2020年1月份前后,網上爆出50萬臺服務器、路由器和IoT設備telnet密碼泄露事件,隨后類似的事件頻頻出現,包括網絡攝像頭的信息泄露等,這些事件反映出一個真實的現狀,那就是大量的工業OT設備在互聯網中處于一種“裸奔”狀態,而對于黑客而言,在弱口令存在的情況下其攻擊成本極其低廉。
工業互聯網相對缺乏安全防護經驗
不幸的是,以上這種安全事件恰恰就是目前工業互聯網安全所面臨的一種尷尬現實。盛邦安全技術總監聶曉磊表示,“相對于通用行業的網絡安全而言,工業互聯網的安全經驗相對欠缺,通用行業的網絡安全已經經歷過多年的攻防錘煉,不同領域不同層面的安全建設思路已有一定的基礎,而工業互聯網當中引入的新場景則缺乏這樣的經驗,實際問題包括專有協議的兼容、特定系統環境的適配、OT資產的識別和安全檢測,以及大量未知安全漏洞爆發后的應急響應等等。”
盛邦安全聶曉磊:SASE理念與工業互聯網安全場景不謀而合
盛邦安全技術總監聶曉磊
另外,對于工業互聯網而言,安全所帶來的影響將會更大。聶曉磊指出,“工業互聯網當中的系統一旦出現安全問題,可能影響倒監控層、控制層,甚至直接破壞生產系統,帶來的是直接的經濟損失,影響的是關鍵基礎設施的穩定性,相對于通用行業的網絡安全而言所造成的影響會更大。”
同時,聶曉磊指出,隨著IT與OT的不斷融合,工業互聯網將面臨幾種典型風險:
第一,暴露面安全風險。一方面,大量的控制系統和OT設備直接暴露在互聯網當中,存在安全隱患;另一方面,隨著智能制造等新舉措的實施,原本封閉在內部網絡當中的控制系統會逐漸開放更多的調用接口給外部程序,這就加大了暴露面風險。
第二,漏洞利用攻擊。工業互聯網當中各種系統和程序也不可避免的存在安全漏洞,而工業系統的漏洞直接影響到生產安全,如果被黑客利用將直接造成核心系統被接管或關鍵設施遭到破壞。
第三,勒索病毒。基于工業互聯網安全隔離和訪問控制上可能存在的弱點,各類生產制造企業遭受勒索病毒的案例越來越多,且影響范圍廣,生產損失大,是工業互聯網面臨的嚴重威脅之一。
如何轉變工業互聯網的安全窘境
在聶曉磊看來,網絡空間資產測繪體系和SASE(即“安全訪問服務邊緣”)將是未來工業互聯網應用的兩大基石,而零信任會成為工業互聯網末端接入SASE云服務采用的重要安全接入技術。同時AI也會成為工業互聯網智能化發展不可或缺的技術,以及態勢感知也將為工業互聯網發展提供必要的態勢分析。
據聶曉磊介紹,網絡空間資產測繪體系是通過主動探測的方式對網絡內各類軟硬件資產進行發現、識別和安全檢測,并基于探測結果進行資產畫像、信息檢索、問題定位和分析研判的一套大數據資產測繪平臺。基于DPDK的無狀態探測引擎、IPv4、IPv6雙棧探測和協議深度檢測等核心技術,網絡空間資產測繪體系可以對工業互聯網當中的工控設備、物聯網設備、專用系統,以及網絡設備、安全設備、終端設備、應用系統、操作系統、組件、Web系統和云平臺基礎設施等各類資產數據進行發現和深度識別,并利用針對性的漏洞PoC來實現安全檢測,從而形成對工業互聯網暴露面的有效監測,在安全事件爆發時進行快速的問題定位、綜合研判和影響分析,從而做出準確的響應決策。
而SASE架構將網絡和安全服務融合到一個以用戶、設備和應用身份為中心的基于云的平臺中。SASE基于SD-WAN技術,集成了敏捷、自動化、CARTA(持續自適應風險與信任評估)、ZTNA(零信任網絡訪問)、AdvanceAPT防護等技術,為企業建成一個無中心平面化的全程加密,并融合諸多安全功能的安全“私有云”,使得任何用戶(員工、供應商、第三方),在任何位置(公司、遠程、WIFI),用任何設備(公司設備、個人設備、物聯網),可安全訪問部署在任何地方的應用(內網應用、云應用、SaaS服務、云基礎設施)。而當安全接入到這一“私有云”時,則需要采用零信任的技術。
聶曉磊認為,“SASE的理念,與工業互聯網應用場景,可以說是不謀而合。”
此外,聶曉磊還特別強調,“通用的安全產品和解決方案不能直接套用在工業互聯網環境當中,針對工業互聯網獨有的安全需求和特點,安全技術和產品必須先做到對該領域網絡架構和專有協議的理解和兼容,在此基礎上設計合理的解決方案。例如資產探測或漏洞檢測等能力,必須做到對特定協議的深度解析,并同步積累OT資產指紋信息及對應的漏洞規則,這樣才能真正發揮出安全產品及方案的有效作用。”
總之,針對工業互聯網安全,聶曉磊認為,在做好5G、云計算等新技術應用的同時也要做好相應暴露面資產和風險的監測,并積極擁抱新興安全技術,加快資產測繪、零信任和SASE等應用的理解和落地,以便結合工業互聯網安全標準和要求來同步構建行業的最佳實踐。
最后,聶曉磊講到:“未來已來,在新基建的浪潮下,我們必須加快腳步,同步推進工業互聯網領域相關政策、標準、技術試點和應用方案的構建,確保工業互聯網能夠安全、穩步的前行。”
