工业互联网安全能力指南(概况)

攻防
2年前

工业互联网00.jpg

  工业互联网已经成为了各方关注的焦点。但是,与工业互联网相关的安全事故也频频发生,安全已经不可忽视。数世咨询的《工业互联网安全能力指南》将从工业互联网安全防护能力、工业互联网安全按检测/审计能力、工业互联网安全服务能力、工业互联网安全靶场能力、以及工业互联网安全管理平台能力,五个维度,对工业互联网安全能力进行分析。

  由于内容篇幅较长,本报告先会分批发布,最终还会合并发布完整版。第一部分将以整体工业互联网安全概念为主。

前言

  近几年来,和工业相关的严重安全事故频发,工业互联网相关的安全已经到了不可不关注的时刻。

  工业的自动化、信息化,以及最终需要达到的数字化,其目的都是为了能够在减少人力的情况下,更为高效地进行工业生产。尤其在一些如高污染、高温、低温等的极端环境下,更需要通过自动化的能力,减少人力的使用,保障工人的生命安全。另一方面,基础设施的互联互通,使“智慧城市”得以实现。通过技术手段,将整个城市的基础设施系统可视化,提升资源运用的效率、优化城市的管理和服务,为居民的生活提供便利,并为城市的进一步发展打下坚实的基础。

  然而,无论是“智能制造”,还是“智慧城市”,都离不开对网络的构建。一度非常封闭的工业生产环境也随着OT与IT的融合,变得略为开放。但是,开放带来的不仅是便利与智能,同样也引入了更多的攻击面和威胁。乌克兰与委内瑞拉的停电事件、台积电与Colonial Pipeline的勒索病毒攻击事件都标志着工业互联网的安全已经到了迫在眉睫的地步。工业网络的安全必要性已经不再只是满足合规的要求,而是要能够解决真实可见的威胁。

  安全需要从底层做起,工业互联网的安全也一样。大部分工业企业依然处于数字化转型的起步过程当中,只专注于业务与生产。但是,事实上,数字化转型对工业企业而言,也是一个从零开始实现安全生产的新机会。数字化转型一定程度上意味着企业的技术架构的升级,甚至是再规划——如果从这个阶段起,就将安全能力作为设计的一部分,就可以极大减少之后将安全作为额外能力的投入成本。将安全与生产并进,才能最大程度地保障生产的安全性。

  本报告希望能通过对工业互联网一系列的能力的梳理,协助相关工业企业的安全规划。

关键发现

  • 工业互联网的安全驱动力主要有四个方面:国家安全、政策合规、工业协议缺陷、以及行业数字化转型的安全需求。

  • 工业互联网的安全有双重性:系统安全(Security)与生产安全(Safety)。随着工业互联网越来越多的互联与开放,系统安全对生产安全的影响逐步扩大。

  • 工业互联网安全的落地难度不仅在于工业场景自身的特点,同样受限于不同工业企业本身IT能力的发展差距。

  • 工业互联网的安全能力落地按照“先防护,再检测/审计,持续服务,平台统一,靶场进阶”的顺序。

  • 工业互联网由于非常重视“业务连续性”,在安全性上就需要很大程度的妥协,因此要做好长期与威胁共存的准备。

一、工业互联网安全概念与总体市场情况

1、工业互联网概念

  工业控制系统一度是一个相对封闭的环境。在工业生产环境中,只需要设备按照要求,完成相关任务即可——在这个情况下,工业生产环境中的设备并不需要和外部有联系,只需要能够在生产环境中形成局部的操作技术(Operational Technology, OT)网络。

  但是,随着“工业4.0”、“智能制造”概念的提出,工业相关企业需要一次全面的转型,通过数据分析、整体企业统一协同管理等能力,创造更高效、更安全的自动化生产环境。在这一过程中,会有大量的设备、系统接入。

  首先,企业生产环境本身会有更多的设备接入,比如传感器、遥测仪、监控器等。这些设备能够采集生产环境中的相关数据,进行进一步的分析,从而确认生产环境的安全状况。在业务层面,对这些数据进行深度挖掘,可以发现生产过程中的瓶颈,找到提高生产效率的方案。

  另一方面,由于数据分析很难完全在生产环境中进行,因此需要传输到其他位置进行分析——如云端。这就不可避免地使生产环境走向开放,需要与外界网络逐渐打通。另一方面,工业生产技术也逐渐需要和企业业务发展相关联——比如人员的权限管理、客户的生产需求、整体项目的管理等。工业生产环境不再是分割的生产实体,而是基于企业总体的发展规划和业务需求,自上而下的实现环境。因此,无论是从技术需求的角度,还是业务发展的角度,工业生产环境中的OT网络,与企业管理的IT网络,最终要相融合。

  在2020年,由工业互联网产业联盟发布的《工业互联网体系架构(版本2.0)》提供了如下的工业互联网实施框架总体视图:

工业互联网01.png

图片来源:《工业互联网体系架构(版本2.0)》

  从这张图中,我们可以发现,工业互联网不仅仅是设备的连接,更需要工业互联网平台作为赋能。完整的工业互联网,需要生产机器、控制设备、信息系统、以及人员的联动才能实现。工业互联网要能够通过生产时产生的信息,进行分析,也要能够支撑智能化的生产,以及基于企业业务变化的灵活变更。

  工业互联网并非是企业个体的能力,也是国家发展的需求,离不开国家的监管与支持。在企业的层级之上,需要政府层面的整体监管和把控。同时,国家也能够通过国家级的工业互联网平台对全国的工业发展进行分析,为未来的发展方向做决策和引导。

2、本报告中的工业互联网安全概念

  完整的工业互联网实现离不开IT与OT的高度融合。整个工业互联网的运行需要生产机器的正常运作、采集设备对数据的采集以及传输、相关系统与仪器对数据的存储、以及边缘设备和平台侧的计算和分析。那么,完整的工业互联网安全理论上,是需要能够涵盖整体的运作、采集、存储和分析的安全需求。

  然而,在实际落地过程中,IT与OT的融合进度还处于相当早期的地步。事实上,许多工业企业的数字化转型依然处于建立完善的OT网络阶段。因此,本报告中的工业互联网安全的概念为:对OT相关场景进行防护的信息安全能力,包括对OT场景的防护、检测、审计、管理、监管、安全验证、安全能力培训等。

  从《工业互联网体系架构(版本2.0)》实施框架总体视图来看,本报告的调研范围主要集中在设备层与边缘层,以及企业层与产业层中的安全平台相关解决方案中,对工业控制系统与工业生产环境中涉及到的信息安全。

  本次调研分为五个方向进行,分别是工业互联网安全检测/审计能力、工业互联网安全防御能力、工业互联网安全服务能力、工业互联网靶场能力、以及工业互联网安全管理平台能力。

3、工业互联网安全总体市场情况

  工业互联网安全在2021年中国数字安全能力图谱中,属于行业环境分类。其中,下属还有“工控系统安全”、“安全管理平台”、“安全服务”、“工控靶场”四个分类。本次报告中,将工控系统安全分为“工控防护能力”与“工控检测/审计能力”两个部分,其余三个分类一一对应。

工业互联网02.png

  根据本次调研的方向,2019年我国工业互联网安全收入总体约为17.4亿元,2020年总体收入约为33.8亿元,预计2021年收入为50.3亿元,2022年有望达到70亿元。

工业互联网03.png

工业互联网04.png

  而从工业互联网安全产品的总体销售区域来看,华北(包括东北)与华南占据了主要销售区域,一定程度上反应了我国当前的工业互联网部署需求。从未来几年来看,智慧城市带动的城市基础设施安全需求会进一步推动东部沿海城市对工业互联网安全的需求。同时,随着国家对西北、西南的进一步开发,长远来看,这两个区域也会有对工业互联网安全解决方案需求的大幅度提升。

二、工业互联网安全建设的必要性与驱动力

1、国家:国家安全的保障

  工业场景的安全有着两重性:系统安全(Security)以及生产安全(Safety)。系统安全意为对工业控制系统、工业网络自身进行保护的行为与过程,而生产安全则是指工业控制系统对非工业控制系统、工业网络本身的影响,如是否会造成人员伤亡、产生环境污染等。(本报告中将“系统安全”简称为“安全”)

  在封闭环境下,系统安全对安全状态的影响相对较小。但是,当工业生产环境逐渐随着网络变得开放的时候,系统安全对生产安全的影响会逐渐增大。事实上,在2021年1月,美国旧金山地区的供水系统就遭到攻击。无独有偶,2021年2月,美国佛罗里达州地区一个小镇的供水系统同样遭到攻击,攻击者试图将水中的氢氧化钠含量增加到100倍,实现区域性的“投毒”。这些攻击,都被防御系统所拦截。

  因此,工业互联网的安全性已经不只是局限于数据保密性与完整性的安全、业务可持续的安全,而是真真切切直接关系到人民的人生安全与社会的稳定。对于处于数字化转型的工业生产环境,越多的系统与设备的连接,意味着越多的攻击面,在基础设施、化工、能源等生产事故可能造成极大人员伤亡与社会影响的场景中,工业互联网的安全应该作为第一考量。

  国家角度来看,工业互联网安全是国之大计,是必须贯彻执行的安全方向。

2、企业:政策合规的驱动

  尽管工业互联网会影响工业生产环境的安全,但是鉴于大部分企业依然处于工业数字化转型的起步期,在认知上对于IT化以后,生产环境会面临的威胁依然不足。这个时候,就会由政策与合规要求进行强驱动。

  除了等保2.0的要求之外,工信部印发的《工业控制系统信息安全防护指南》、《工业控制系统信息安全防护能力评估工作管理办法》、《工业控制系统信息安全行动计划(2018-2020年)》都为相关企业提供了工业互联网安全的落地指导作用。2021年9月开始实行的《关键信息基础设施安全保护条例》更是直指对国家与人民息息相关的关键基础设施安全。

  尽管一方面来看,仅仅为了合规,为了符合政策需求而购买、使用工业互联网安全产品与能力,并不能真正保护好相关场景;但是,法律层面的驱动,至少能划下安全的底线,从强要求、强监管开始,督促相关企业重视安全,积累一定的安全能力。另一方面,由于大量工业企业对OT安全依然处于起步期,即使逐渐开始意识到工业生产场景中OT安全的重要性,但是却缺乏具体安全落地的方向与能力;政策与合规要求不仅仅提供的是一个法律层面的底线,也是为相关企业提供安全落地的一个指导方向。

  企业角度来看,政策与合规带有强制与指导的双重意义,是企业落实工业互联网安全能力的第一驱动力。

3、技术:工业协议自身的缺陷

  工业控制设备会根据不同的供应商,使用不同的协议,因此工业系统本身存在着复杂多样的协议。然而,这些协议本身也会存在漏洞。即使如Modbus、ICE104、PROFINET等主流协议,在设计之初都是为了实现业务的流畅运行,在追求时效性和流畅性的同时,不可避免地牺牲了一部分安全性,容易被攻击者利用。

  另一方面,同样被广泛使用的OPC协议,其架构基于Windows平台,从而也“继承”了许多Windows平台中存在的漏洞,同样能被攻击者利用。

  技术角度来看,单独的工业控制系统本身存在着一定的安全问题,需要额外的安全手段进行保护。

4、行业:数字化转型的保险

  2021年5月发生的Colonial Pipeline事件,导致全美部分区域的输油管道无法使用,造成全球油价浮动以及美国东北部石油使用困难。值得注意的是,该攻击本身并非直接针对Colonial Pipeline的输油管道系统,而是对Colonial Pipeline的IT系统发起的勒索病毒攻击——最终使该公司中断各类系统,包括输油管道相关的OT系统。

  对于工业企业的数字化转型,IT与OT环境的融合是一个关键。IT与OT融合,能够更有效地使用工业生产中生成的数据,改进生产业务的模式,提升生产效率;同时,也能够通过IT系统自上而下,对生产环境以及非生产环境进行统一的管理。然而,IT环境往往会更加开放,从而增大攻击面。最终,工业控制系统本身,乃至整个生产环境可能并未直接遭到攻击,但是由于上层的IT系统遭到攻击被中断,依然会让生产环境的业务中断。

  以防护策略来看,保护好上层的IT系统固然是一个必须采取的安全防护措施。但是,如果因为上层的某个位置遭到攻击,就导致整个生产系统瘫痪,这无疑会产生新的攻击策略——通过单点故障,从上层系统进行降维打击。在理想状态下,需要能够做到IT与OT融合的同时,OT环境本身的安全性能够抵御因上层IT系统沦陷产生的安全隐患,在上层IT系统下线的情况下,依然能够安全、有效地执行业务——这是一个极其理想的状态,但是值得工业生产环境中的所有利益相关方去探索。

  整个行业来看,数字化转型成功必然需要完成IT与OT的融合,但是这一结合的过程也必然会带来新的威胁,需要IT与OT两个方向协同去解决相关的安全问题。

三、工业互联网安全当前落地难点

  在工业互联网环境里,传统IT安全中的机密性、完整性与可用性在理论上依然有一定价值——但是在实践中,却容易受限于工业场景的需求。工业场景由于其特殊性,需要一种相对不同的方式来进行安全实践。另一方面,工业企业本身,由于对网络技术的实践总体更为滞后,因此无论是IT层面,还是OT层面的安全,在落地过程中都会遇到不小的困难。

1、生产大于安全

  工业生产环境中最大的特点,就是生产稳定性高于一般安全性——即在不会直接影响正常生产的情况时,安全性可以被牺牲。这一点可以理解,因为对于工业生产环境而言,生产机器的启动本身就极有可能消耗极大的人力和物力,而局部机器的停止运作又有可能影响整体生产的情况——最终造成巨大的经济损失。另一方面,在关键基础设施中,机器的停运也同样可能对社会产生负面影响。因此,在工业生产环境中,生产稳定性是最重要的。

  但是,这和上文提到的工业互联网中的对外安全产生了一定的矛盾——一旦攻击者通过工业互联网成功影响到工控生产环境,依然可能产生难以估计的损失——比如美国发生的对供水系统“投毒”事件。这一矛盾,给工业互联网安全带来了极大的困难与挑战。

  首先,工业互联网安全产品本身不能对工业互联网生产环境产生负面影响。一旦工业互联网安全产品直接会对生产环境产生影响,那么本身就本末倒置了。

  其次,工业互联网安全产品要能够监测出发生的攻击事件与异常情况——依然要在不影响工业互联网生产环境的前提下。这就对工业互联网安全厂商的安全能力提出了要求。

  最后,工业互联网安全产品——或者解决方案,要能够对发生的攻击进行一定的措施评估:这是攻击,还仅仅是异常错误(如人员操作失误、机器故障)?正在发生的攻击,产生的后果可能是什么?如果攻击已经进行,应对攻击的方式,是阻断请求,甚至请求源,还是需要将整个系统关闭? 

  在工业互联网场景中,安全不仅仅要考虑威胁,以及威胁对系统的影响,更需要考虑威胁与各类应对方式对现实产生的影响。

2、协议复杂多样性

  一些主流工控协议本身存在一些缺陷,同时主流工控协议总体数量也相对较多,不同的生产商的设备会采用不同的协议,这就给安全防护带来了极大的难度。

  大部分工业互联网安全厂商都能做到对协议的识别,但是落实到安全能力的实现时,就需要对协议进行深度的识别——而大量不同的协议无疑是对厂商协议研究、分析能力的一大挑战。

  除了主流协议以外,还存在一些私有协议,就更需要安全厂商有能力对陌生的工控协议有学习协议规则和行为的能力,从而建立新的安全模型。

3、底层防护困难

  工业互联网另一个难点在于底层防护更为困难。工业设备往往使用年限会很长,会积累大量没有修复的漏洞。同时,由于受限于工业互联网本身的业务可持续性要求,以及过去缺乏的安全意识,使得对这些漏洞的全面修复几乎成为不可能。

  如果无法从底层对工业设备和系统进行防护,就只能将安全能力附加在设备和系统之上,难以给底层赋予安全能力,通过自身的安全性提升对威胁的抵抗能力。最终,安全无法从最佳位置开始赋能。

4、企业不适合接入工业互联网

  企业工业设备老旧带来的另一个问题,在于老旧设备与当下的IT以及OT能力的不兼容,这些老旧设备不具备接入工业互联网的条件。但是,对于相当数量的企业而言,替换这批设备需要高额的成本,带来极大的经济负担,因此会继续使用这些工业设备,导致这些企业本身也不适合接入工业互联网。

  在这些企业不适合接入工业互联网的情况下,虽然能够确保工业控制系统与工业生产环境的安全,一定程度提升整体的工业安全情况。但是,对于国家层面,监管部门很难把握这些企业的工业安全态势,无法从国家高度进行统一地监管与分析。这会造成在监管部门级别的工业互联网安全管理平台的落地效果,无法达到最好的效果。

  而对于企业自身而言,也容易形成“安全孤岛”,难以通过上级政府的统筹获取相关的威胁情报,从而更好地应对潜在的威胁。

5、工业互联网安全人才短缺

  在工业互联网安全的场景中,人才的存在不可或缺。正如前文所提到的,工业互联网安全面临的另一个落地难点之一就是业务可持续性与安全之间的平衡,其中的一个平衡就是安全措施的平衡——采取怎样的措施是在当前生产环境对特定威胁最适合的方法。由于工业生产环境中对生产可持续性的顾虑,工业互联网安全产品自动处理能力的使用会受到一定的限制——这就需要专家根据实际的情况进行分析决策。

  不同于传统的IT安全,工业互联网安全中的决策可能会影响更加巨大,需要更为丰富的经验。在IT与OT融合的情况下,工业互联网安全人才不仅需要对IT安全的认知,还需要对OT安全的了解、对工业生产环境本身的积累,这三者缺一不可。尤其是对工业生产环境的积累,不仅仅是浮于知识层面,而是需要大量在工业生产环境中的积累才能获得。但是,在当前情况下,即使局限于工业控制系统安全,受限于起步较晚,能将三者紧密结合的工业控制系统安全专家较少,能够从更宏观角度看工业互联网整体安全的专家就更为稀缺。

  另外,工业互联网安全人才也不限于对于工业控制系统的安全维护,以及在工业互联网中产生的攻防对抗——工业互联网安全也需要能从顶层设计的战略专家,帮助企业、乃至国家,从更为全面的架构,落地各级工业互联网安全架构。这就要求在IT安全知识、OT安全知识、以及工业互联网经验的基础上,再拥有企业级,甚至国家级的实践视角与能力。

  以上五个难点只是当前工业互联网安全面临的挑战。事实上,另一个工业互联网安全面临的难点已经逐渐开始浮现:工业互联网平台的安全。工业互联网平台要处理大量的工业数据,运行各类工业互联网应用——工业数据与工业互联网应用和传统的IT数据与IT应用又会有一些不同的安全需求。在未来,当工业互联网越发完善的时候,对于工业互联网平台的保护会逐渐成为工业互联网安全必须重视的关键。

四、工业互联网安全实践要点

  基于工业互联网的业务特点,在工业互联网安全的落地实践上,有如下发现。

1、长期威胁共存

  我们无法消除环境中所有的威胁,对于一些安全风险,我们只能选择减缓其影响、转移风险方或者——接受这个风险。这一点在IT环境中如此,在工业互联网中就更为明显。

  工业企业的最大特性“生产大于安全”极大限制了工业互联网安全能力对威胁的消除。在IT环境中,业务部门与安全部门的一大矛盾,往往在于安全修复、补丁升级等行为会导致业务一定时间的中断,对业务部门的业绩收入产生影响。但是,在工业互联网环境中,首先安全升级导致的业务中断时间会大大超过非工业企业的中断时间;其次,工业生产业务的中断,除了会有本身业务生产的成本影响之外,还会有设备损耗、资源损耗(如恢复生产状态的资源)等成本——最终,使得工业企业的业务中断成本远远高于非工业企业的业务中断成本。另一方面,对于关键基础设施相关企业,业务中断又很有可能对社会产生影响,如发电中断、轨交中断等情况。

  因此,工业互联网场景中会往往面对设备、系统长期无法更新、升级的状态——即生产环境自身的漏洞会长期无法进行修复,从而累积大量安全隐患。工业互联网安全的理念就无法做到对威胁能除尽除,而是要能做到和威胁长期共存的同时,不让威胁转变成会造成严重后果的安全事故。

2、先防护后检测

  基于工业互联网的业务特性,在工业互联网安全落地的顺序往往是“先防护,再检测/审计,持续服务,平台统一,靶场进阶”的一个过程。

  对于工业企业而言,确保工业生产平稳、正常地进行,是第一要点。因此,工业互联网安全的防护底线,是确保绝对的生产稳定。对于会造成重大生产安全事故的威胁,要完全阻断;对于不会产生重大事故,但是会对生产产生一定影响的,要采取相匹配的措施;而有安全隐患却不会对生产安全造成影响的,在起步阶段,可以选择有意忽略。因此,安全落地的第一步,是先对生产安全有影响的威胁采取相应的措施,通过确定的正常业务模型,只允许正常流量交互,实现基本的安全防护。

  在能确保生产安全的基础上,有余力的工业企业就需要开始发现环境中潜在的威胁,以及对环境中的行为进行审计。这个阶段,检测/审计类能力就进入了落地阶段。检测/审计类能力能够帮助防护类产品,达成更为精准的防御效果。

  安全服务应该是持续进行的。事实上,在工业企业部署防护产品阶段,安全服务就已经开始了——只是受限于当前环境,大部分客户依然没有接受“服务收费”的方式,许多服务(如产品部署的规划咨询、等保咨询、安全防护工作等)会在初期随着产品捆绑。但实际上,安全服务是贯穿整个工业互联网安全周期的,从事前的等保咨询、规划部署,到安全防护、人员培养,再到攻防演练,甚至设备、系统的验证等,都需要安全服务给整体的工业互联网安全能力层层赋能。

  在工业企业有大量的安全防护设备、检测设备与审计设备之后,会面临两个问题:一是难以管理大量的安全设备与系统,另一个是只能对单点或者部分区域的安全情况有所了解,无法全面把握整体安全的状态。这个阶段,就需要依靠安全管理平台。对整体的安全能力进行管理,同时基于大量的日志信息、流量信息,对整体的安全能力进行把控。而安全服务在这一阶段,又能通过安全管理平台,对企业工业互联网整体进行分析,发现潜在威胁,并基于当前的业务与安全状态,提出提升安全态势的方式。

  当企业、组织能整体统筹自身当前的安全态势时,就可以开始为未来做一些预备工作,如方案的推演、内部人才的进一步培养、设备与系统的测试与验证等,这就需要一个模仿工业互联网的虚拟环境——即工业靶场。对于企业、监管机构、与研究机构而言,工业靶场不仅可以提供一个推演安全解决方案的虚拟环境,更可以通过工业靶场验证新的工业设备或者安全设备在自身环境的运行情况。从更长远往未来的角度来看,工业靶场还能对现有的设备、系统进行研究分析,提前发现潜在的未知威胁。

工业互联网05.png


  以上是第一部分的内容,下一次发布的内容为工业互联网安全防护能力、与工业互联网安全检测/审计能力(包括两个领域的相关点阵图与实践案例)。



参考阅读

2021年度中国数字安全能力图谱(完全版)

数世观察:《工业互联网安全架构白皮书》出炉

数世咨询:EDR能力指南