生產(chǎn)損失大，是工業(yè)互聯(lián)網(wǎng)面臨的嚴(yán)重威脅之一。

 

 

　　在聶曉磊看來，網(wǎng)絡(luò)空間資產(chǎn)測繪體系和SASE（即“安全訪問服務(wù)邊緣”）將是未來工業(yè)互聯(lián)網(wǎng)應(yīng)用的兩大基石，而零信任會(huì)成為工業(yè)互聯(lián)網(wǎng)末端接入SASE云服務(wù)采用的重要安全接入技術(shù)。同時(shí)AI也會(huì)成為工業(yè)互聯(lián)網(wǎng)智能化發(fā)展不可或缺的技術(shù)，以及態(tài)勢感知也將為工業(yè)互聯(lián)網(wǎng)發(fā)展提供必要的態(tài)勢分析。

 

　　據(jù)聶曉磊介紹，網(wǎng)絡(luò)空間資產(chǎn)測繪體系是通過主動(dòng)探測的方式對(duì)網(wǎng)絡(luò)內(nèi)各類軟硬件資產(chǎn)進(jìn)行發(fā)現(xiàn)、識(shí)別和安全檢測，并基于探測結(jié)果進(jìn)行資產(chǎn)畫像、信息檢索、問題定位和分析研判的一套大數(shù)據(jù)資產(chǎn)測繪平臺(tái)。基于DPDK的無狀態(tài)探測引擎、IPv4、IPv6雙棧探測和協(xié)議深度檢測等核心技術(shù)，網(wǎng)絡(luò)空間資產(chǎn)測繪體系可以對(duì)工業(yè)互聯(lián)網(wǎng)當(dāng)中的工控設(shè)備、物聯(lián)網(wǎng)設(shè)備、專用系統(tǒng)，以及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)、組件、Web系統(tǒng)和云平臺(tái)基礎(chǔ)設(shè)施等各類資產(chǎn)數(shù)據(jù)進(jìn)行發(fā)現(xiàn)和深度識(shí)別，并利用針對(duì)性的漏洞PoC來實(shí)現(xiàn)安全檢測，從而形成對(duì)工業(yè)互聯(lián)網(wǎng)暴露面的有效監(jiān)測，在安全事件爆發(fā)時(shí)進(jìn)行快速的問題定位、綜合研判和影響分析，從而做出準(zhǔn)確的響應(yīng)決策。

 

　　而SASE架構(gòu)將網(wǎng)絡(luò)和安全服務(wù)融合到一個(gè)以用戶、設(shè)備和應(yīng)用身份為中心的基于云的平臺(tái)中。SASE基于SD-WAN技術(shù)，集成了敏捷、自動(dòng)化、CARTA（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）、ZTNA（零信任網(wǎng)絡(luò)訪問）、AdvanceAPT防護(hù)等技術(shù)，為企業(yè)建成一個(gè)無中心平面化的全程加密，并融合諸多安全功能的安全“私有云”，使得任何用戶（員工、供應(yīng)商、第三方），在任何位置（公司、遠(yuǎn)程、WIFI），用任何設(shè)備（公司設(shè)備、個(gè)人設(shè)備、物聯(lián)網(wǎng)），可安全訪問部署在任何地方的應(yīng)用（內(nèi)網(wǎng)應(yīng)用、云應(yīng)用、SaaS服務(wù)、云基礎(chǔ)設(shè)施）。而當(dāng)安全接入到這一“私有云”時(shí)，則需要采用零信任的技術(shù)。

 

　　聶曉磊認(rèn)為，“SASE的理念，與工業(yè)互聯(lián)網(wǎng)應(yīng)用場景，可以說是不謀而合。”

 

　　此外，聶曉磊還特別強(qiáng)調(diào)，“通用的安全產(chǎn)品和解決方案不能直接套用在工業(yè)互聯(lián)網(wǎng)環(huán)境當(dāng)中，針對(duì)工業(yè)互聯(lián)網(wǎng)獨(dú)有的安全需求和特點(diǎn)，安全技術(shù)和產(chǎn)品必須先做到對(duì)該領(lǐng)域網(wǎng)絡(luò)架構(gòu)和專有協(xié)議的理解和兼容，在此基礎(chǔ)上設(shè)計(jì)合理的解決方案。例如資產(chǎn)探測或漏洞檢測等能力，必須做到對(duì)特定協(xié)議的深度解析，并同步積累OT資產(chǎn)指紋信息及對(duì)應(yīng)的漏洞規(guī)則，這樣才能真正發(fā)揮出安全產(chǎn)品及方案的有效作用。”

 

　　總之，針對(duì)工業(yè)互聯(lián)網(wǎng)安全，聶曉磊認(rèn)為，在做好5G、云計(jì)算等新技術(shù)應(yīng)用的同時(shí)也要做好相應(yīng)暴露面資產(chǎn)和風(fēng)險(xiǎn)的監(jiān)測，并積極擁抱新興安全技術(shù)，加快資產(chǎn)測繪、零信任和SASE等應(yīng)用的理解和落地，以便結(jié)合工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)和要求來同步構(gòu)建行業(yè)的最佳實(shí)踐。

 

　　最后，聶曉磊講到：“未來已來，在新基建的浪潮下，我們必須加快腳步，同步推進(jìn)工業(yè)互聯(lián)網(wǎng)領(lǐng)域相關(guān)政策、標(biāo)準(zhǔn)、技術(shù)試點(diǎn)和應(yīng)用方案的構(gòu)建，確保工業(yè)互聯(lián)網(wǎng)能夠安全、穩(wěn)步的前行。”