朱凯:无限战争:建立跨越IT和OT的防御盾牌

AS4A3835

朱凯  Cyberbit中国区技术总经理

摘要:Cyberbit是一家全球性公司,在全球各地设有办事处。我们的创建是为了解决当今行业中一些最关键的问题,包括:缺乏熟练技能的网络安全人员,如何更好地为复杂的网络攻击做好准备,不断增加的对关键基础设施的攻击,以及IT和OT(运营技术)网络的融合。今天网络攻击最危险的影响不是窃取个人数据,而是破坏已存在物理系统。如今,关键性基础设施,比如机场,水务公司,发电厂等,它们都与数字网络相连。攻击者可以很容易地进入这些网络,破坏电网,污染水源,或导致发电厂爆炸。这些网络攻击实际上会危及生命。这些系统通常根本不受保护。Cyberbit主要产品之一是SCADA安全系统,它帮助保护这些关键基础设施网络。

 先简单的回顾一下工业的发展历程,我们可以看到从工业1.0到工业2.0这两个阶段其实整个工业是通过能源和机械发展来促进工业化发展,从3.0开始电子和IT的技术开始介入了工业发展的历程,到今天从网络也好或者从IT、OT的融合也好,也是逐渐的有了更深入的发展。所以我们可以看到从3.0开始计算机技术和电子技术到网络技术因此深入到切入了工业发展的历程,为工业发展提供技术支撑。我们今天讲的是工业互联网安全,所以我们会看到随着电子技术和网络技术的支撑发展,其实在全球开始出现了各种各样的OT系统被攻击的实际案例,我们可以看到从2013年—2018年,从这几个案例当中观察一下,2013年—2017年攻击技术背景可能更多的是针对于专门的公共系统进行攻击,这种攻击更多的会具有一些国家政府的背景,为什么虫今天我们安全的角度来看,我个人认为工业互联网安全重要程度对国家的重要程度或者行业社会是要远远超越IT系统安全的,实际上已经远远落后IT系统的安全。

我们看一些案例,英国机场被攻击他们不愿意支付赎金,他们实际的运作就是靠手写的方式,这个带来的危害程度还是可以去弥补,但是一旦真的对运营系统照成很大的危害可能就会危机到生命,那么所以为什么我提到OT系统要比IT系统安全更加重要呢?因为我们知道今天在座的各位都看过听过很多的这样新闻或者故事,谁谁被攻击了,谁谁的数据被窃取。其实对于在座的每一个人来说不是亲身的在这样一个事情当中没有切身体会,对于今天讲的工业互联网安全是不一样的,因为工业安全的危害或者损害一旦发生它就会非常真切的产生一些物理损害,我们可以想象一下假如说今天没有油没有电或者说没有气,甚至家里的水也停了,可以想想对生活所造成的危害程度,是不是远远超过IT系统事故带来的重要性。

现在看到的这个是发生在2005年并不是网络安全攻击事件这是错误的操作,之所以拿这样一个案例出来做参考,图片还是有一定的冲击力,可以让各位切身的想象一下工业系统一旦发生安全事件,它可以造成这样一些物理损害,物理损害在今天来说可以由网络攻击去实现的。这个是国外的一家研究所,对于像石油燃气公司做了一个调查,这个调查认为这样一些客户给出了他们的一些反馈可以看看这个当中还是忽略了一点就是人的要素,今天的主持人来自于网安培训基地的,作为一个培训基地肯定是培训人的,今天的技术只是手段,但是最后通过技术去做安全人才是最重要的要素,这个是咱们毛主席说过的一个话,武器始终是要人来用的。因为我长期在一线会去接触客户,所以我们也确实看到从OT安全确实落后IT安全很多年,我们看多了很多的问题,恐惧原于未知我们在可见上会有一些问题,前面也讲到了上云,那么上云就意味着IT和OT的互联,这个不需要讨论。第三个就是IT安全系统没有办法去兼容OT系统,IT协议的特殊性以及架构的特殊性和IT系统完全是不一样的,所以以往的技术手段没有办法在IT系统里面应用。

最后一个也是和云有关,到底是谁负责OT的安全?现在用户很难把安全的技术手段推下去,因为IT和OT是两波人不同的部门,大家都会说该你负责还是该我负责,或者想负责的人又不懂,不想负责的人又懂。实际上从我们这个角度来看怎么样解决OT和IT的挑战?

第一个就是要有领导的支持这个是非常重要的,从我们国家来说在去年开始实施的《网络安全法》还有等保2.0都是从领导层有了制度支撑,才能够让我们真真切切的有一个高层的指导重视OT的安全。

第二个也挺匹配柯主任所提到的,我们不能保护我们不知道的东西。

第三个利用第三方的合规评估,最近在国内比较有名的安全媒体上有这样一个文章,觉得现在合规是安全的障碍,合规是阻碍了安全的实施或者是安全的发展,但是从我个人的角度来说我认为不是这样的,因为合规从我们的角度来看是一个方向,也就是说是一个指南针,技术只是一个手段怎么样让我们的安全能够顺着指南针走向一个正确的方向。第四个对于企业也好,或者对于组织也好,我们要把IT和OT的风险提高到一个高度,把它作为风控来进行控制管理。作为Cyberbit我们毕竟是厂商,我们作为厂商能够做什么事情帮助用户?我们从这样几个层面帮助用户搭建从IT到OT的防御盾牌。

第一、我们会去帮助用户做可见性。

第二、无代理(期望)技术,这也是专门针对OT的领域,由于OT的特殊性很多设备不可能像IT设备去安装一些代理的软件插件更多的要靠其他的手段来做辅助,还是因为OT安全人员少于IT安全人员,不能让技术手段过于复杂。

第三、专用传感器,这也是源自于OT和IT的区别。

第四、一个系统去管理所有的安全事件,这个可能和柯主任提到的态势感知有一点点像,我们希望能从更高的高度帮助用户看到所有的事件去做这样一个管理。

接下来我会从Cyberbit技术层面来和各位分享一下怎么样去帮助用户建立防御盾牌,Cyberbit实际上在之前是阿尔比特系统公司的网络安全部门孵化出来的,我们Cyberbit成立于2015年但是实际上我们在2002年作为部门已经存在的,实际上我们从2010年开始一直在聚焦ICS系统安全,咱们如果关注OT安全的都知道在2010年发生一个事情针对伊朗核设施攻击,可以说这个攻击算是打开了OT安全的潘多拉魔盒,最早的OT攻击可以追诉到1982年当时美国对苏联的天然气管道攻击,1982年在座的各位和我一样可能都是毛头小孩,在2010年在座的各位都已经上互联网,所以传播的速度以及广度是以前所不能比拟的,所以2010年开始整个OT或者叫关键工业基础设施的安全开始得到了重视或者说受到了威胁开始增大。所以在2010年以来我们Cyberbit在国外为这样一些不同的垂直领域用户提供了技术手段去帮助用户进行一定的安全防护,Cyberbit一共有四大产品线,其实专注于OT领域的是最下方的这样一个产品,它主要是针对OT网络里面去基于像DPI技术为用户做到可视化。另外也会有EDR产品从IT的层面帮助用户提高检测能力。第三个SOR安全自动化取证的平台,通过编排取证让用户能够对整个区域安全事件有一个集中的管控能力和响应能力以及调查能力。最后在最右方为了帮助用户解决人的问题,技术只是手段,我现在有器械但是工匠没有,我需要靠这样一个平台去培养人。

所以整个四大产品线,如果我们放到OT领域来说是有机组合,但是这四大产品也可以拆分出来独立运动。所以从演讲主题来说帮助用户建设从Z到OT的盾牌分五步来走,第一步会让用户增加IT安全性,今天来说IT安全性已经不算是很大的问题,因为每一个用户在IT的投入上面都是非常的大,而且不管是从技术手段也好从人员也好都有很好的储备。但是第二个对于今天这种IT和OT融合可能会有完成,前面的幻灯片可以看到一直到工业3.0所有的工业技术手段还是独立的网络,今天工业4.0融合已经是现实不存在讨论的,现实就是我们在以前的IT对于工业用户来说,在原来的IT网之外多了一张网是OT,又由于IT和OT的不同需要把两个网做一个融合,这对于工业用户来说涉及到架构的规划。通过我们和前端用户的交流,确实咱们国家的工信部也在找一些各个行业比较突出的单位再去做一些规划和试点,这是很好的开始。第三个就是获得一个完整的OT可见性,这里面可以简单的分享一下个人的看法,在我们和前端用户做交流沟通的过程当中会发现一个问题,IT和OT到底谁来负责安全?IT的人员会用IT的思维去思考OT的安全。这个时候就会有一个问题,IT的安全人员因为长期的时间积累已经有很丰富的经验,这个时候他的思维可能会是比较高级,但是OT的安全就是一片空白,这个时候用IT思维看OT安全的安全和可行性的时候,可能IT人员觉得你这个技术太落伍,或者觉得你的规划起点是不是有点低,但是他没有意识到OT因为长期的滞后本身的起点就是比较低的,而且OT是有特殊性的,比如说像IT里面所有的协议都能搞定,但是在OT里面充斥着几十种协议。所以在第三步里面我们会通过技术手段去帮助用户获得OT的可见性,恐惧源自于未知我让你变成已知。

第四个我们会为OT用户创造一个行为基线,社会当中有各种法规条例,基线就相当于网络运行当中的法律法规,你一旦有行为超出这个之外就有告警产生,能够让用户及时的知道有哪些非法的行为在他的OT里面。包括像对已知的安全漏洞还有未知的,以及还有不同的OT设备,比如说从人机界面到IGO之间异常的行为,都会为用户从基线角度去做告警分析。

第五个通过我们这样一个SOAR这样一个平台,它不只是针对OT,这个平台上OT只是其中的一小部分,因为今天随着IT和OT的融合,OT已经不独善其身的网络它和OT有一个很深度的结合,这种情况之下我们需要有中央的控制平台来从全网去收集相应的事件告警来做一个整体的调查,我们发现一个OT事件一定是从别的地方过来的,这样一个平台可以帮助我们从整体掌握数据,所以我们可以去分析这样一个安全事件的源头以及发生的过程,最后由用户或者帮助用户去完成这样一个画像,把整个事情的来龙去脉弄清楚。

回到五个步骤当中,其中和工业互联网最密切的一个技术手段就是SCADAShield,这个需要非常深的在OT领域做一个部署,通过探针可以在生产线拿到必要的数据,通常不管把传感器也好还是其他的设备也好就像人的神经原或者像手指,指挥所有的做出反应的是大脑,大脑是探测感知的平台。在这里主要是通过对OT进行被动检测,以及工业协议DPI的分析来帮助用户获得充分的可见性去检查威胁也好,或者是操作的风险也好,那么来去帮助用户做可见性,我们今天大街上随处可见摄像头看不到警察,但是有摄像头盯着也不敢轻举妄动就是这个意思。目前在工控协议领域可以对95%的协议提供支撑,像电力、石油、燃气常见的协议。因为工业协议的特殊性私有性可被用户自订性的特殊性,我们可能需要针对用户的环境做一个定制,但是通常对于新的用户需求,几周可以帮助用户把这个做出来。去年我们在欧洲参加了ENCS评估也有比较好的得分,我们在垂直领域已经部署了垂直案例帮助用户。

同样因为工业领域的特殊性或者因为合规性的要求,不管是国内国外,我们在去年也推出了移动工具箱去帮助用户在特殊的厂站做实时检测部署,整个部署也非常的简单,它只需要连上去做一个发现,可能在这里两个小时的时候就可以拿到必要的数据做离线分析。所以我们之后再回过头来看看,整个Cyberbit提供的四大产品,其实在OT网络的领域当中我们构成了很有机的闭环去为用户实现整体安全。

上一篇:柯皓仁:工业互联网安全从可见到可控

下一篇:邹春明:工业控制系统信息安全与等级保护2.0