摘要:在网络安全威胁愈加复杂多元的背景下,能源企业内网的安全防护能力建设和提升已迫在眉睫.本文针对企业内网存在的对高威胁可持续性攻击抵御能力不足、横向渗透攻击难以防御以及内网僵尸网络难以根除等问题,对能源企业内网所面临的复杂威胁进行分析,提出了能源企业内网综合安全防护能力建设的体系设计,主要包括提高资产测绘发现能力;建立内网统一准入授权系统;完善内网细粒度安全控制策略;构建攻击识别模型和制度保障人才培养等关键措施.
董之光、帅训波、冯梅(中国石油勘探开发研究院信息技术中心)
在中美贸易战、俄乌冲突、欧洲能源危机等复杂国际冲突背景下,全球黑客活动十分活跃,网络安全事件呈“爆发式”增长趋势.关键基础设施、核能航天能源等重点行业、政府机构等成为网络攻击的重点目标[1].作为重要行业领域,能源企业也遭受了大量网络攻击:2022年2月美国科罗拉多能源公司遭内部90%数据删除且难以恢复;2022年3月10日,原油公司Rosneft遭遇20TB商业数据泄露,给公司运营及国家安全带来巨大隐患;2022年4月19日天然气公司Gazregion200G邮件泄露,造成大量敏感数据被免费下载;2022年以来国内能源企业也遭遇多起勒索病毒、DDoS攻击、数据被盗取攻击事件.黑客除了使用DDoS攻击、钓鱼欺诈、漏洞利用、供应链攻击、恶意数据泄露擦除等攻击技术外[2],还采用大数据情报收集、关键基础设施漏洞扫描、星链技术应用等手段,给网络攻击带来新的思路和不确定性[3].
国内大型能源企业业务繁多,结构复杂,覆盖油气生产、炼化、销售等上中下游各个环节外,与社会各领域也多有网络和数据交互.随着业务的发展需求,能源企业内部网络也在逐步扩大,逐步建立了生产网、办公网、数据网、卫星网、保密网等多种类型的内网,范围覆盖国内多个区域,并延伸至国际网络.能源企业内网中信息基础设施规模十分庞大,企业信息系统多样且分散分布[4-5],互联网出口多,网络多区多管、复杂多变.随着信息基础设施数字化智能化的发展趋势,云计算应用平台、大数据应用平台等日益成为主流,动辄几千台的主机运维数量,给网络安全的科学化运维与精准化管控等提出了新挑战.在复杂网络安全威胁态势下,能源企业网络安全面对的攻防对抗从互联网侧移至内网侧.如何发现能源内网中存在的安全风险、如何阻断攻击行为、如何开展有效的安全防御措施等是迫切需要解决的问题.
1 能源企业内网网络安全威胁分析
1.1内网高级可持续性攻击防护能力普遍不足
相较于互联网出口的集中防御,如入侵检测、态势感知、动态防御措施等一应俱全,能源企业内网往往没有部署同等安全防护级别的技术措施,仅在重要网络和数据节点如区域网络中心、数据中心部署了安全防护设备.
高级可持续性攻击包括多种多样的攻击手法,如0day攻击、规则绕过攻击、权限利用攻击、组建僵尸网络等[6].攻击者在取得一些主机权限后,首先就会利用主机中的权限尽可能获得更多主机控制权,包括不能访问互联网的主机,攻击者往往会给其植入木马或者后门,进而维持住内网的主机控制权.这些木马后门往往较为隐蔽和难以发现,受害者发现异常关机后再次开机,主机还是被继续控制.上述这些情况需要安全防护人员对相关攻击方式有深入的了解,同时需要有极强的网络安全数据分析技术能力,这给内网安全防护人员带来极大的挑战.
1.2内网协同防御能力普遍缺失
能源企业由于专业分公司、分支机构众多,内网范围往往非常大.在各分公司、分支机构之间,由于均处于企业内网中,一般相互之间网络安全防护措施较为缺乏或者开启的防护策略较粗.
在近年来攻防演习中,基于问题的改进措施使得各企业的网络安全信息体系得以提升,企业在其局域网中逐渐部署了一定的安全防护措施,包括防火墙、入侵检测系统、流量分析等,局域网与局域网之间、局域网与生产网之间有了一定的网络隔离措施.在实战检验中发现还是有横向渗透攻击行为存在,企业内网安全防护隔离措施并没有阻止所有的攻击行为.尤其是在取得区域一些主机的权限后,可以通过合法的访问路径绕过安全设备的检测;或者取得内网中某些设备的控制器,进而修改这些安全策略,放行其攻击流量,使内网中的安全防护设备成为“摆设”.
1.3内网僵尸网络难以根除
近年来能源企业已经完成企业互联网出口收敛,对公网发布信息系统资产的梳理掌控和安全防护能力都有所提升,如ZoomEye,FOFA等网络空间探测系统暴露的资产,其网络安全攻防对抗已经具备很强能力,普通攻击者很难成功或者需要付出很大代价.这些目标已经不是攻击者的主要目标,攻击者在拿到“跳板机”后,往往在企业互联网出口系统上不会有太多额外动作.
实际工作中发现,当企业资产达到一定数量和运维年限后,僵尸信息资产的出现基本是必然的.这里指的僵尸信息资产包括常年无人值守的信息系统、智能终端、大数据平台、老旧服务器、工作站、交换机等,仅进行简单值守的服务器和信息系统也属于僵尸信息资产的范畴,这类资产存在无人管理、无人运维、仅保障存活等特点.与传统意义上的理解不同,智能终端、打印机、摄像头在今年攻防演习中,都有可能被利用发起攻击或者传输攻击.
1.4对社会工程学攻击缺乏防御手段
在网络安全事件不断增多、国家各级网络安全演习、企业自身网络安全建设等不断推动下,各单位企业对内网互联网出口的防御已经日臻完善,通过常规攻击手段很难突破.
如今社会工程学攻击被广泛应用至实际网络攻击中.网络钓鱼、水坑攻击、鱼叉攻击等结合供应链、服务商等的社会工程学攻击技术普遍应用;在实际攻击中,形成了信息收集、技战法研究、载荷制作、载荷投递、端点维护、内网渗透等完整的攻击链.攻击往往能够击中企业网络安全防御的最薄弱点,攻击发起点即在企业内网,并且是受信任的主机、服务器,往往还会具有系统管理员的权限,具有自由的网络通路等,从这些地方发起攻击,目前的网络安全防御手段绝大部分都会失效.
1.5大数据、云计算平台安全防护薄弱
随着大数据、云计算、物联网和移动计算等新型技术在能源企业的广泛应用,能源领域的信息业务正在逐步向内部私有云、混合云、基于大数据的业务平台和数据平台等迁移,各能源工控物联网平台也越来越多地建设,并投入实际生产.
各类平台部署后,其使用的技术复杂、组件众多、维护需要的专业技术和能力高,导致相关业务常会外包,管理和运维中产生的安全问题突出,常见的问题[7]如表1所示:
2 复杂环境下能源企业内网综合安全防护体系
2.1内网综合安全防护体系设计
本文对能源企业面临复杂网络威胁进行了分析,结合能源企业网络安全防护现状,从合规、管理、技术和运营4个方面提出了能源企业内网综合安全防护体系,其中合规体系是底线,管理体系是保障,技术体系是支撑,运营体系是更新和进步,如图1所示:
在满足管理“合规性”要求的基础上,构建能够动态调整和适应发展的网络安全防护体系,主要包括完善应急响应制度、建立资产测绘和监测体系、加强内部资产统一管理;建立内网攻击特别是APT攻击的监测手段,提高攻击阻断和处置能力,初步具备攻击溯源能力;推进信息系统网络安全等级保护工作开展,加强关键信息基础设施安全保护和数据安全保护措施;加强云计算、大数据平台的安全防护,加强内网安全防御人员队伍建设和攻防技术实力提升.根据当前网络安全形式,重点梳理和保护企业的数据资产、个人信息、知识产权、商业秘密等.
2.2内网综合安全防护体系实践
1) 摸清家底,提高内网资产发现与监测能力.
内网中资产的管理一直是一个痛点,僵尸资产、信息不匹配等问题无法杜绝.产生问题的原因包括当前大部分能源企业不能实现企业内网所有信息资产的统一准入和授权管理.信息资产的变更不一定能准确地被信息主管部门所掌握,不受控的接入网络时常存在,而接入的资产往往没有经过网络安全测试和评估,导致在网络安全层面业务“带病”上线.
安全防护建设首要任务是单位信息资产的精准管理和快速定位.目前信息资产的范围包括主机、服务器、移动设备、网络设备、数据库、摄像头、智能终端、IOT等,在最新的攻防认知中,应用系统开放的端口及资源和应用系统开放的接口及资源也会被纳入信息资产的范围.常用的资产管理手段是建立资产测绘和管理平台,通过安全技术手段实现单位内部大规模资产快速发现和定位、资产的数字化管理和可视化展示、资产变更的快速监控和更新,为后续安全风险的排查提供准确的信息[8],基本功能描述如表2所示.
2) 实施内网细粒度访问控制策略.
在能源行业普遍采用的公网互联网出口区内网网络模式中,细粒度的网络安全策略划分是阻止或减少攻击者内网渗透的有效方法.与传统的出口封堵、内部松散模式不同,细粒度的网络安全策略体现在能够根据实际攻击者可能采取的攻击方式方法,建立本企业的攻击防御模型[9-10],通过网络分区分域加强应用接口权限控制,建立域间流量分析和阻断手段,建立域内攻击感知能力、出口细粒度网络控制策略、区域间白名单访问控制和区域内网络安全行为监控等,同时采用关联分析、自动化处置,AI学习建模等方法加以辅助,不断根据攻击模型完成监控APP,做到针对不同攻击手段的有策可依,将攻击在进入内网后的信息收集、载荷投递、漏洞利用、植入后门、权限维持等各阶段中都能加以发现和阻止,做到及时有效监测和阻断真实攻击.
网络按照功能区域分区分级管理,如图2所示.
能源企业单位中常见的分区包括互联网区、互联网接入区、内网区、数据区、生产、工控网和隔离管控网.根据不同的业务特点在各个网络分区间应建立有效的流量监测和阻断措施,具备网络横向、纵向的访问控制措施,特别是横向访问控制措施对内网渗透攻击防御十分重要.数据作为企业最为重要的资产,应单独设立控制区域,重点进行监测和管控.不仅对数据的直接访问进行监测,通过网络接口的流量也要进行监测和分析,这样才能对能源内网的攻防产生实际效果.
3) 建立内网网络分级授权体系.
在企业内部网络安全管理中,将人、设备、服务进行绑定和管理,是内网网络安全体系的一个必要环节.运用SDN等网络技术可以将人、设备进行精确绑定,但是人访问网络应用及数据资源的权限的绑定往往由多个部门或者网络系统各自赋权管理,授权和认证标准、规则不统一,权限的赋予程度不可控,权限溢出,权限到期无法收回的问题普遍存在[11].
图3网络分级授权矩阵员工在进入企业后,其网络中和各处权限应当有统一的接口进行管理,精细化赋予员工对网络的访问权限以及对系统内部各个模块的访问权限,并将管理过程动态地运行下去[12].在身份认证与授权系统建立过程中,设计多个领域、部门的协调和管理,如图3所示.应建立统一的授权管控组织,需要各业务管理部门、网络系统、HR系统、各应用系统等之间的认证授权数据交互,统一的接口和认证模块的匹配是需要重点规划和考虑的.
4) 建立内网攻击识别模型.
企业根据网络空间安全框架建立内网安全防护体系[13-14],但是随着攻防对抗的发展,内网攻击行为也逐渐创新化、复杂化,它是一系列的攻击动作的结合,包括社工收集、突破出口、获取权限、权限维持,横向移动,获取敏感数据等[15].相应的会用到侦察跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令控制等多种知识和技术,传统的安全防护体系很难对抗.
在攻击发现、阻止和溯源过程中,单独依靠独立安全设备告警是不能阻断和清除攻击的.解决这个问题需要在资产精确管理、数据防护模型建立基础上,构建企业内部的攻击识别模型.基于业务、数据、云资源、基础设施、人员等方面建立攻击识别模型,通过人工智能、基于时空的关联分析等技术逐步完善攻击模型,还原整个攻击链条,实现阻断所有攻击行为,发现和清除置留所有恶意后门、追溯攻击者等.如图4所示.
5) 完善制度保障与专业人才培养.
企业网络安全管理体系应包括安全领导体系建立、安全体系制度保障、安全运行和通报机制、安全应急体系、人才培养等,目前大部分单位安全体系等停留在文件层面,还有一项重要工作就是将相关制度、技术工作落实到位,使整个安全体系有机运转起来.其中重要的环节就是对单位网络安全岗位的划分和人才培养.
企业中的信息资产使用者包括多个角色,如普通用户、管理者、关键数据维护者、信息系统关键用户、信息系统运维人员等.提高网络安全意识和技术要做到因地制宜,依岗施策.如关键数据的维护者、信息系统的关键用户、关键系统运维人员等,在信息化建设中的不同角色,其期望和应当获取的网络安全培训的要点和主题往往不尽相同.
对于一些关键用户其培训内容应该有所指向和更加专业,如关键数据用户应该有更加专业的数据安全领域技能知识和事件处置能力;关键系统运维人员应当懂得应对专业网络钓鱼、如何识别系统异常请求、如何维护运维电脑、如何管理系统权限、如何规范开发接口等.
普通用户则需要浅显易懂地提升其对网络安全的认识,能够维护自己电脑操作系统、辨别恶意软件、更新电脑补丁,养成良好的计算机使用习惯,达到集团公司对于员工的基本网络安全要求即可.
网络安全方面专家还应具备全面的攻击技术使用能力、攻击调查取证、攻击防御体系建设、安全合规体系建设等知识和能力,同时要对本企业内网的数据模型、业务模型和信息资产都有相当深刻的认识和理解.
对于真实攻击行为的准确判定需要相当专业的知识积累,应对真实攻击需要重视企业内部网络安全专业人才的培养,对能源企业网络安全专业人才培养的主要内容如图5所示:
2.3应用效果
本文内网综合安全防护体系从管理、技术和运营3个角度出发,在传统内网安全防护基础上,完善提升了内网安全控制、攻击识别、安全人才培养能力,补充建立了内网资产发现和分级授权体系,在实践应用中产生了很好的效果:
1) 资产管理能力加强.
实践企业先期完成了网络SDN改造,结合内网资产发现平台,实现了资产100%实名入网,实现资产快速发现、数字化管理、变更监测和风险探测,提升了企业内网资产管理能力.
2) 策略更加精准,暴露面减小.
实现企业内部不同网络间的访问控制和流量监控隔离,主要办公网络内的区域隔离和访问控制,建立流量模型,建立重要数据防护和病毒监测.
3) 内网攻击监测能力加强.
通过网络探针收集不同区域直接的网络流量,连同入侵监测、态势感知、数据防护系统、网络接入和访问日志等安全流量进行统一收集和关联分析,实现了对内部通信流量的攻击监测、后门通信监测、异常行为告警等.
4) 完善制度体系,细化人才培养 .
通过单位安全管理机构设置、配套安全管理办法、系统安全管理制度等系列管理制度建立,建立课题梳理网络安全流程,实现单位网络安全运行合规合法和管理能力逐步提升,建立安全通报机制,立足差异化需求改进安全培训课程,提高全员网络安全意识和安全技术水平.
3 结束语
本文分析了复杂环境下能源企业的内网所面临的网络安全威胁,提出了在应对复杂网络威胁过程中,能源企业内网开展安全防护能力提升和安全防护体系建设的基本思路.
在实际建设中,各能源行业可以根据自身业务特点和信息资产特点等进行差异化实现,但是对于内网的资产精准测绘是安全防护的重要基础工作.在对资产和系统的安全防护设计过程中,应重视认证协议、接口的选择,在统一认证中才能快速实施和部署.目前,能源领域的各单位信息资产统一准入授权、攻击模型的建立仍然是内网安全防护建设的难点之一,仍需要不断探索与完善.
参考文献
[1]王心怡. 近期全球网络安全形式与动向分析[J]. 通信管理与技术, 2022, 6(3): 53-55
[2]奇安信威胁情报中心. 国家博弈的第二战场: 俄乌网络战分析与启示[EB/OL]. [2022-03-15]. https://www.qianxin.com/threat/reportdetail?report_id=149
[3]鐘信安. 俄乌冲突敲响保障网络安全警钟[J]. 中国信息安全, 2022 (6): 56
[4]帅训波, 石文昌, 冯梅, 等. 基于动态存储的天然气地质信息共享平台构建[J]. 天然气工业, 2021, 41(9): 57-65
[5]帅训波. 基于元数据的油气信息管理系统[J]. 计算机系统应用, 2014, 23(7): 37-41
[6]李可, 方滨兴 ,崔翔, 等. 僵尸网络发展研究[J]. 计算机研究与发展, 2016, 53(10): 2189-2206
[7]李婷婷. 基于大数据的网络信息安全防范浅析[J]. 网络安全技术与应用, 2022 (2): 173-174
[8]陈涛, 程丽君, 李明桂, 等. 网络空间测绘系统及应用研究[J]. 通信技术, 2020, 53(11): 2832-2837
[9]金志刚, 王新建, 李根, 等. 融合攻击图和博弈模型的网络防御策略生成方法[J]. 信息网络安全, 2021, 21(1): 19
[10]帅训波. 一种开放式网络环境下的动态信任评估模型[J]. 昆明理工大学学报: 自然科学版, 2016, 41(6): 54-59
[11]郭晓宇. 统一认证授权技术浅析[J]. 网络安全和信息化, 2022 (1): 24-26
[12]郭宝霞, 王佳慧, 马利民, 等. 基于零信任的敏感数据动态访问控制模型研究[J]. 信息网络安全, 2022, 22(6): 86-93
[13]方滨兴. 定义网络空间安全[J]. 网络与信息安全学报, 2018, 4(1): 15
[14]辛耀中. 重要工业控制系统网络安全防护体系[J]. 信息安全研究, 2022, 8(6): 528-533
[15]徐远泽, 张文科, 尹一桦, 等. APT攻击及其防御研究[J]. 通信技术, 2015, 48(6): 740-745
作者简介
董之光,硕士,工程师.主要研究方向为网络安全攻防渗透、等级保护、风险评估.
帅训波,硕士,高级工程师.主要研究方向为网络安全、网络规划、信息技术标准.
冯梅,博士,教授级高级工程师,中国石油勘探开发研究院信息技术中心主任.主要研究方向为信息管理、网络安全、信息基础设施.
(本文刊载在《信息安全研究》2023年 第9卷 第4期)
声明:本文来自信息安全研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。