工业互联网安全的落地第一步,是确保环境中的防护能力,之后是检测/审计能力。数世咨询本次发布的《工业互联网安全能力指南》为报告中的工控防护能力部分,以及工控检测/审计能力部分。
工业互联网安全能力指南——工控防护能力在安全领域,最重要的工作之一是对威胁进行处置,这就需要防护能力。在本报告中,工控防护能力的范围如下:
在工业互联网环境中,能够对OT相关场景中发现的威胁、异常行为,进行包括查*、阻断、拦截请求、禁止进程等干涉或处置的技术、产品或解决方案。
工业互联网环境中的防护能力在整个工业互联网安全中有着举足轻重的作用:工业互联网场景中第一需要保障的是生产可持续性——即威胁不能产生生产事故,同时对威胁的处理不应该过度干涉生产。尤其对于预算非常有限的企业,工控防护产品会是最优先分配的投入领域——只有先确保了生产稳定,然后才有更多余力去发现环境中潜在的风险,以及过去发生过的异常行为。
本报告中的工控防护能力属于数字安全能力图谱中,行业环境下,工业互联网安全中的工控系统安全部分。由于工控系统安全涵盖的产品与解决内容较多,故在本报告中分为工控防护能力,以及工业互联网安全检测/审计能力。
关键发现- 工控防护能力的主要产品形态为三种:工控防火墙、工控网闸、以及工控终端安全防护/主机卫士。但是根据不同厂商在应对不同需求的情况下,产品形态也会发生一些改变。
- 工控防护能力首先要做到“能运行、不干扰”。关键能力在于“深度协议解析”与“白名单”技术。但是,需要注意的是,“深度协议解析”对于不同的厂商,可能代表着不同的意义,企业在选购相关产品时,需要明确厂商能够解析协议的具体内容。
- 从市场层面来看,尽管工控防护产品的总体收入依然呈上升趋势,但是其在整个工业互联网安全中的收入占比会逐渐下降。
本次参与工控防护能力的厂商共有23家,包括:安帝科技、安恒信息、安盟信息、博智安全、长扬科技、国泰网信、华境安全、惠而特、杰思安全、立思辰安科、六方云、珞安科技、绿盟科技、木链科技、齐安科技、启明星辰、融安网络、深信达、圣博润、天地和兴、天融信、威努特、英赛克。
工控防护能力主要产品形态本次调研中,工控防护能力的主要产品形态为以下三种:工控防火墙、工控网闸、工控终端安全防护/主机卫士。
工控防火墙工控防火墙部起到工业控制网络中边界分离的作用,确保一个分区不会受到来自于另一分区的攻击。工控防火墙控制着不同网络之间的指令交互,尤其在上位机遭到攻击向工业生产机器发出非正常指令时,工控防火墙需要能够识别,并且采取告警在内的相应措施。因此,工控防火墙事当下的工业互联网场景中的首要防线。
工控防火墙由于其需要解析工业特有协议的特性,其在工业互联网安全中的价值是传统防火墙不可代替的。
工控网闸工控网闸在工业互联网中担任着数据摆渡的作用——尤其是在将OT环境中的数据安全传输到相对开放的IT环境的时候。
工业互联网相比传统工业生产的一大变化,在于为了更好地提升生产效率,把握生产环境状态,需要将数据传输到IT环境——比如工业互联网平台。这就会增大针对工业数据的攻击面。
工控网闸最重要的工作,是确保工业数据只传输给可信、被授权的接收方,从而不造成工业数据信息泄露。
工控终端安全防护/主机卫士工控终端安全防护,又被许多厂商称为“主机卫士”,是对工业互联网场景中的相关主机进行防护的安全能力。工控终端安全防护/主机卫士由于其所处位置,是工业互联网生产环境中的最后一道防线。
工控终端安全防护/主机卫士主要采取的防护手段为白名单机制,只允许工业互联网环境中的正常、被认可的系统运行,禁止非正常程序的运行。
其他产品能力以上三种是当下工业互联网安全中与OT场景相关的主要产品形态。另一方面,在实际调研中发现,各个厂商会根据自身能力以及客户的不同需求,会有一些不同的产品形态:比如部分安全厂商会基于客户的环境以及需求,提供工控IPS产品;有些厂商也会在销售过程中,将USB管理等外接设备防护能力作为单独产品,而非工控终端安全防护/主机卫士产品的一部分;甚至有部分厂商也会针对外接设备,做包括额外的外接设备管理与监控设备的一整套工控外接设备安全管理解决方案。
因此,客户在选购工控防护产品的时候,需要基于自身的安全需求,与厂商进行产品具体能力的确认,确保选购的产品能完全覆盖自己的防护面。
同时,在本次调研中发现,未来的工业生产场景安全能力的一个方向,是网络设备和安全设备的结合。在本次调研中,发现已经有部分厂商开始将自己的安全能力与工业生产环境中的网络设备(如路由器)开始融合,成为“带有安全能力的工业网络设备”。
工控防护能力落地要点对于工控防护能力产品,有以下关键能力需要考虑:
工业环境可用工业场景中,首先需要设备可用。设备可用不仅仅是指软件层面,能够理论上实现工业环境中的要求,最关键的前提,是硬件本身能够在工业生产环境中可用。
在工业生产环境中,会遇到很多极端环境,如高温、低温、多尘等会对电子设备产生极大影响的恶劣因素。对于生产环境严苛的工业厂商,在挑选工控防护产品的时候,一定要考虑到设备的硬件防护本身能否抵御恶劣的生产环境。如果设备自身因硬件防护缺失导致无法正常运作,那么即使有再强的信息防护能力,都不能对工业互联网起到真正的保护作用。
生产无影响工控防护能力是整个工业互联网安全中,最需要在安全与业务之间寻求平衡的一块领域。从工控防护能力的功能来看,需要能够拦截请求、阻断可疑来源、禁止某些应用运行。但是,这些行为都有可能会导致生产的中断,甚至终止。
因此,工业互联网安全产品能否在对生产无影响的前提下确保安全就尤为重要。即使在工业互联网场景中,为了生产的可持续性,需要允许一些微小威胁的存在,但是对于可能会造成事故的威胁,就需要当断则断。同时,工控防护产品本身的操作,也不应对整个生产环境产生不良的影响。
协议解析能力对于工控防护能力,尤其是工控防火墙而言,协议解析能力尤为关键。深度协议解析能力不只是对工业协议有所识别,更需要能够在信息传输过程中,对工业协议中的具体内容进行解析。
协议的解析能力能够从两方面来看,一个是“深度协议解析能力”。但是,不同安全厂商对“深度协议解析”的定义并不完全相同。深度协议解析包含的内容,能够包括协议指令码、数据地址、数据数值的识别。在对工控防火墙进行选型的时候,需要明确安全厂商所谓的“深度协议解析”具体的解析内容。协议指令层面可以发现异常的指令通信,但是数据数值级别能够识别出正常指令中的异常数值——避免因参数不当导致事故发生。
协议解析的另一个值得注意的能力是“自定义协议解析能力”。在工业互联网环境中,有一部分私有协议,并不作为主流协议出现,因此不存在于安全厂商原有的协议能力中。这个情况下,就需要工控防护产品有对未知协议的学习能力,从而实现对未知协议的解析能力。
弹性白名单白名单是工控终端安全防护/主机卫士的主要防护手段。通过仅让被许可的程序运行,达到确保工控主机安全的目的。
然而,白名单同样需要基于企业的业务环境进行学习,从而制定出符合环境需求的白名单。从发展角度来看,工业互联网会基于工业数据的分析,以及企业的业务需求,更为灵活地分配生产力。因此,对于一些数字化转型较快的企业,工业生产环境本身也会有相比之前更为频繁的变化。这就需要白名单有同样的弹性。
白名单的弹性可以从两方面来看。一方面是白名单的学习速度,是否能够快速学习并建立准确的工农业互联网环境白名单;另一方面是白名单的部署效率是否高效。尽管说功能上,可以通过工业互联网安全管理平台实现一键下发,但是在具体实践环境中,经常需要对每个终端进行逐台更新,这个时候白名单的部署速率就决定了生产恢复的速度。
部分厂商会使用一些黑名单或者灰名单机制,来增加白名单的弹性。但是,这一类机制同样也是牺牲了一定的安全性来追求效率——这并不代表这类机制不会安全,只是相对纯粹的白名单机制而言,安全保障会相对降低。企业在这个过程中,也需要平衡自己的需求:是追求纯粹的安全性选择完全的白名单机制,还是降低一点安全性,来确保业务转换时的效率。
已知威胁防护能力尽管敌对势力极有可能会对我们国家的关键基础设施发动攻击,但是这一类APT攻击依然是少数。工业企业面临的更多还是来自日常的已知攻击,或者因人员违规操作产生的病毒感染(比如移动存储设备的违规使用)。这一类威胁往往是已知病毒攻击,或者利用已知漏洞进行攻击,因此防病毒能力能够抵御绝大部分此类攻击。
针对已知威胁的防护,一方面依赖于安全厂商自身对工业系统的漏洞研究能力以及病毒库更新能力。这可以从厂商的工业互联网相关漏洞提交数量,以及安全研究团队能力上体现。另一方面,有强大攻击特征库能力的厂商可以通过已知的攻击行为模式,更精准快速地发现攻击行为,进行响应。
工控防护能力市场情况- 工控系统安全(本报告中“工控防护能力”与“工控检测/审计”部分)在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于发展市场阶段。
- 根据本次调研的方向,2019年我国工控防护能力收入总体约为6.3亿元,2020年总体收入约为10.3亿元,预计2021年收入为14.1亿元,2022年有望达到17.5亿元。工控防护产品作为整个工业互联网安全的关键,其收入占比在整个工业互联网安全中当前最高。但是,随着客户的防护能力日渐成熟,以及工业互联网安全产品数量增多,会将投入逐渐转向工业互联网安全管理平台能力。工控防护类产品的总体收入占比将会逐步下降。
- 工控防护类产品当前还是以单一标准化产品交付为主,占72%。定制化产品及运营占17%;作为单一功能交付、订阅模式及其他模式共占11%。
- 从销售方式来看,厂商直接销售和通过渠道销售占比差距不大。直销(46%)比渠道(44%)占比略高。
- 当前来看,工控防护能力的主要落地行业为电力,占31%。电力在整个工业互联网领域起步较早,因此安全能力落地更多。其余占比超过10%的行业为轨道交通(16%)、燃气/热力/供水/电网(13%)、以及石油石化(11%)。从未来发展来看,石油石化将会成为下一个安全厂商争夺的领域。
某水电站作为国内首座大型水利枢纽,电力信息化集成越来越高,对电力系统的稳定性、安全性、可用性均提出较高考验。为提升水电站控制系统网络安全防护能力,以水电站实际应用需求为出发点,结合电力行业相关标准,从工控终端安全、工控网络安全、运维管理安全等方面,设计出水电站工控安全防护方案,并得到实际的应用,帮助水电站建立全方位多技术的防护手段。
安全隐患- 生产控制区系统老旧,安全漏洞较多,易被攻击者利用
- 操作站应用和移动介质缺少管控,无法辨别应用来源,可能引入恶意程序
- 业务调度和操作行为不规范,可能存在违规操作或误操作
- 生产控制区域之间未执行严格的访问控制,可能存在跨域访问
通过对水电站控制I和II区业务运行和日常管理进行现场沟通与调研,明确如下需求:
- 技术人员操作不规范,管理难
- 难以对重要通信建立行之有效的审计监测机制
- 工业控制系统漏洞较多,难以形成集识别和管理措施
- 常规安全检测手段无法应对新型工业安全威胁
- 缺少基于全网的威胁态势分析
- 网络设备繁多,分布较远,定期维护较为困难
(图片来源:天融信)
为更好地解决水电站当前面临的安全问题,首先需要对水电站的网络结构和资产信息进行梳理:以“安全分区、网络专用、横向隔离、纵向认证”为建设原则,细化生产控制区(I区)业务系统,强化对数据网边界、重要资产或系统的安全防护与审计,增强漏洞威胁识别与发现能力,建立基于全厂的安全信息汇总与展示,以及全网威胁态势感知与分析。
结合水电站业务特点与网络结构,安全专家提出了整体安全建设框架,基于安全防护体系和安全运维感知体系,构建对水电站生产控制区中的安全防护、安全检测、安全审计、安全运维、威胁识别、安全场景分析能力,形成基于工业控制系统的纵向防御架构。
- 安全防护体系
安全防护体系包含网络中的安全防护设备、检测设备、审计设备、终端管理、漏洞识别等,防护范围覆盖生产控制区;在生产监控区建立安全防护中心作为数据探知,将基于各个节点的安全数据、异常数据等上送至集中管理平台,用作安全环境、基线的分析,并执行分析的结果。
- 安全运维感知体系
安全运维感知体系作为水电站生产控制大区安全防护的“大脑”,承担安全信息分析的作用,利用大数据手段,基于用户的安全基线进行安全建模,通过模型间的组合进行流式分析,分析网络中安全威胁及主机、应用脆弱性,后依据分析结果下发策略至安全防护设备、安全审计设备,形成基于用户行为的纵向安全防护体系。
域间隔离生产控制大区与非控制区域部署天融信工控防火墙,实现域间隔离控制。天融信工控防火墙基于白名单的工业指令级“四维一体”深度防护技术,可对工控协议的“完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤,可对水电站生产控制区内的S7、Modbus、EIP、IEC104协议进行深度解析;同时,基于水电站业务实时特性,采用工控系统业务连续性保障技术,可在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据,保证电力生产数据安全上传。
“四维一体”深度防护技术在传统防火墙五元组安全检测的基础上,对应用层工控协议及数据进行四重深度安全检测,以Modbus协议为例:
- 第一步对协议的完整性进行校验。
- 第二步结合工控业务对功能码进行分析,检查协议功能码是否合法、合规。
- 第三步检查数据读取地址范围是否在业务允许范围内,同时对源操作者的读写权限进行检查。
- 第四步对工艺参数进行分析,如转速、压力、温度等是否符合目标设备正常业务范围。