引言

《工业互联网安全研究》—威胁情报在工业互联网安全的应用。我中心组织编写《工业互联网安全技术与应用白皮书(2020)》工作已经启动,希望提高业界对工业互联网安全核心技术及挑战的重视和共识,为工业互联网健康发展保驾护航。白皮书将从工业互联网安全技术的演进、安全技术框架、关键技术与挑战、新技术与工业互联网安全的融合、应用案例等多角度全面分析工业互联网安全技术。

一、威胁情报国内外发展现状

威胁情报(Threat Intelligence),是指通过网络测绘、大数据等方式获取收集的漏洞、攻击行为等威胁知识的集合及可操作性建议,可用于还原已发生的攻击、预测未来可能发生的攻击、辅助用户选择更合适的应急响应策略。

(一)国际政府积极引导,标准成果多样发展,产业格局初步形成

以美国为代表的网络强国高度重视威胁情报技术的发展。政策方面,美国出台多份政府令等文件引导建立威胁情报共享机制,成立多个专门机构促进政企间、行业间的威胁情报共享与分析利用,实施三期爱因斯坦计划,建有高水平的态势感知系统。标准方面,各国积极制定威胁情报标准,国外成熟的威胁情报标准有网络可观察表达式(CyboX)、指标信息的可信自动化交换(TAXII)、技术和通用知识(ATT&CK)等。其中,ATT&CK是2019年RSA大会和Gartner安全与威胁管理会议的关注热点,更结构化地描述网络攻击手法,支撑智能化学习攻击知识。国际威胁情报标准趋向于构建更细粒度、更易共享的知识模型和框架。产业方面,威胁情报共享是应对复杂网络威胁形势、完善传统安全防护系统的重要手段之一,国外著名安全厂商FireEye、CrowdStrike、Flashpoint、Symantec、IBM等推出了威胁情报服务和解决方案,建设有X-Force Exchange等多个威胁情报共享平台。

(二)我国政府积极布局,标准成果同步跟进,产业生态有待提升

我国十分重视威胁情报发展,政策方面,习近平总书记在2016年419讲话中提出“建立政府和企业网络安全信息共享机制”,《网络安全法》要求有关部门、网络运营者、研究机构、网络安全服务机构等之间共享网络安全信息,“等保2.0”中部署威胁情报检测系统是合规的必需,工信部等十部门联合发布的《加强工业互联网安全工作的指导意见》中提出要建设安全威胁信息库等基础资源库,但新政策引导下的威胁情报技术应用尚处在起步阶段。标准方面,2018年我国发布威胁情报国家标准《信息安全技术 网络安全威胁信息格式规范》(GB/T 36643-2018),与国际最新标准相比,对攻击的描述不够细化,难以支撑智能化分析。产业方面,奇安信、奇虎360、微步在线、安天等厂商积极投入到威胁情报相关产品的研发和生态建设中,建成多个颇具影响力的威胁情报共享分析平台,对外提供威胁情报服务,但情报收集与分析能力较国际水平存在差距,情报共享存在壁垒。此外,我国通过政企合作建有国家级网络空间威胁情报大数据共享开放平台CNTIC,当前面临多渠道威胁情报难以充分汇聚等问题。

二、威胁情报在我国工业互联网安全中的应用前景

当前,网络安全风险不断向工业领域转移,工业互联网正在成为网络安全的主战场。传统被动式的防御手段以及针对单点的攻击取证与溯源技术难以应对高级持续性威胁(APT)、新型高危漏洞等复杂安全威胁。利用威胁情报技术能够收集整合分散的攻击与安全事件信息,支撑选择响应策略,支持智能化攻击追踪溯源,实现大规模网络攻击的防护与对抗,进而构建融合联动的工业互联网安全防护体系。

一是威胁情报赋能工业互联网安全事件管理与响应。按照威胁情报标准对安全信息与安全事件进行记录,便于信息共享、关联分析以及事件响应。根据威胁情报反映的工业互联网安全态势,有助于预判后续可能的安全风险,使得响应网络威胁的速度更快,准确度更高,防范能力更强。

二是威胁情报支持工业互联网攻击分析与溯源。威胁情报技术可用于分析攻击手法还原攻击路径。结合关联威胁情报,可以对攻击方进行组织画像和溯源,利用威胁情报构建攻击知识库,能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。最新威胁情报框架ATT&CK支持引入知识图谱等AI技术,支撑工业互联网攻击智能分析。

三是威胁情报支撑工业互联网安全防护体系建设。主动防御方面,利用威胁情报制定和组织攻击计划,能规避可能的防御手段。被动防御方面,基于威胁情报研究攻击路线,可探索应对抗检测手段的新方法。在工业互联网设备层,集成威胁情报快速识别攻击行为的优势,能实现工业互联网设备轻量化攻击检测。对工业互联网企业,可利用威胁情报模拟攻击,测试和评估其防护系统的检测和防御效果,指导制定安全增强方案。

三、威胁情报在我国工业互联网安全中的应用挑战

在工业互联网应用威胁情报技术面临收集、共享、分析以及利用等方面的挑战。

一是工业互联网对象海量异构,威胁情报收集难度升级。当前威胁情报主要来自网络爬虫、针对特定属性漏洞扫描以及共享交换。而网络爬虫和漏洞扫描不能满足威胁情报对于准确性、可靠性和实时性的高要求。加上工业互联网边缘连接对象海量异构,相较于传统互联网威胁情报收集难度升级。

二是威胁情报共享不足,难以支撑关联事件的分析。当前工业互联网威胁情报共享机制尚未成熟,企业间、行业间的威胁数据未形成标准格式的威胁情报,加上共享渠道尚未打通,威胁信息难以交互同步。加上不同组织间存在利益竞争,很难将各自掌握的威胁情报信息和研究成果完全分享。

三是工业互联网威胁情报利用不足,基于情报的防御和响应机制有待完善。勒索病毒在工业系统的泛滥表明传统互联网安全威胁也能对工业系统造成影响。 “永恒之蓝”爆发两年多以后,工业主机仍然频频遭受该勒索病毒攻击,可见当前工业系统尚未做好对威胁情报的利用。

作者简介

余果,硕士,就职于国家工业信息安全发展研究中心保障技术所,主要研究领域:工业互联网安全、威胁情报、区块链技术。联系方式:yuguo@cics-cert.org.cn

王冲华,博士,就职于国家工业信息安全发展研究中心保障技术所,主要研究领域:工业互联网安全、网络与系统安全、网络攻防技术。联系方式:wangchonghua@cics-cert.org.cn

声明:本文来自工业信息安全产业发展联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。