2019年2月21-22日,2019工业互联网峰会在北京国家会议中心开幕。会议期间,召开了“工业互联网安全体系建设”分论坛,该论坛由中国信息通信研究院副院长王志勤主持,工业和信息化部网络安全管理局,吉林、江苏、山东、湖南、四川等省通信管理局等相关领导,以及来自航空工业集团、航天系统院、华能集团、航天云网、移动研究院、海尔、树根互联、360企业安全、安恒信息、梆梆安全、六方云的相关专家出席了本次论坛。
其中,树根互联技术有限公司CISO首席信息安全官兼安加互联CEO、工业互联网产业联盟安全组副主席彭卓做了《IIoT安全挑战与应对》的报告,PPT由彭卓授权工业安全产业联盟公众号发布。
PPT精彩分享看这里!
以下为现场演讲实录!(以下报告内容来自中国信通院网站速记,由工业安全产业联盟公众号整理发布。)
目前树根互联服务对象大部分是细分领域的龙头或者中小工业企业,通过IoT实时在线的方式已经覆盖了众多客户,直接给他们做工业互联网服务和方案,并且提供了一些产品。包括机床行业、注塑机械行业等细分行业,我们都有一些行业的案例和应用。以前更多的讲的是这些企业上我们平台如何保障它的安全,但是今天我反过来想,他们工业企业自身的OT安全有哪些现状的问题和差距,我想做一个解答。首先我们给他们做工业互联网,做这种应用更多是从灰场做升级部署,我们做了很多改造,技改、通信改造,增加接口,或者是网格化以及边缘计算的节点,甚至产品的智能化,不光是场内的智能制造的数字化,还有给他们做产品,生产出去卖出去的产品做智能化和绿色性的维护。
但是从现状上来说,确实很多的企业安全治理机构和策略是分开的,有些企业甚至没有OT安全的管理部门,特别是普通模型下面三层没有人去做。有些企业可能有这种机构,但是还跟传统的安全是两个不同的垂直汇报领域,没有很好的融合。还有对OT资产缺乏可见性,无知者无畏,可能真的很安全,是因为我们不知道,不了解它。还有我们没有发现资产,也没有发现资产的风险以及影响,OT网络是扁平化的,扁平化会导致各个不同的工业组件之间,比如说很多线路之间跨协议标准和供应商都不一样,所以导致它们相互友协调通信的时候存在危险信道。还有一些就是现在大部分还是传统的安全厂商去做,导致专业覆盖度可能还不够。我们对工业控制总线都有做安全的评测,或者是风险画像评估,其实更多是IT的方法,其实漏洞里面很少涵盖OT的威胁。我们不考虑对OT的影响,IT的安全产品在OT的时候就有一些适用性的问题,比如说主动扫描,我们非常抵触主动扫描一些OT设备的资产,因为这样有可能就把这些PRC扫挂了或者停机了。还有一些渗透包解析,可能对一些协议没有扫到,所以IT安全产品在OT网络中适用性这块还有待于我们进一步尝试。安全责任问题模糊不清,还有外部供应商在远程维护的时候会有远程访问的方式会存在风险的,尤其是PRC编程,重新上调工艺流水线的时候,他的工艺产生了变化。还有一些就是要垂直行业和OT行业特定的威胁情报也没有收集,这个就是响应计划之间的协调很有限。备份恢复也很漫长,甚至恢复不了,所以上面设备配置最好多配置几套,因为到时候直接回滚了,就不再是单个恢复能够赶上了。
有些误区我这里提出来,我访谈了很多中小企业的一些所谓的安全负责人,但是他们会存在极端,一种极端就是说面临相同的风险,所以我们可以使用IT安全这套风险评估的方法论,其实这也不对。我感觉现实中它们是有重叠,但是使命不一样,比如IT安全注重CIA就是使用性,OT更多注重可靠性和安全性。还有文化是不大一样的,所以它们两个不能统一,这是另一种观点,其实OT是以工程为中心,是以适合为目的,只要能完成它的功能点,但是IT是以信息为中心,以灵活通用、快速流动为目的,所以在这种网络协议设计初衷上面就有所不同。但是文化上其实它们都是以资产为中心的组织去同步发展,有一个共同的交集是一定以资产为中心分析这个安全问题。我们套用IT网络的方法来保护我们满足需求,但不是一个尺子让两边共同满足,因为OT更多讲求实时性,事件驱动,主动响应监测,被动的发现,隔离的策略,这是传统目前它的一些特征的总结,还有特定的行业法规部,每个行业的安全法规方向是不一样的。
有些人提出来我们搞工业互联网,我们传统那套打法不适用了,其实这个我的意见也没有那么快,其实隔离仍然是一个非常高回报率的手段,我还是鼓励去用。但是尤其在特定的行业,比如军事或者高风险的金融行业还是鼓励用隔离,但是有些行业是可以慢慢的与工业互联网展开拥抱,甚至做一些补偿性的措施。
这个是我摘自美国的标准院和ICS的一个应急响应中心他们所提出来的OT和IT在安全功能上的一些差异,主要在防病毒、补丁、基础设施、测试、审计工薪、资产分类、事件响应、物理和环境安全等等不同点,就是我们在设计安全功能的时候,从以前IT的视角上就会转变一下,就从OT上怎么做?比如时间更长,OT的技术支持是终身的,10-20年,而且会导致报废的一个问题,而且是同一个部位,不像现在我们做杀毒软件可以找其他的一些病毒厂商,就是地方支持的就可以服务,他这个是有独立的供应商,比如现在施耐德的一个设备升级的话只能找施耐德原厂,其他代理商就不好做。还有一个就是在恢复这块取证的程序不成熟,还有涉及到系统的恢复,不光只是设备的恢复。取证的过程有可能再去回溯,即使恢复了生产量,回溯了反而更麻烦,可能超过了重建的成本。还有一块是安全系统开发,我们所了解的传统有几十年了,IT的SDL安全软件生命周期是一套很好的方法论,但是OT之前就没有把这种OT功能作为开发的一部分,目前的趋势是开始OT的一些软件功能上正在重视这一块,加入到安全的设备上面,本身让设备本体更安全,有这样一个趋势,但是比较慢。合规性就是IT取决于自己业务部门最终监管自己或者有些统一的监管层,但是区别是在OT领域具体的监管是取决于行业,有行业特征性,行业有些监管指南会从网络安全的角度加上行业的监管指南会形成一个合集。
在框架上对标了几个比较流行的网络安全框架,在国际上的特别是一个是欧盟的18号令,还有ISC、ISF,还有自动化这块的等这些条例我们做了一个简要的分析之后得到了我们要做的ToB,就是我们将要形成一个什么样好的OT/IT一体化的目标有哪些工作,这是我们未来要去努力的几个方向,一体化的安全治理,一体化的政策框架,以及我们根据重要程度识别和管理的OT资产,还有包括防控者和数据安全,还有持续的监控、检测、应急响应、评估。作为企业视角来看,如果要做好工业互联网安全有哪些重点工作,识别出这八个方向。
当然结合我们之前的现状和ToB要做的事情,发现我们存在了非常突出的几个差距,一是我们缺乏适当的OT安全治理和运营的模型,而且之间的角色机构都没有明确清楚,还有一些就是对OT系统、资产配置和连接模式的正确识别和管理也没有做起来,他们的通信、业务的这种运行方式没有梳理清楚。还有对自动化这些领域的系统缺乏BCM,缺乏业务连续性的管理,还有对网络分段访问管理和补丁管理缺乏防渗透的手段。还有有效的检测和监控机制,现在OT的现场操作人员更多的是用来生产环境当中异常故障反馈,就是偏业务安全,但是实际上对本身我们谈的信息安全、网络安全产生的异常故障,其实他是没有这个职责做这个事情的,也没有关心这个事情,这就是一个盲区。还有就是我们缺乏管控的第三方的有一些设备的原厂商要远程访问,远程下指令,远程调试,远程配置,远程重启程序,这样第三方管理上面我们怎么做治理和审计,这也是一个不可忽略的方面。
当然早在两三年前就有企业提出来了我们常规套路是什么,讲这些目标差距,常规的方法会有覆盖,看他们提的问题就是说缺乏可见性,后面我们就绘制一个体系结构,然后搞资产清测,资产清单,做排序,这是我们的建议,就是以这种常规问题。第二个方向就是IoT的产品特性会有什么问题,而且我也不去解决这些要求,他不知道这些要求不明确,没有人知道我到底该怎么做,我所处的这个行业具体有哪些安全的要求,以及这些设备类型有什么风险特征,所以他就没有采取这种措施。所以我们的建议就是通过有效高回报的安全对策,白名单也好,远程控制也好,优先级来进行控制,不是一下子能做到绝对安全,但是肯定有一个过程。还有的企业就一直没人,也没有高素质的人或者高技能的人去做这个事情,出现问题大家蜂拥而上,而且还会引起干扰业务的一些风险。所以我们的建议第一个是要引入外部力量,第三方的一些专业的咨询公司,技术方案公司,场景公司,以及首先要搞清楚行业监管的合规性,一定要把标准和外部指导结合起来,再结合自己的企业特点和业务特点做这种最佳实践,持续的保持企业内部的安全政策和行业协会以及国家政策之间的一个合规性。很多人说旧的工业协议是专有的,安全协议可能针对不到,甚至这个协议里面还分数据逻辑和数据结构的不一样,区分就很大了,所以会导致他们就觉得这些产品也比较滞后性,没有考虑到现代的威胁和安全架构,导致安全产品现在有可能还可以,但是可能未来加了一条产线,比如说机器人的产线覆盖不到了,有一定的滞后性,但是我们采用的安全技术或者尽可能得失用跨异构系统的,部署起来比较灵活的,相对来说支持协议集成的产品能力越来越好,这个统一的视角去做。
我们之前更多的是做工程机械车辆的安全情报,针对自己产品做的一个风控,因为我们要远程解锁机,远程要控制产品。现在回到三一内部,我们去年开始定数字化转型的任务,我们三一集团内部有16000多台的生产设备,这个设备去年已经联了大概3000多台,今年还会横向的把这些设备全部打通。所以我们盘点了一些资产,然后还根据风险提供安全控制,包括参考了前面的一些框架和模型,增强了对OT员工的安全培训。其实这个我们也分了短期、中期、长期的一些工作,中期就是一体化的模型和政策,长期的就是要做定期的渗透测试。
从目前树根包括安佳现在整个在工业互联网安全工作进展,第一个我们集团投资成立了安加互联,专注在工业互联网安全领域的发展,去年正式成立了应急团队,这是整个全集团式多应对团队,对突发事件的应急管理规范和演练实施计划合作发布。近三年也参与了国家课题的项目和建设,标准上面我们牵头拟定了工业互联网平台安全的第一个GBP的国标,关键技术上我们做了一些应急包括态势感知方面的一些工作,以上是今天报告内容,谢谢大家!
来源:中国信通院
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。