学两会·话安全|数字时代下关键信息基础设施网络安全风险剖析

学两会·话安全|数字时代下关键信息基础设施网络安全风险剖析

时间:2021-03-10 作者:安帝科技

2021年全国两会上,代表委员就网络安全提出了很多提案与建议,聚焦数据安全、个人信息保护、网络安全基础设施、网络安全人才培养、网络安全学科发展、物联网安全、关键信息基础设施保护等领域,引发热议。工信部长肖亚庆在接受媒体采访时称,要平衡好发展和安全的关系,一手坚定不移地抓发展,一手坚定不移保证安全。
可见,安全是当前数字经济发展的重要保障,是不可或缺的基础设施。特别是政协委员、安天创始人肖新光及360集团创始人周鸿祎都提出了建设新基建的安全基础设施,聚焦构建新基建安全防护能力的建议。其宏观视野和创新思路,引发了工业网络安全行业的强烈共鸣和热烈讨论。
作为耕耘电力行业多年的工业网络安全企业,安帝科技深切感受到关键信息基础设施网络安全保障的严峻性和复杂性,地区之间、行业之间、不同企业之间、IT与OT之间,在经费资源投入上、知识储备上、人才队伍上甚至文化建设上,都存在极大的差异,而这种现实的盲区、短板或不平衡正是攻击者的绝佳机会。围绕关键信息基础设施的网络安全保障,以总体国家安全观和“大安全”为指引,结合企业战略发展方向,安帝科技先后组织多次学习讨论,形成了初步共识。现将两会精神和关基防护专题讨论的认识和思考总结为风险剖析及防护思考两部分,梳理如下。

01关键信息基础设施网络安全风险恶化趋势

据国家工业信息安全发展研究中心《2020年工业信息安全态势报告》显示,随着工业互联网、智能制造加速发展,海量工业设备泛在互联,工业信息安全呈现风险威胁扩散化、攻击手段智能化等特点,针对工业领域的网络攻击事件、工业设备、系统的安全漏洞数量逐年递增。专门攻击工业企业OT域的APT组织数量也在增加。综合来看,我国关键信息基础设施面临的网络安全风险呈恶化之势,安全防护能力水平形势紧迫。

工业领域的勒索攻击成为头号威胁

2020年,国家工业信息安全发展研究中心共跟踪公开发布的工业信息安全事件 274件,其中勒索软件攻击共 92件,占比 33.6%,涉及 20余个国家的多个重点行业。在新冠疫情全球大流行的背景下,新冠疫情相关内容作为钓鱼诱饵对医疗卫生、政府、教育、制造等行业的网络攻击高发。物联网设备、智能联网设备成为攻击的重要目标。

工业信息安全漏洞数量持续走高

2020 年,国家工业信息安全漏洞库(CICSVD)共收集整理工业信息安全漏洞 2138 个,环比上升 22.2%。其中,通用型漏洞 2045 个,事件型漏洞 93 个,涉及 335 家厂商。在收录的通用型漏洞中,超危漏洞 379 个,高危漏洞 899 个,高危及以上漏洞占比 62.5%。

专门攻击ICS/OT的APT组织数量增加

美国知名工业网络安全公司Dragos在2月25日发布的工业控制系统网络安全年度2020总结报告显示,在整个2020年,该公司在之前确定的11个威胁行为组织仍然积极地针对工业组织开展活动。此外,该公司又发现了4个新的威胁行为组织,其动机是确定是瞄准了ICS/OT。

攻击组织TTPs不断推陈出新

工业企业的网络风险急剧增长和加速,首当其冲的是影响工业流程的勒索软件、使信息收集和过程信息盗窃成为可能的入侵,以及来自针对ICS的攻击对手的新活动,像EKANS(SNAKE)这类专门针对ICS的勒索软件出现。另外,由于OT环境可见性的严重缺失,供应链的风险愈发严峻。攻击对手通常会慢慢地建立入侵基础设施和行动,之后的行动往往由于之前的工作而更加成功和具有破坏性。类似SolarWinds这类史上最先进、最复杂的供应链攻击,对工业控制系统的威胁尚未可知。

02关键信息基础设施网络安全风险主要特点

2020年7月公安部发布了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,进一步明确了加强等级保护和关键信息基础设施安全保护的基本原则、工作目标和具体措施。在保护工作的具体推动过程中,因关键信息基础设施行业,特别是能源、电力、交通、制造等领域,因其自身特性而面临不小的挑战。除了识别定级、主体责任、监管制度等体制机制性挑战外,还面临OT侧的历史原因和新兴技术应用、数字空间的安全风险与实体空间安全风险交织、叠加的复杂挑战。

存量风险与增量风险叠加

一方面,新基建背景下,5G、大数据、云计算、人工智能等大量新技术,推动远程医疗、智慧城市、工业互联网、物联网等领域大量创新应用,全新安全挑战扑面而来。另一方面,能源、电力、交通、制造等行业存在大量的老旧系统、设备,使用传统ICS系统的专用协议,计算资源受限、可靠性要求高、使用寿命较长,设计之初就缺乏通信保护、数据加密等安全考量,导致在连接泛在、环境开放、应用复杂性激增时,暴露出大量安全风险。消解存量风险、防范增量风险,在关键信息基础设施保护中同样突出。

传统风险与网络风险交织

2020年针对工业网络的攻击事件几乎占据网络安全新闻的头条。航空、能源、电力、制造等众多企业在勒索攻击面前纷纷沦陷,以色列水务攻击、伊朗港口攻击等工业安全事件再次突显网络攻击的背后地缘政治的争夺。美国佛罗里达州小镇Oldsmar供水系统的网络攻击让美国的监管机构和情报机构惊出一身冷汗。当前新冠疫情对全球政治、经济、文化、社会等领域产生了深刻影响,工业网络正在成为地缘政治争斗的主战场,地缘政治竞合加剧,网络安全形势愈加复杂,传统地缘政治风险、社会风险与网络安全风险交织辉映互相渗透。

IT风险与OT风险互为影响

IT、OT、CT、云和第三方系统之间日益增强的连接性为攻击者提供了更多进入关键系统的方式。抵御这些新漏洞至关重要,也充满了挑战,这导致探测、调查和补救网络安全威胁和事件变得更加困难。传统上由IT网络进行突破,形成据点,进而攻陷OT网络的案例已不新鲜,未来由OT网络进行突破而攻陷IT网络的情况也会大概率发生。特别是数字化、网络化、智能化加速发展,企业纷纷采用标准化的通用IT技术、统一的工业协议和开放的应用界面,工业控制网络的隔离边界恐被打破,让OT安全防护面临新的考验。以金融、能源、电力、通信、交通等领域为代表的关键信息基础设施已成为经济社会运行的神经中枢,其安全防护成为数字经济持续发展的重要保障。关键信息基础设施一旦遭遇破坏或袭击,可能导致企业和国家的巨额经济损失,甚至会威胁到人民群众的生命安全和社会稳定。充分认清当前数字化时代关键信息基础设施面临的复杂风险和严峻挑战,对于关基运营方、行业和国家监管方、网络安全能力供给方甚至普通民众,都具有非常积极的现实意义。