安點(diǎn)科技工業(yè)網(wǎng)絡(luò)安全專家 吝寧
網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。目前已有許多工業(yè)控制專用協(xié)議,大多是為了提高效率和可靠性而設(shè)計(jì)的,以滿足大規(guī)模分布式控制系統(tǒng)的運(yùn)行需要。但是,令人堪憂的是這些協(xié)議為了提升效率,而放棄了協(xié)議的安全特性。
例如:放棄要求額外運(yùn)算資源的認(rèn)證和加密等措施。更有許多工控協(xié)議為了能夠適應(yīng)以太網(wǎng)運(yùn)行做了修改,使得協(xié)議存在可以被利用的漏洞。
起初,工控協(xié)議的安全性問(wèn)題并不嚴(yán)重,這些協(xié)議只是通過(guò)專用串口在封閉網(wǎng)絡(luò)和可信軟件間執(zhí)行。但隨著“兩化融合”“智能制造2025”等國(guó)家戰(zhàn)略的穩(wěn)步落地,工控系統(tǒng)逐漸從封閉走向開放互聯(lián),這些工控協(xié)議也逐步與TCP或無(wú)線網(wǎng)絡(luò)相連,工控協(xié)議的安全問(wèn)題被無(wú)限放大。日前,小編專訪了安點(diǎn)科技工業(yè)網(wǎng)絡(luò)安全專家、產(chǎn)品總監(jiān)吝寧先生,請(qǐng)他就工控協(xié)議的脆弱性和安全防護(hù)對(duì)策回答了以下問(wèn)題。
什么是工控協(xié)議?工控協(xié)議的脆弱性都有哪些?
吝寧:工控協(xié)議通俗來(lái)講是工控設(shè)備與應(yīng)用、設(shè)備與設(shè)備之間溝通的語(yǔ)言,是工業(yè)控制系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)采集傳輸、控制指令下達(dá)等功能的重要橋梁。
從分類來(lái)說(shuō),工控協(xié)議可以分為標(biāo)準(zhǔn)協(xié)議、私有協(xié)議,常見的標(biāo)準(zhǔn)協(xié)議包括Modbus、ProfiBus、OPC等等,同時(shí)DCS系統(tǒng)通信根據(jù)廠商及產(chǎn)品型號(hào)不同系統(tǒng)普遍采用私有協(xié)議,如橫河電機(jī)的Vnet/IP等。此外,工業(yè)無(wú)線通信還會(huì)用到包括工業(yè)WIFI、ZIGBEE、LoRa等無(wú)線通信技術(shù)標(biāo)準(zhǔn)。
私有協(xié)議和無(wú)線協(xié)議的安全性是否比較高?
吝寧:私有協(xié)議的安全性確實(shí)有所提升,私有協(xié)議協(xié)議通常采用UDP廣播包的形式發(fā)起通訊,而且普遍數(shù)據(jù)是加密的。但這并不意味著絕對(duì)安全,例如開發(fā)DCS的人員非常了解這些協(xié)議,如果實(shí)施有目的的攻擊行為更容易造成隱匿性破壞。
再說(shuō)無(wú)線協(xié)議,現(xiàn)在的安全防護(hù)產(chǎn)品90%以上都是針對(duì)有線協(xié)議進(jìn)行安全防護(hù),通過(guò)無(wú)線協(xié)議傳輸?shù)臄?shù)據(jù)往往直接暴露在空曠的網(wǎng)絡(luò)中,很有可能利用標(biāo)準(zhǔn)的無(wú)線協(xié)議漏洞進(jìn)行攻擊。
為什么多年發(fā)展后,工控協(xié)議仍遺留眾多的安全問(wèn)題?
吝寧:工業(yè)自動(dòng)化廠商都了解以上種種問(wèn)題,而且也具備修復(fù)脆弱性的技術(shù)能力,但卻無(wú)法付諸行動(dòng)。
首先是成本上的考慮,若修改工控協(xié)議經(jīng)影響其整個(gè)產(chǎn)品線的正常通信,而且工業(yè)控制系統(tǒng)牽扯設(shè)備眾多,全面的升級(jí)與調(diào)試廠商將承擔(dān)巨大的時(shí)間成本和經(jīng)濟(jì)成本。
再者,例如對(duì)工控協(xié)議進(jìn)行加密,其通信發(fā)起端和獲取終端將額外增加大量運(yùn)算負(fù)荷,在已接近滿負(fù)荷運(yùn)轉(zhuǎn)的工業(yè)控制系統(tǒng)中,這顯然是不切實(shí)際的。所以這就需要工控安全廠商幫助自動(dòng)化廠商解決這些問(wèn)題,在我看來(lái)兩者實(shí)際是相輔相成的關(guān)系。
安點(diǎn)科技針對(duì)這些問(wèn)題的防護(hù)對(duì)策是什么?
吝寧:首先是預(yù)防,在這個(gè)階段我們技術(shù)手段與管理手段雙管齊下。
管理手段主要解決“人”的隱患,安點(diǎn)科技通過(guò)培訓(xùn)等服務(wù)方式幫助企業(yè)建立完善的安全制度,幫助員工樹立正確的安全意識(shí)。
技術(shù)手段我們采用態(tài)勢(shì)感知技術(shù)和區(qū)塊鏈技術(shù)相結(jié)合的方式,安點(diǎn)科技在企業(yè)集團(tuán)中建設(shè)態(tài)勢(shì)感知預(yù)警平臺(tái),并且我們所有的安全防護(hù)設(shè)備都是具有獨(dú)立的細(xì)粒度數(shù)據(jù)處理和分析能力的“威脅挖掘機(jī)”,
這些安全設(shè)備實(shí)時(shí)向平臺(tái)和其他安全防護(hù)設(shè)備共享安全情報(bào),之后平臺(tái)再匯總這些網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,向安全防護(hù)產(chǎn)品下發(fā)具體應(yīng)對(duì)策略。這一切都是自動(dòng)化和可視化的。
這樣我可以快速的從海量工業(yè)數(shù)據(jù)中提煉重點(diǎn)網(wǎng)絡(luò)安全數(shù)據(jù),從漏洞態(tài)勢(shì)、網(wǎng)絡(luò)攻擊態(tài)勢(shì)、可用性態(tài)勢(shì)、主機(jī)態(tài)勢(shì)等維度全面評(píng)估企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí),實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)“可見、可管、可控”。
之后是防御,防御主要還是采用“邊界防護(hù)、橫向隔離,縱向防御”,這是經(jīng)過(guò)時(shí)間檢驗(yàn)的最有效的防護(hù)思路。但需要注意的是,不論是防火墻或是網(wǎng)閘等安全防護(hù)手段,工業(yè)協(xié)議通過(guò)之后仍然是明文的,仍然存在安全隱患。
而我們的核心技術(shù)之一是對(duì)明文協(xié)議的加解密技術(shù),且完全不占用控制系統(tǒng)資源,在一定程度上解決了標(biāo)準(zhǔn)工控協(xié)議的先天缺陷。
最后是追溯,再周密的防御措施針對(duì)惡意內(nèi)部人員往往效果大打折扣,我們通過(guò)網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)等手段做到“威脅源頭可溯、威脅去向可查”。
這就是我們的整體防護(hù)思路,以提高預(yù)防能力為起點(diǎn),在預(yù)防上失效的情況下,做全面的防護(hù)。那么在防護(hù)失效的情況下,我們可以至少做到亡羊補(bǔ)牢。
安全防護(hù)的難點(diǎn)是什么?安全企業(yè)應(yīng)如何應(yīng)對(duì)?
吝寧:如今,國(guó)內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程,但業(yè)主單位仍普遍困惑如何進(jìn)行安全防護(hù),我將其歸納為4W+1H問(wèn)題。工控企業(yè)的核心價(jià)值就是幫助企業(yè)解決以下問(wèn)題。
· Why:為什么要進(jìn)行安全防護(hù)?
· What:要進(jìn)行什么樣安全防護(hù)?
· Where:在那些地方進(jìn)行安全防護(hù)?
· When:什么時(shí)間點(diǎn)部署安全防護(hù)產(chǎn)品?
· HOW:如何達(dá)到安全防護(hù)的目標(biāo)?
從工控協(xié)議安全防護(hù)這個(gè)比較小的角度來(lái)說(shuō)。目前市場(chǎng)上安全產(chǎn)品已普遍支持龐大的工控協(xié)議庫(kù),但是一些廠商對(duì)工業(yè)控制缺乏理解。
事實(shí)上,不同品牌控制系統(tǒng)的通信方式截然不同,且通信往往分為多個(gè)階段。我們需要從生產(chǎn)命令或信息的發(fā)送終端開始,一直到命令或信息接收終端為止,中間所有的環(huán)節(jié)我們都要注意,把對(duì)威脅和風(fēng)險(xiǎn)的控制點(diǎn)進(jìn)量提前,做到漏洞被實(shí)際利用前就將攻擊行為扼殺。
我認(rèn)為工控安全企業(yè)必須對(duì)工業(yè)控制和網(wǎng)絡(luò)通信安全有比較充分和全面的認(rèn)識(shí),也必須具備強(qiáng)大的快速研發(fā)能力和自主知識(shí)產(chǎn)權(quán),這樣才能依據(jù)不同工控系統(tǒng)的特點(diǎn)提供訂制化的、有效果的、有價(jià)值的網(wǎng)絡(luò)安全防護(hù)解決方案。
