木链科技陈超:工业互联网态势感知发展探究
2021-04-27
作者:王洁
来源:电子技术应用
根据国家工业信息安全发展研究中心发布的《2020年工业信息安全态势报告》,国内低防护联网工业控制系统数量激增,高危漏洞占比居高不下,工业互联网安全形势严峻。截至2018年底,低防护联网工业控制系统数量约3000余台/套,到2019年底增加到了5000余台/套,2020年较2019年同期增长了375%。漏洞层面,截至2020年,国家工业信息安全漏洞库(CICSVD)共收录工业信息安全漏洞2138个,较2019年上升22.2%,高危及以上漏洞占比高达62.5%。
杭州木链物联网科技有限公司解决方案部总监 陈超先生
4月10日,由中国电子信息产业集团有限公司主办,中国电子信息产业集团有限公司第六研究所、kaiyun官方注册杂志社等承办的CITE2021工业互联网发展与安全峰会在深圳隆重举行。杭州木链物联网科技有限公司解决方案部总监陈超先生以“工业互联网态势感知发展探究”为题发表了主旨演讲,分析了网络安全态势感知的现状,阐述了木链科技对工业互联网态势感知的理解及认知,并对工业互联网态势感知的发展进行了展望。
木链科技是一家面向工业互联网,专注于工控系统安全产品开发、技术研究的国家高新技术企业。其背靠浙江大学,结合国内领先的高速数据处理引擎组群和工业协议深度解析能力,形成了一套自主安全的技术体系,为企业客户提供了从工业生产网络到工业互联网的整体解决方案,已在军工、电力、轨道交通、石油化工、钢铁、智能制造等多个行业落地成熟案例。
网络安全态势感知现状
工业互联网态势感知是指通过采集工业互联网流量、资产、日志、告警、安全处置数据和第三方数据,利用统计分析和数据挖掘等方法,分析网络行为及用户行为,识别能引起工业互联网态势变化的安全要素,从而展示整个网络当前的安全状态并预测未来发展趋势。
“态势感知的出现将过去以防火墙、路径检测等产品为主的被动防御带入了分析、预测、联动方向为主的主动防御时代。” 陈超表示。
目前国内工业互联网的安全形势严峻,企业侧面临了一系列挑战。
工业企业侧面临的挑战
在政策法规层面,从《中华人民共和国网络安全法》到工信部《工业互联网企业网络安全分类分级管理指南(试行)》再到“十四五”规划和2035年远景目标纲要,都提到了健全相关的预警和通报体系。
在态势感知的相关标准研制方面,目前国内主要是由全国信息安全标准化技术委员会(TC260)和中国通信标准化协会(CCSA)牵头制定一系列的态势感知标准,相关标准绝大部分都处于在研的状态。“在整个行业内,态势感知相关标准的缺失直接导致了态势感知研制厂商和各类平台建设单位缺乏相关的数据标准,在数据对接、平台对接和威胁情报共享方面带来了一系列困难。” 陈超指出。
关于工业互联网态势感知功能的现状,木链科技总结了五点,主要包括:数据获取、数据处理、监测分析、可视化展示和响应处置五大功能。其中,前四大功能在行业内做得相对较好,响应处置目前在功能实现上还比较薄弱,无法实现真正的闭环操作。
随着相关需求的扩大,网络安全态势感知的市场规模也将逐年扩大。据相关数据显示, 2019年国内态势感知的市场规模约为32亿元,预计今年2021年将达到54亿元左右,在国内整个网络安全市场中的占比在6%左右。可以看出国内的态势感知市场在未来有较大的提升空间。
工业互联网态势感知与传统态势感知存在差异
目前工业互联网安全呈现出了一些新特点,陈超归纳为以下四点:
(1)海量设备和系统的接入加大了安全防护的难度,设备之间互联互通导致攻击路径增多,将传统网络安全问题延伸到了整个工业互联网的领域;
(2)企业在进行工业互联网平台建设时会运用到云平台和云计算技术,在云环境下安全风险跨域传播的级联效应愈发明显,工业数据面临的安全风险与日俱增;
(3)企业间的工业控制系统和工艺流程方面差异较大,对业互联网态势感知建设的需求各不相同;
(4)通过工业互联网安全态势感知实现工控网络安全的主动防御,保障生产系统安全运行不中断是工业企业的核心关注点。
基于这些特点,木链科技认为工业互联网的态势感知与传统的态势感知存在至少两个方面的差异:
(1)工业互联网态势感知会更加贴合用户的业务场景。目前整个工业互联网态势感知的市场目标客户主要包括两类:第一类是监管类态势感知平台,对象主要是工信、公安等;第二类是关键信息基础设施保护类态势感知,对象主要是各行业的工业企业客户等。这一类客户在进行工业互联网态势感知建设时首先关注的是四个方面:
一是现场工控系统品牌众多,通讯协议各不相同,怎么将这些协议和通讯内容识别出来;
二是工业现场设备多种多样,因而需要采集的工业种类特别多;
三是在企业数字化转型的过程中,传统IT企业理解不够;
四是贴合用户的业务场景才能真正实现降本增效。
(2)在工业互联网态势感知建设中,核心知识库的积累关键。态势感知在实现现场数据采集到最终威胁呈现过程中,需要靠核心知识库进行相关的赋能。核心知识库的好坏或者所积累的深度、广度直接关系到工业互联网态势感知的好坏。
工业互联网态势感知发展展望
关于工业互联网态势感知发展,陈超指出了未来的三个方向:业务融合化、安全内生化、信息爆炸化。
·业务融合化
通常的项目在进行相关网络安全建设时,会先从底层去建设完整的安全防护体系。之后,通过在公司层面或集团层面建立相关网络安全态势感知平台,将安全信息收集起来进行相关网络威胁分析等一系列操作。
而工业互联网的建设有所不同,企业更关注整个业务系统的安全,首先建立融合业务的集中化监测,在此基础上融入信息安全相关的数据和内容来实现整个融合业务的工业互联网态势感知平台的建设。因此在建设思路上有相应的区别。
关于业务融合化,陈超举例说明。
上图从工业互联网上微机界面看到-999℃的数值,这明显是一个有问题的数值。问题的来源是由于现场的仪表故障所造成的,还是由于PLC故障导致的传输错误,还是遭遇网络攻击所产生的错误……如果为了网络安全,需要联动IT部门、仪表部门一起检查问题的所在,是比较费时费力的事情。
如果有了一个融合业务,融合了生产安全和信息安全的一套工业互联网态势感知平台,由于其本身接入了生产数据和信息安全数据,因此做相关问题的溯源定位就非常简单容易。
·安全内生化
工业互联网态势感知平台的建设以不引入新的风险点为前提,同时逐步实现工业控制系统的内生安全。
如果要实现内生安全,首先要做国产化,实现安全的软硬件环境;同时进行相关自主设计来实现自主协议的通信,通过以上两个方向实现安全内升化的工作。
·信息爆炸化
企业在建设工业互联网态势感知时,不只有自身数据接入办公系统、工控系统和物联网终端设备,在企业的外部会对接到工业互联网平台、外部供应链企业以及工业APP,多方位来源数据的接入,需要一个强大的大数据处理能力来支撑。
陈超介绍,木链科技在多方面开展了技术创新。
在工控协议的深度解析方面,市面上常见的解析方式有两种:
第一,采用在交换机中抓取相关的流量做语义猜测。通过抓取相关的数据包之后对其中一些字段进行替换分析,完成语义猜测。实现起来比较简单,但是对协议解析的深度不够,解析的字段较少。
第二,通过固件逆向的方式。通过上位机和下位机提取相关固件,对于固件进行反编译和反汇编等操作,变成二进制代码,通过对二进制的逆向能够完整地还原出整个工业协议字段所代表的意思。
木链科技在第二种方式上有较深的技术积累。结合协议解析的一些手段,目前在指令级解析的基础上做到了更深层次语义级的深度解析能力。
在自主协议设计方面,木链科技也在积极探索自主安全的工业协议设置。通常的工业控制系统中的通讯,一般是上位机正向的通讯方式,由上位机发起,下位机开启固定的端口接收相关的数据和指令。因此,下位机非常容易被识别以及收到相关攻击。
反向通讯就是由下位机发起相应的通讯请求,只有建立通讯的上位机才能给下位机发射相关的数据和指令,以此简单地把下位机面临的防护压力转移到上位机,同时针对上位机采用成熟的防护手段来提供安全防护。
在高速数据处理引擎方面,由于数据来源广泛,为了能实时对数据内容进行处理,就需要强大的数据处理引擎来支撑。木链科技在数据采集、协议解析、数据存储、异常分析过程中都采用了相关的高速数据处理引擎技术,实现对海量数据的实时分析。
应用案例
到底态势感知系统是如何运行的?陈超列举了两个案例加以介绍。
·工信部工控安全态势感知节点应用试点项目
工信部本身建立了国家级公共安全态势感知平台,但是在企业侧的数据采集上相对薄弱。木链科技的工控安全态势感知节点项目在10家试点企业进行了部署,一方面捕捉网络攻击的行为,另一方面将采集到的数据上传到国家平台,为国家级态势感知的监测赋能。
·中船集团某所安全靶场及威胁情报中心建设项目
中船集团某所的安全靶场和威胁情报项目最大的特色是通过双平台的方式去建设,威胁情报中心(即工业互联网态势感知平台)所抓取到的威胁可以在靶场平台中进行复现和防护效果验证,实现对安全处置工作的闭环管理。
“木链科技深知作为一家工控安全企业,单独的力量很难推动工业互联网安全的发展,需要建立安全生态,希望相关的政府部门、高等院校、系统厂商和科研机构能一起合力为工业企业的安全赋能,实现政用产学研协同发展!” 陈超在最后呼吁各界合力建生态,协同某发展。