2018工业互联网安全盘点|如何利用好二八定律?

解密        2019-11-05   来源:解忧王姑娘

本文作者:360企业安全集团副总工程师 陶耀东

工业互联网是互联网和新一代信息技术(IT)与操作技术(OT)全方位深度融合所行成的产业和应用生态,是工业智能化发展的关键综合信息基础设施。

随着云计算、物联网、大数据技术的广泛应用,我国正在大力发展工业互联网,工业企业的网络已渐渐从最初的封闭状态向开放状态改变,工业控制系统越来越多的采用通用硬件和通用软件,开放性与日俱增,暴露在互联网上的工业控制设备越来越多,单纯地进行网络隔离已经不能有效控制工业互联网的安全,不断发生的工业互联网安全事件充分说明了这点,二八定律也在这些工业互联网安全事件中,再次验证——80%工业互联网安全事件,是因为20%安全防护没有做好。


根据美国ICS-CERT预测,从2015年以来,每年发生的安全事件数量接近300起。2017年5月,蠕虫病毒“永恒之蓝”(WannCry)入侵了全球150多个国家的信息系统,多家汽车制造商被迫停产,能源与通信等重要行业损失惨重。


2018年,台积电多个工厂及营运总部遭遇勒索软件攻击,导致在台湾北、中、南三处重要生产基地生产线停摆,这些安全事件均已说明工业互联网安全问题的严峻。


值得关注的是,近一年来国内在汽车、电子制造、钢铁冶炼、机械加工、微电子等行业发生的数起工业安全事件,八成首先攻击或影响的是工业主机,只有二成是其他原因,利用好这个二八定律,做好工业互联网的工业主机安全防护将在最小的投入下取得最快速、明显的效果。

一、工业互联网主机安全威胁分析

工业互联网发展到目前这个阶段,工业主机是IT/OT技术融合的连接点,也是成本低廉、效果极佳的攻击实施点,工业主机安全已成为企业工控领域的主要困扰。



1.工业主机大部分还处于“裸奔”状态



工业互联网企业的OT网络中存在着大量工业主机,如:工业PC、服务器、操作员站、工程师站等,这些PC或服务器上运行实时数据库、监视系统、操作编程系统等,向上对IT网络提供数据,向下对OT中的控制设备及执行器进行监视和控制,是连接信息世界和物理世界的纽带,但这些工业主机一般没有采取任何安全防护措施,部分采取防护措施的工业主机也因没有进行更新已经失效,工业主机几乎处在“裸奔”状态。



2.工业主机安全漏洞数量快速增长,安全事件频发



根据中国国家信息安全漏洞平台最新统计,2010年工控漏洞数量为32个,自2010年后呈现迅速增长趋势。这和在2010年发生的Stuxnet蠕虫病毒有直接关系。Stuxnet蠕虫病毒是世界上第一个专门针对工业控制系统编写的破坏性病毒,自此业界对工业互联网的安全性普遍关注,工业控制系统的安全漏洞数量增长迅速。



2017年漏洞总数为351个,截止到2018年12月24号,新增工业控制系统漏洞数量达到439个,工业控制系统相关漏洞平均年增长率达到9%,增加明显。在已公开的工控安全漏洞中,工业主机运行的软件和通信协议相关漏洞占比较高,工业主机已成为各类网络攻击和安全事件的首要攻击目标。



3.工业主机资产可视性严重不足



工业主机可视性不足严重阻碍了安全策略的实施。要在工业互联网安全的战斗中取胜,“知己”是重要前提。许多工业主机所使用的系统在设计之初并没有考虑到在复杂网络环境中的安全性,而且这些系统的生命周期长、升级维护少也是工业主机巨大的安全隐患,大量企业甚至不知道自己的工业主机到底有多少。


图片来源于网络

二、大规模工业主机防护实践成功

2017年5月,“永恒之蓝”勒索病毒全球爆发。2018年6月,国内某知名新能源制造企业遭受该勒索病毒侵袭,生产线中几台工业主机(上位机)莫名出现频繁蓝屏死机现象,并迅速蔓延至生产园区内大部分工业主机。企业日产值超千万,停产将造成严重的经济损失。为了尽快解决问题恢复生产,该企业紧急联系360企业安全进行应急响应,并与其一起制定工业主机安全防护方案。


国内工业主机防护最大实施规模较小,一般不会超过1000点,业内普遍认为在生产主机上安装安全防护软件会带来稳定性和可靠性问题,大规模实施是“不可能”的。360企业安全集团与用户一起克服生产任务密集、停机间隔小、协调部门多等困难,经过一年的通力合作,为37个工业园区,近20000台工业主机成功部署了主机安全防护,同时企业生产活动正常进行,完成为全国规模最大,场景、网络、实施、应用、适配最复杂的工业主机防护应用案例,变“不可能”为可能。


360工业主机安全防护在该企业生产网中的成功部署和实际防护效果,获得了该企业的高度认可。该企业的信息安全官在工业互联网产业联盟举办的“工业互联网安全沙龙”中主动分享遭受“永恒之蓝”勒索病毒入侵后的应急处置经历,强调在所有厂区工业终端均部署了360工业主机防护软件后,其生产网络安全问题得到极大的改善。


该企业的生产制造过程涉及:电子制造、电池制造、汽车电子、汽车整车组装、电子金属组件、汽车零部件加工、轨道列车组装等数十种。其中每个行业在我国均有大量同行工业企业,对我国做好工业主机的安全防护具有极强的标杆意义。


图片来源于网络

三、利用二八定律,从工业主机开始构建工业互联网安全防护体系

在工业互联网安全领域,传统的安全防御体系已逐渐乏力、无法有效应对越来越严重的安全威胁,构建层次清晰、定位明确、融合联动的工业互联网安全体系,已经逐步成为产业的共识。



但是针对网络安全、设备安全、控制安全、数据安全、应用安全所涉及到的身份认证、网络分割、入侵监测、可视化分析、流量审计等几十种防护要求和建议,需要企业投入大量的资金成本和生产停止、产线改造、治理重构等巨大管理成本,企业往往在资金、生产压力等限制下望而却步,不敢下手,也无从下手。


如果理解了工业互联网安全“二八定律”,优先保护好引起80%工业安全事件的20%防护目标,将取得“最高费效比”实现“事半功倍”。


具体的操作建议如下:


1.梳理工业资产,重点关注工业主机资产


对生产网中工业资产和工业主机进行全面梳理,通过定义网络IP段分组,对指定的网络分组进行周期性地发现与统计网络中的终端数量及类型,从而了解生产线上工业主机数量,测算出工业主机安全防护系统终端的需要安装的数量,为工业主机防护的实施、管理和安全运维提供有效的参考,有利于实现资产统计和分析。


2. 做好工业主机防护


对生产网中“裸奔”的工业主机实现了“白名单”技术安全防护,并结合“永恒之蓝”漏洞防御进行现在对工业企业影响最大的勒索病毒的“超前防御”,从而形成多层关卡层层拦截,对病毒进行入口拦截、运行拦截、扩散拦截。同时对移动U盘进行了有效管控,防止恶意程序攻击,保障生产稳定运行。


3. 持续监控生产风险


通过已安装工业主机防护的监控和管理能力,对生产网中的已联网工业主机进行全面风险监控和集中管理,第一时间发现工业主机白名单告警、异常登录、移动介质违规使用等安全风险。对已经部署的工业主机,应当部署工业主机防护软件进行全面防护;在新建工业系统时,应要求供应商配置工业主机防护软件;在系统改造升级时,新增的主机也都应当安装工业主机安全防护软件,从而做到实时监测,保护泛终端安全。

四、总结

工业互联网发展推动的IT/OT的一体化,为工业控制系统带来更大的攻击面,为工业设备维护、安全管理等方面工作带来新的挑战,理解和利用好工业互联网安全的“二八定律”,企业可以在安全预算有限的情况下,实现“投入少、见效大”,持续完备工业互联网安全防护体系,通过产业协同机制来构建工业互联网的安全。


工业互联网安全:千里之行,始于工业主机防护。