安帝科技周磊:CrowdStrike“蓝屏宕机”教训深刻,做好OT终端设备安全防护应坚持“可装、可用、可管”原则
时间:2024-08-23 作者:安帝科技 原创
工业网络安全不仅关乎企业的正常运营和生产安全,还关系到国家安全和社会稳定。作为工业网络的重要组成部分,OT终端设备的安全防护至关重要,它直接影响到工业网络整体的安全性和可靠性。然而,随着网络空间攻防对抗的加剧,新兴技术带来了新的威胁,工业网络正面临着前所未有的安全威胁。传统的安全防护措施已不足以应对当前的安全风险,更何况在OT网络中普遍存在着安全软件“装不上、起不来、频冲突”的窘境,OT终端更是处于“失管、失察、失控”的状态。
本期《牛人访谈》邀请到安帝科技创始人、CEO周磊,从当前工业环境下终端设备的网络风险态势出发,探讨了当前工业网络环境下终端安全防护面临的主要趋势和挑战。周磊认为:美国终端安全厂商CrowdStrike不久前所发生的“蓝屏宕机”故障对用户造成了巨大损失,教训深刻。结合工控安全领域相关技术和产品的最新发展趋势看,工业企业要做好OT终端设备安全防护,应该遵循“可装、可用、可管”这三个建设原则。
—————————–
周磊
北京安帝科技有限公司CEO、董事长,毕业于北京大学软件与微电子学院。长期从事计算机应用、网络安全、工业控制系统安全的研究、开发和项目实践,具有较丰富的能源行业数字化、网络化与网络安全建设规划与实践经验,并拥有工业控制系统安全领域的发明专利20余项。
—————————–
安全牛:
您认为,我国工业企业生产环境下的终端设备系统,目前所面临的网络安全风险态势如何?
周磊:
今天,工业网络安全已成为国家安全和企业稳定运营的重要组成部分。然而,面对日益复杂的外部环境和内部挑战,工业生产环境面临的网络安全问题日益凸显。从外部环境、工业网络特性、工业企业自身等角度看,工业生产中存在几个典型问题:
首先,从外部环境看,随着网络空间对抗上升到国家安全的高度,工业网络已成为网络攻防的前沿阵地。在一些高风险对抗场景下,必须树立网络可能失陷、人员被策反等极限威胁想定,构筑技术控制措施,因为监督和验证比信任更加重要。
其次,从工业网络发展现状看,我国与发达国家相比还存在较大差距:一是工业网络资产管理存在盲区和死角,“看不见、管不了”的问题比较突出,很多旧设备隐藏在底层,无法被发现和管控;二是软件不匹配,现有的安全软件无法完全适配旧系统;三是资源冲突,新软件的安装可能会影响原有业务系统的稳定运行,导致工业终端或OT终端处于“失管、失察、失控”的状态。
再次,工业网络安全理念上看。一方面,我国工业企业在网络安全领域过度依赖物理隔离,物理隔离曾经非常有效,但是随着技术的进步,物理隔离不再能满足当前的需求,现代网络攻击可能通过电缆、声波、光等物理介质进行渗透。另一方面,在工业网络建设过程中,片面追求时髦概念,过于关注一些新兴技术,而忽视了真正的落地应用和实际效果。
最后,从技术应用上看,IT和OT的生产层面融合取得良好效果,但在安全领域,即IT网络安全和OT网络安全的融合尚在初级阶段,在运行机制、管理机构、人员组织、技术体系等诸多方面存在脱节,需要建立统一的安全运行机制。同时,当前工业网络安全领域也是典型的市场机制失灵的地方,完全交给市场注定是要失败的,需要政府强有力的规范和监管。
—————————–
安全牛:
要保障工业生产环境下的终端设备安全稳定运行,企业会面临哪些困难和挑战?
周磊:
在快速发展的工业网络环境中,OT终端仍然是攻防双方争夺的焦点,终端安全防护的重要性不言而喻。然而,一系列挑战阻碍了有效安全措施的实施。当前终端安全防护主要面临以下挑战:
第一,由于OT网中设备类型、协议和网络架构的差异和多样性,全局、全量可见信息的获取变得更加困难。比如流量采集上,在遇到工业环网时,就可能采不到。在控制设备上模块、组件间流动的背板流量,也无法采集得到。如果通过主动探测的方式对网络中的设备进行扫描又会带来一定的风险。
第二,系统型号通常老旧,升级难度大,无法修复。OT网中的设备通常很难进行升级,甚至几乎无法打补丁,因为打补丁通常与监管要求和业务系统的稳定运行存在冲突。
第三,由于性能、适配性、检测手段等因素,现有的检测响应和EDR等工具,无法满足OT 终端对实时性和稳定性的严格要求。
第四,一些设施供应商,自动化厂商,在安全方面具天然优势,他们的“霸王条款”导致用户升级难度大,难以获取必要数据。
此外,工控系统安全漏洞问题非常严重。OT侧终端品牌型号繁多,伴随着大量漏洞,而且漏洞集中在与传统网络安全完全不同的深层网络中。数据显示,2023年L3-L0漏洞占所有OT漏洞的79%左右。这其中,工控系统的核心设备(如执行设备和控制器等)所在的L0和L1层,漏洞占比约为20%。这些漏洞要不要修补?能不能修补?什么条件下修补?存在极大的决策空白。
—————————–
安全牛:
工业生产环境中的终端安全问题为什么不能依靠传统的终端安全方案去解决?
周磊:
在回答这个问题之前,我们首先要来看看IT系统和OT系统所面临安全威胁、防护目的的不同。
IT系统和OT系统面临的安全威胁有所不同。IT侧主要应对病毒、木马、钓鱼等来自外部的恶意攻击,而OT侧面临的外部攻击较少,但存在一些特殊的物理暴露面、信息暴露面等风险。当前随着IT和OT的融合,这两种类型的安全威胁正在趋同。
此外,IT和OT系统在终端类型、网络结构、防御目标等方面也有所区别。OT系统除了有通用的计算机、服务器、存储等移动设备之外,还有工业控制器等专用设备。OT网络结构也相对复杂,涉及工业以太网、无线网、物联网协议等。在防御目标上,OT系统更注重可用性、可靠性、功能安全性等,而不仅是保密性、完整性、可用性。这是因为OT系统更注重生产连续性。
目前,主要有两类企业提供OT终端安全解决方案:
一类是传统工控安全厂商。他们提供的产品功能主要集中在应用白名单、外设管控、病毒查杀等方面。这些产品在病毒防护能力、稳定性、可靠性等方面可能无法完全满足现代工控系统的安全防护需求。不过,他们在终端安全领域做了一些新的尝试,如引入黑名单机制、可信计算等技术,提供双重认证等功能,采用更先进的具有针对性的解决方案以适配工控场景;
另一类是传统安全厂商。他们在逐步适配工控环境,通过功能裁剪等方式来提升稳定性和可靠性,但过程中可能会存在一些挑战,如难以完全适配一些资源受限的工控环境。
针对不同类型的终端设备,不同的生产环境,工业企业需要采取差异化的安全防护措施。既需要利用先进的安全技术,也要充分考虑工控系统的特点,尽可能平衡安全性和可靠性。
—————————–
安全牛:
做好工业环境中的终端设备安全防护必须遵循哪些防护原则?
周磊:
基于上述的各种挑战,我们认为,要做好工业环境中的终端设备安全防护,工业企业应该遵循“可装、可用、可管”的建设原则:
可装,是指解决软件适配性问题,做到与原有系统和平相处,不会造成任何干扰。这是OT场景下的首要考虑因素;
可用,是指满足可用性要求,最小化软件的资源占用和性能开销,不能影响原有系统的正常运行。同时,软件能够真正实现各种安全功能,满足事前、事中、事后的各种安全需求;
可管,是指实现设备资产的可管理,安全软件不仅要保证每个终端的安全,还要具备对整个网络内终端设备的全局管控能力,还应为系统提供额外价值,如流量采集、情报分析等。
基于上述“可装、可用、可管”的建设目标,企业在选型终端安全系统时,应该全面考虑方案是否可以实现全覆盖、轻量化、零扰动等防护目标,同时覆盖从电脑、服务器到工业设备、物联网设备等各类终端,适配多种操作系统。
以安帝科技研发的万向终端防护系统为例,具有轻量化特点,产品本身体积小巧,对内存、CPU等系统资源占用非常低,不会对原有终端系统造成影响,安装和运行均不会影响业务系统的正常工作,真正做到无感式的安全防护。同时,系统具备自适应风控的智能化能力,通过自学习动态适应不同终端运行环境所特有的安全需求,形成有针对性的风险防控。
—————————–
安全牛:
在工业环境中开展终端设备的安全防护工作,需要哪些关键技术的保障和支撑?
周磊:
确实,我们需要通过先进的技术手段和创新的解决方案来强化终端设备的安全防护工作。我们认为,要重点关注以下五个关键技术:
第一,OT资产的自动化识别、流量监测和配置检测。当前采用技术手段进行资产自动化识别还难以达到100%的准确性,需要人工介入以进行最终的匹配和确认。但是,我们需要探索如何把人工介入的比例压缩到最低程度,而加大自动识别的比例。
第二,网络行为学技术。通过机器学习等技术手段,对OT设备的行为特征进行分析和识别,从而建立行为指纹库,帮助我们更好地掌握OT设备的状态,识别和管控异常情况。
第三,OT终端微隔离技术。在整个网络建设和运维过程中,即使实施了区域隔离措施,一旦发生安全事件,仍然需要依靠终端级别的微隔离能力来有效地控制受害设备,防止不利影响的进一步蔓延。
第四,异常行为的识别和根源分析。需要区分网络攻击、设备故障和人为操作错误等不同根因,并依靠机器学习、深度学习等技术来进行识别和分析。
最后,安全大模型在工业场景中的应用。特别是在保护客户数据隐私和安全的前提下,实现模型的本地化部署,这是一个需要权衡技术和政策法规等因素的复杂问题,但确实需要大胆探索。
—————————–
安全牛:
从安帝科技的技术应用实践看,未来OT终端安全防护技术将会如何演进发展?
周磊:
我们认为,OT终端产品的功能定位和核心设计理念应该强调安全和业务的紧密结合,而非割裂。因此,安全厂商要着重关注用户(包括人和设备)的行为,因为这与安全风险密切相关。产品也需要采用自适应的风险管控方式,增强OT网络的弹性,而非追求绝对无安全事件的状态。
从方法论上看,安帝科技的终端安全产品采用预防、识别、检测、保护、响应、恢复为重点的“六大框架”,并把防护重点放在前三个阶段,也就是预防、识别和检测阶段。之前工业网络靶场的产品,就是解决预防的问题。其中,预防包括安全左移措施,以及安全系统的设计和开发;识别包括资产、漏洞、威胁和风险的识别等。
在安全能力方面,产品全面覆盖终端应用程序安全、轻量化本体、零扰动运行等,重点在于监测。除了保证终端安全,这些产品还向后台输出终端安全信息,从而尽可能地全面感知和掌握整个工业供应链设备的运行状态,以便更好地识别和应对安全风险。
就在不久前,美国终端安全厂商CrowdStrike因其EDR产品升级导致全球Windows系统蓝屏故障,最终给用户造成的财务损失或超过50亿美元,这在行业中引发了激烈的讨论和思考。其中一个关注点,就是终端安全类产品在驱动级和应用级之间,或者重载化和轻量化之间,孰优孰劣?我们在内部研讨后决定,安帝科技将会坚持在工业场景下走轻量化终端安全产品的技术路线。
—————————–
未来,安帝科技会将OT终端系统的开发和拓展重点放在以下5个方面:
一、在网络层级,从普渡模型的DMZ层到工业底层即执行层-L0级,目标是实现全面可见性;
二、在应用场景方面,不仅限于工业领域,还包括物联网、车联网、医联网等场景;
三、在终端形态方面,适配不再仅局限于服务器、计算机等传统终端,还要涵盖打印机、无线设备、PLC等泛OT终端,也就是说,安帝的终端安全产品未来要装到PLC、RTU上去;
四、从操作系统层面,从通用OS到移动设备操作系统(安卓、Mac),包括各种信创操作系统,力求覆盖更多的计算机和移动设备;
五、在通信协议方面,除了传统TCP/IP,还要支持工业物联网协议、蓝牙、WiFi、GPS等无线协议。