創業新聞

工業安全即將引爆下一場網路戰爭,創業者們有什麼機會?

工業控制的安全正在成為未來網路戰爭的主場地。

去年聖誕節前,烏克蘭電網遭到駭客攻擊,造成了大規模停電,影響到140萬名居民。駭客利用欺騙手段讓電力公司員工下載了一款名為BlackEnergy的惡意軟體,攻擊了約60座變電站。

同樣的,2014年10月至2015年9月,美國發生了295起入侵關鍵基礎設施的駭客攻擊案件,如機場、隧道和煉油廠等。在世界各地,還有許多攻擊事件未被曝光。

對於傳統網路安全軟體而言,工業安全領域依舊是一個盲點。國內人口密集,電力、交通情況更為復雜,供電、供水這些基礎設施的核心控制器件是工控系統,如果遭遇駭客攻擊,會面臨更大面積的癱瘓。

而一些創業者正在圍繞「這一盲點」嘗試著創業。

「工業控制系統與傳統IT系統存在很大的差異,工控協議類型繁多、適用於不同的控制環境,我們在對這些協議進行深度解析之後,推出了工控檢測審計系統,這些軟體需要部署在客戶網路的網關處,能記錄正在發生的網路行為,並檢測到異常行為。」大陸頗有名氣的新創科技公司匡恩網路的高級副總裁李江力對媒體如是說。

匡恩網路在工業控制系統網路安全領域探索多年,今年完成B輪融資,曾牽頭制定「工控網路監測」、「工控漏洞挖掘」、「智慧城市安全」、「數控安全」等多項行業標準。最近,該公司發布了面向工業控制系統和物聯網安全的威脅態勢感知平臺和漏洞挖掘雲服務平臺,試圖解決工業控制系統網路安全和物聯網安全的問題。

智慧型製造時代的創業機遇

中國大陸過去以工業製造為核心的產業結構正在改變,早已經不再是「世界工廠」,大陸也已經開始把「智慧型製造」作為國家產業轉型升級的一個必然的方向。

一些企業已經加入智慧型製造的浪潮,例如海爾這兩年先後建造了7家智慧型工廠,這對於匡恩網路這樣的創業公司,是一個機遇。

在大陸發改委提出的《智慧製造2025白皮書》中,從價值鏈、生命周期和系統架構三個緯度定義智慧型製造。李江力告訴媒體:其中,系統架構產業鏈包括設備層、控制層、管理層、企業層、網路層,在設備層和控制層,尤其需要植入工業控制網路安全基因。

在傳統工業控制網路中,底層是設備層,包括儀表、電動機、機床等等,上一層是PLC、DCS,統控制機器運行;再往上是操作層,比如工作站、伺服器等;然後是企業管理、企業數據;最頂端是企業層,比如企業OA、企業郵。

前三層和傳統IT相關,四、五層是工業控制領域一個被忽視的地方。李江力說:

「智慧型製造時代,底層的智慧型設備,實際上是控制層和設備層的一個智慧化融合,很多控制器件和我們的設備融為一體了,比如機器人。」

機器人本身是自帶智慧控制的,同時它又是一個執行終端,而智慧型儀表,智慧型電機等還具有感知功能,把數據往上傳,部分代替工業物聯網的感知層。從感知層到管理層、企業層、雲端,都需要工業控制系統的安全保護。

所有底層設備,要實現自動化與智慧化,必須依靠工業控制系統,工控系統一旦遭遇駭客攻擊,像烏克蘭的電力系統一樣崩潰,網路戰爭的爆發會變得非常容易。

解決這些問題,是創業公司的機遇。

未來的工業控制風險有哪些?

美國工業網路應急響應中心統計的全球工控安全事件,基本上呈逐年遞增態勢,2015年是295件,2014年是245起。

再來看來自中國大陸工信部互聯網響應中心的數據:目前中國大陸的漏洞,大概有65%以上是屬於中高危的,有33%是屬於高危的,漏洞的性質大部分還是一些信息泄露、跨站攻擊、安全繞過。

而目前他們也提出兩個問題,一是工控設備的國產化率需要增加,第二個進口設備的安全檢測需要有手段,發現漏洞他們需要解決辦法。工控環境的風險,在現場控制層、監控層、生產層、運營層都存在。

比如,各網段之間可能缺乏有效的隔離,一些主機設備可能是一些弱口令,還有一些服務沒有口令就可以登陸。一些OPC服務器配置錯誤造成數據被越權讀取,很多設備的日誌安全問題沒有解決等等。

一個工業控制安全距離的案例是:Havex病毒是針對OPC的漏洞的,Havex病毒首先乾擾目標機,然後非法獲取OPC的一些數據,駭客拿到數據之後會上傳到數據端,進行非法操作。

李江力為工業控制系統的安全問題做了歸納:

首先是工控設備漏洞,其次是設備存在後門,比如說遠程維護功能,一旦遠程維護功能被人惡意利用,可能就是一個安全風險;以及針對工控環境的APT攻擊,比如烏克蘭電力事件,是典型的APT攻擊事件。

其他還有無線技術的應用,比如說3G、4G、Wi-Fi,在方便現場使用的同時,也會帶來安全的風險和數據丟失。

一個完整的安全網路體系是什麼樣?

匡恩網路試圖搭建一個安全網路體系。工業網路安全保障體系需要考慮結構安全、本體安全、行為安全、基因安全和時間持續性保護。李江力說,匡恩網路的安全設計包括這幾塊:

首先是本體安全是指設備本身的安全性能,保證漏洞不出問題有,一個方法是原廠商直接打補丁,其次是給它額外加修補措施。

在結構安全方面,通過合理的區域劃分,保障每個區域的安全。而烏克蘭電力事件是駭客不斷掃描嘗試,最後達成攻擊,這是很多行為的組合,需要安全保障系統對這些行為進行綜合分析和統計。

基因安全是設備本身的安全屬性,也被稱為自主可控的安全性。這需要有自主的CPU、自主的作業系統、自主的晶元,還要加上輔助器件。此外還需要持續的安全管理和安全運營。

談到時間持續性保護,就是建立長效的安全防護機制,在持續對抗中保障工業控制系統安全。從技術、設備、人員、管理等多個維度,實現綜合安全服務能力,保障工業控制系統及關鍵基礎設施全生命周期的安全性。

據李江力介紹,在不同的場合、區域之間,需要加入工業防火牆或工業網閘進行網路隔離,以及一些工業控制審計系統來審核網路行為的風險,由此得出報告,告訴使用者什麼地方出了問題、有異常流量需要怎麼解決。

在底層,通過自主CPU國產化器件、國產化的數據庫和可信計算技術保證系統自主安全可控。

「這幾年在能源電力、機械製造、軌道交通、冶金、煙草等行業廣泛實施,隨著智慧型製造進程的加深,未來我們會進入更多領域。」他說。

本文授權載自:鈦媒體