工(gōng)業與互聯網技術的深度融合,讓這個傳統的行業面臨着空前的挑戰,越來越多的網絡攻擊事件瞄向了工(gōng)業互聯網系統,從近些年來發現的一(yī)系列工(gōng)業互聯網安全事件來看,都造成了重大(dà)的社會和經濟損失,也給人們的生(shēng)活帶來了最直接的影響。通過本屆RSAC2018我(wǒ)(wǒ)們發現,業界對工(gōng)業互聯網安全的重視開(kāi)始不斷加深,360企業安全集團工(gōng)業安全事業部負責人陶耀東分(fēn)享了他在RSAC2018上的所見所聞。
美國時間4月16日-20日,RSA Conference已經進行3天,相關的Keynotes、Sessions已經基本上進入尾聲,許多重磅的議題或者期待的議題基本上都完成。參會之前,作爲全球最大(dà)的安全盛會,管中(zhōng)窺豹,可見一(yī)斑。通過這個會議,我(wǒ)(wǒ)們可以聚焦到一(yī)個視角了解美國乃至全球的工(gōng)業互聯網和工(gōng)業控制安全相關的企業、解決方案、業界動态和發展趨勢,總結起來,有以下(xià)幾點觀察:
(1)Triton類對工(gōng)業控制系統的網絡攻擊,被認爲是最危險的網絡攻擊技術之一(yī);
(2)工(gōng)業互聯網在美熱度稍遜國内,但關注OT、IOT、IIOT安全問題是共識;
(3)工(gōng)業安全獲得業界重視,大(dà)會特設專題sandbox環節,大(dà)型綜合廠商(shāng)普遍關注工(gōng)業控制安全;
(4)工(gōng)業安全,創新解決方案亮點頗多;
(5)業界開(kāi)始重視工(gōng)業安全的意識提升。
下(xià)面對以上的觀察展開(kāi)介紹:
一(yī)、工(gōng)業控制系統的最新網絡攻擊,被認爲是最危險的網絡攻擊技術之一(yī)
在18日的keynote上,SANS研究所的主任Alan Paller和SANS三位研究員(yuán)Ed Skoudis、James Lyne、Johannes Ullrich總結分(fēn)析了5種最危險的的網絡攻擊技術:存儲庫和雲存儲數據洩漏、大(dà)數據進行反匿名處理和相關性分(fēn)析、工(gōng)業控制性攻擊:目的性和方法、攻擊者将通過挖礦機将受損系統貨币化、硬件缺陷。
對工(gōng)業控制系統,特别對作爲工(gōng)業系統最後一(yī)層保障的安全輔控系統SIS進行攻擊,被認爲是這5種最危險的網路攻擊技術之一(yī),這其中(zhōng)最典型的代表就是:2017年底發生(shēng)的Triton/TriSIS事件。與在過去(qù)絕大(dà)多數惡意軟件将攻擊目的集中(zhōng)在欺詐和利潤上有所不同,2017年對施耐德SIS系統進行攻擊的Triton / TriSYS這樣的、罕見的、公開(kāi)的攻擊,顯示了其巨大(dà)的能力,它的目标是危害工(gōng)業環境中(zhōng)某些最高風險組件(安全輔控系統SIS),這是生(shēng)命和生(shēng)産事故發生(shēng)之前的最後一(yī)個保障。
當前,工(gōng)業領域的攻擊者越來越有針對性和相關性,但因爲工(gōng)業控制系統的特點,這個領域仍然沒有采用最新的操作系統和相關的危險防護或緩解措施。 随着工(gōng)業中(zhōng)越來越多的傳感器數量增加和複雜(zá)性的增加,當攻擊者追求将工(gōng)業領域的傳感器或控制器作爲最終攻擊對象時,我(wǒ)(wǒ)們将受到嚴重威脅,我(wǒ)(wǒ)們的世界就是在這些嚴重依賴于工(gōng)業系統上運轉的。
因此,工(gōng)業控制系統可以被看做是最危險攻擊對象。
4月18日上午 Keynote 演講
類Triton/TriSIS攻擊被評爲最危險的攻擊技術之一(yī)
二、工(gōng)業互聯網在美熱度稍遜國内,但關注OT、IOT、IIOT安全問題是共識
随着2016年中(zhōng)國成立中(zhōng)國工(gōng)業互聯網産業而聯盟(AII),2017年11月國務院印發《深化“互聯網+先進制造業” 發展工(gōng)業互聯網的指導意見》,中(zhōng)國的工(gōng)業互聯網發展後發先至,進入高潮,AII中(zhōng)的成員(yuán)數量超過500家,工(gōng)業企業超過130家,全國的工(gōng)業互聯網雲平台超過30家,各種工(gōng)業互聯網最佳應用案例和測試床層出不窮,各種工(gōng)業互聯網會議和各類安全會議必談工(gōng)業互聯網安全。但在RSAC 2018會議和展會上,直接提及到Industrial Internet概念仍然比較少,從這點來看,在這工(gōng)業互聯網的推進層面我(wǒ)(wǒ)們國家和産業界更重視,整體(tǐ)熱端高于美國。
從RSAC會議上觀察,很多專家仍然将工(gōng)業互聯網或工(gōng)業安全當做OT或IOT來思考,并推出了大(dà)量解決方案。安全廠商(shāng)高度關注ICS、OT、IOT、CAR等安全問題,成爲業界共識。
三、工(gōng)業安全獲得業界重視,大(dà)會特設專題sandbox環節,大(dà)型綜合廠商(shāng)普遍關注ICS安全
從這會議的日程安排上,可以觀察到,除了傳統的IT安全意外(wài),工(gōng)業安全獲得大(dà)會和産業界高度重視,大(dà)會專門設置了:ICS 、IoT、Car HACKING的sandbox環節,并有十餘場的專題演講,其中(zhōng)包括:
A Quick Start Guide for Critical Infrastructure Protection
Defeating Insider Threats to Critical Infrastructure
My Life as a CISO
Insecure Cities and Rogue Robots: The Impact of Industrial IoT Exploits
No IOUs with IOT
SCADA 101
A SOC in the Sandbox
Think Like a Hacker But Act Like an Engineer
RSAC Sandbox : INDUSTRIAL CONTROL SYSTEMS
RSAC Sandbox : INTERNET of THINGS
從大(dà)會的議程和MosCone Center-West Expo、North Expo、South Expo、Marriott Marquis四個展區的展示進行觀察,可以發現大(dà)型綜合安全廠商(shāng)普遍關注工(gōng)業安全,如Symantec、卡巴斯基、Macfee、Trend等均特别介紹了工(gōng)業安全,并有專題演講。Macfee分(fēn)析了2017年的wanncry、Notpetay、Triton的事件的影響,Trend分(fēn)析了工(gōng)業風減少策略(增加可視性、保護、探測、響應、合作),卡巴斯基提出了工(gōng)業安全的風險模型、發展趨勢,建議提升安全意識和訓練、加強應用安全的軟件和專家服務;
整體(tǐ)來說,各大(dà)廠商(shāng)均建議工(gōng)業企業要制定IT和OT的安全策略,分(fēn)析IT和OT對CIA和AIC的優先排序,從架構上和配置上整體(tǐ)考慮安全防護、應用SOC/NOC進行網絡管理和危險探測、建立IT和OT一(yī)體(tǐ)化的安全團隊等,這與去(qù)年360對工(gōng)業互聯網安全提出的建議頗爲相似,異曲同工(gōng)。
Trend 降低工(gōng)業安全風險的5點建議
Trend 降低工(gōng)業安全風險建議的說明
卡巴斯基分(fēn)析ICS攻擊向量
卡巴斯基分(fēn)析工(gōng)業控制安全的3個視角關系
四、OT、IOT安全,創新解決方案亮點頗多
在本次展會觀察一(yī)些創新的企業及其OT、IOT、IIOT解決方案,可以發現頗多亮點,例如:
(1)UPTAKE公司提出了解工(gōng)業數據的分(fēn)析方法,進行工(gōng)業企業的資(zī)産盤點、獲得全面的安全可見性、對威脅進行分(fēn)類、調查和補救來解決工(gōng)業企業OT安全問題。
非常有意思的是,UPTAKE是工(gōng)業大(dà)數據應用方面的獨角獸企業,被福布斯評委“2015年最熱創業公司”,2017年最新C輪融資(zī)4000萬美金後,估值超過20億美金,其主要業務是幫助企業将各類設備上的數據采集、彙聚到一(yī)起,用一(yī)套統一(yī)工(gōng)具去(qù)監控管理,并提供推薦預測服務,如:流程優化、故障預警、任務管理等,是基于工(gōng)業企業曆史數據對企業工(gōng)作流程進行優化,預測各類設備的使用壽命,并可以根據結果反饋不斷提升預測和推薦的準确度,是工(gōng)業互聯網和工(gōng)業大(dà)數據産業的代表者。
UPTAKE所提出了工(gōng)業大(dà)數據進行安全監測和響應,與2016年360在AII峰會上提出的PC4R的理念非常一(yī)緻,也是首次看到這個理念落地成産品和服務,這是本次展會工(gōng)業安全最大(dà)發現之一(yī)。
North Expo 展館的UPTAKE站台
(2)Allegro公司給出了面向工(gōng)業嵌入系統的Web、TSL Client/Server、SSH Client/Server、嵌入式輕量級證書(shū)管理、軟件加密引擎、嵌入式設備安全工(gōng)具包套件等,主要将基于标準的安全協議快速、容易和可靠地嵌入到資(zī)源敏感的嵌入式系統和消費(fèi)電(diàn)子産品。Allegro公司位于麻塞諸塞州,成立于1996年是嵌入式軟件工(gōng)具包的領先供應商(shāng)。采用加密的方式,保護工(gōng)業安全要求,也是衆多創新方法之一(yī)。
North Expo的Allegro展台 - secure software for the Internet of Things
(3)Mocana公司提出采用加密的方式從基礎開(kāi)始建立可信度,保障工(gōng)業控制系統和工(gōng)業物(wù)聯網(IIOT)的安全,提供支持ARM、MicroChip、ST、Atmel等30多種嵌入式平台的類OpenSSL信任平台,可以源代碼方式提供,開(kāi)發者将之編譯進不同目标設備,确保聯網設備安全,如:啓動驗證、證書(shū)管理、加密引擎、安全數據傳輸和安全固件升級等。簡單理解,就是提供被工(gōng)業嵌入式系統大(dà)肆濫用的OpenSSL的替代品,以避免OpenSSL已經暴露的大(dà)量漏洞;Mocana成立于2002年,是一(yī)家軍事應用嵌入式安全軟件公司,2017年5月完成新一(yī)輪1100萬美元投資(zī),總融資(zī)額達到了9360萬美元。
值得一(yī)提的是,Mocana是明确說明其遵從2018年3月IIC(美國工(gōng)業互聯網聯盟)發布的端點安全最佳實踐(ESBP)的公司,其産品滿足IIC在對安全引導(Secure Boot)、信任的硬件和軟件根(Hardware and Software Root of Trust)、密碼服務(Cryptographic Services)、安全端點标識(Secure Endpoint Identify)和端點配置和管理(Endpoint Configuration and Management)的相關要求。
North Expo 的Mocana展台-Securing Mission -Critical IoT
(4)IoTrust公司明推出Entrust Datacard ioTrust安全解決方案。該解決方案提供安全、可信的數字基礎架構,在接入物(wù)聯網(IoT)生(shēng)态系統的設備、傳感器和後端平台之間提供數據保護。ioTrust安全解決方案利用身份、身份驗證和授權、憑據生(shēng)命周期管理和安全通信等功能幫助組織機構實現爲互聯世界提供支持的人、應用程序和設備的安全互聯。IoTrust安全解決方案可以加快部署時間,幫助企業在流程優化和自動化、供應鏈可視化和新服務提供等領域更快實現業務價值,采用的是身份認證與安全交易技術。Identity用于工(gōng)業安全,也是亮點。
(5)Zentera 公司CoIP 混合基礎設施和智能制造覆蓋(overlay)解決方案,使用先進的覆蓋網絡來将虛拟私有雲(VPC)的統一(yī)能力帶到複雜(zá)的混合環境中(zhōng)。抽象出物(wù)理網絡連接的細節,開(kāi)發人員(yuán)可以使未修改的Linux和Windows應用程序與其他數據中(zhōng)心和公共雲(甚至屬于另一(yī)個企業)中(zhōng)的主機無縫地、安全地通信,其安全功能允許公司指定允許特定的CoIP Enclave中(zhōng)的哪些授權應用訪問Enclave的網絡。 所有其他應用程序都被鎖定,大(dà)大(dà)增強了飛地的安全性。 CoIP Secure Enclave,混合或雲環境與本地環境沒有區别,企業可以全面控制連接和安全,從而在所有環境中(zhōng)實施統一(yī)的安全策略。Zentera的方案可以解決工(gōng)業企業異地多個工(gōng)廠與工(gōng)業互聯網平台、工(gōng)業雲的連接安全問題。
除了以上介紹的五個公司外(wài),Cyberbit、Cylance也推出了工(gōng)業終端安全方案和EDR理念。Veracity公司推出Veracity Cerebellum,作爲SDN平台,可以完成安全層級模型(Security Level Model)、授權網絡設備(Authorize Networked Devices)、安全區管理(Security Zone Management)、授權通信(Authorized Communication)、視覺驗證(Visual Validation)、系統策略管理(System Policy Management)等安全運營中(zhōng)心的能力。與目前360建議工(gōng)業企業建立工(gōng)業安全運營中(zhōng)心,對企業IT、OT進行安全統一(yī)管理的理念也非常類似,也讓人印象深刻。
五、産業界開(kāi)始重視工(gōng)業安全的意識提升
本次展會可以觀察到産業界開(kāi)始高度重視網絡安全意識提升,特别是工(gōng)業安全意識的提升。在本次展會上專門開(kāi)辟了ICS Village區域,用于傳遞工(gōng)業安全基本知(zhī)識。ICS Village是一(yī)個非營利組織,由Cavalry、GRIMM、SCYTHE等公司聯合創建,提供教育工(gōng)具和資(zī)料以增進媒體(tǐ)、政策制定者和其他人的對工(gōng)業安全理解,爲安全研究人員(yuán)提供訪問ICS技術來學習和測試這些系統。一(yī)些工(gōng)業安全公司,如:DRAGOS、CLAROTY、VERACITY、UPTAKE、CyberX等均是該組織的贊助商(shāng)。這也體(tǐ)現了本屆大(dà)會的主要思想——協同應對安全。
ICS Village 展示的工(gōng)業沙盤模型-水泵、HML等
ICS Village 展示的工(gōng)業沙盤:西門子PLC
縱觀本次RSAC 2018所有關于工(gōng)業安全的展商(shāng)、演講和活動,與前面幾屆會議相比,安全界對工(gōng)業安全的重視程度前所未有,創新技術、産品、解決方案、工(gōng)業安全意識培養方面均有很多發現和亮點。可以預測,未來幾年,就像本次大(dà)會的主題:Now Matters,工(gōng)業安全的威脅将會越來越多,包括中(zhōng)國在内的各國監管機構、安全廠商(shāng)、工(gōng)業用戶對工(gōng)業安全重視程度将進一(yī)步提高,相關政策和法規也會出台和落地,推動全球工(gōng)業企業的工(gōng)業安全防護需求和能力提升,工(gōng)業安全解決方案提供商(shāng)和相關創新公司将獲得高速發展。
