OT网络安全破局之思考(三):安全耦合业务是主流方向

OT网络安全破局之思考(三):安全耦合业务是主流方向

时间:2023-10-25 作者:安帝科技 原创


编者按
后疫情时代,经济低迷、持续下行,影响后果深未见底。俄乌战争凸显“关基”安全保障的极端重要性。美中对抗、大国博弈,国际安全形势瞬息万变。网络安全行业迎来最坏的时代,也是最好的时代。

洞察未来,变的是什么?漏洞后门持续走高,攻击技术的复杂化,攻击对手的高能化,安全风险的动能化,安全需求的多样化,安全目标的弹性化,资产价值的差异化,防御能力的滞后化?等等!不变的是什么?攻防对抗的本质未变;易攻难守的常态未变;敌强我弱的态势未变;安全价值的追求没变。变局中求生存、求破局,不确定性中寻找确定性,这是今后的常态。

ICS(工业控制系统)到OT(运营技术)的转变,ICS网络安全到OT网络安全的转变,完全是数字时代之变。客观的讲,ICS网络安全十多年来的探索,始终没能摆脱移植、模仿、追新的宿命。当OT网络安全深入工业网络底层时,跟随、模仿、移植的套路已力不从心。无论各表一词的工业互联网安全、工业控制系统安全、工业信息安全、工业网络安全、工业安全,都在概念、技术、流程、规范、风险、文化等等方面,面临重大挑战。其本质是对OT域的功能安全、控制安全、过程安全、业务安全、过程安全风险的无知、畏难和回避。

当真正的IT/OT/CT/ET深度融合无处不在之时,OT网络安全如何回归工业本质,如何直面底层防御盲区?如何遏制网络攻击向动能攻击的转化?强调关注“业务、人和供应链”者有之,强调安全能力前置的“设计安全和默认安全”者有之,强调系统工程回归的“弹性工程和知情工程”者有之,强调关注“工业风险和安全运营”者有之,倡导内生的“内置安全、内嵌安全、出厂安全”者有之,等等。OT网络安全的产品技术、解决方案、发展范式,将走向何处?

安帝科技试图对这些问题进行系统思考,尝试探寻自己的解决方案和发展路径。同时,也期望与业内同仁共同探讨,共同探索,共同成长。本期推出系列思考之三:《安全耦合业务是主流方向》,敬请批评指正。
安全耦合业务是主流方向
IT、CT、OT、ET的融合趋势,加快了工业网络融合开放的发展,传统的由安全事件和等保合规驱动的外挂式、被动式的安全机制已无法满足业务发展的需求。随着以“架构决定安全”为核心理念的内生安全成为下一代网络安全领域的发展方向,OT网络安全(OT Cyber security)由外挂、内置、内嵌向内生的发展之路成为必然。OT网络安全能力必然在网络顶层设计构建时就做出充分考虑,即以OT网络系统的架构、机制、场景、业务、规律等基础先天构建安全能力,并可后天自成长、自适应的“内生安全”成为OT域的必然选择。这既是OT网络安全发展演进的现实需求,也是系统安全工程的应有之义。在OT系统中,安全与业务,或说网络安全与业务应用,安全子系统与业务子系统,应当是一种什么样的关系?集成、融合、耦合?
一、安全与业务的解耦与耦合之辩
融合是指两个或多个不同事物合并或混合在一起,形成一个新的整体。在科技领域,融合通常是指将不同的技术和工具组合在一起,以创造出更多功能或更高性能的产品或系统。如物联网,结合了传感技术、网络技术和云计算技术,实现了物与物之间的互通和数据共享。
耦合是对一个软件结构内不同模块之间互联程度的度量。耦合强弱取决于模块间接口的复杂程度,进入或访问一个模块的点,以及通过接口的数据。
1、解耦说
安全平行切面技术体系的倡导者蚂蚁集团认为,安全与业务应当逻辑解耦。安全平行切面技术的第一要务就需要解决业务发展诉求与安全建设需求之间的矛盾点,将安全能力融入企业基础设施中并与业务解耦,使安全能力深入业务逻辑,同时实现双方的独立高速发展,在更高维度上实现持续的动态安全防护。数字化企业业务不断演进变化,通过混合部署快速达成短期目标的同时,加剧了长期技术负债。外挂式安全只能‘隔靴搔痒’,强耦合业务的内嵌安全则会导致与业务‘绑腿走路’。安全平行切面直达安全治理痒点和痛点,融入技术基础设施与业务服务内部的安全平行空间,与业务逻辑解耦,独立、高效、精确地支撑安全可治可战任务。这种新的发展范式,是否适用于OT网络,尚需要论证。
2、耦合说
随着OT网络安全的现实需求增长,传统IT安全在OT域的水土不服,以及信息物理系统安全、边缘计算的兴起,业务与安全融合甚至耦合的需求进一步强烈。专家认为,工业互联网与物联网等技术深度融合,关键基础设施领域部署大量物联网传感设备、感知网络构成边缘计算新模型,形成网络空间信息系统和物理空间系统紧密耦合协同互动的边缘计算网络。OT网络安全不应脱离于具体业务,需要与业务场景高度耦合,这个耦合的过程核心是安全架构的设计、成熟、建设的过程。安全架构是业务架构与安全控制集的组合,它应成为后续整体资源投入和能力构建的战略指引性。
OT域强调业务的持续运营和功能安全(safety),在网络融合、数据融合、风险融合、安全融合等的推动下,安全与业务的融合发展进入高级阶段,即安全与业务的耦合成为主流方向。实践表明,根植于OT网络底层业务的安全功能、系统、能力,才更有可能成为业务持续性的保障。

二、OT网络安全与业务耦合的基础
对OT网络安全的理解,也是对真正的OT网络安全或者说客户所需要的网络安全的认知,是对安全需求和价值的认知。强调面向业务的OT网络安全,安全是应用的基本属性,是业务的基础设施。这里的业务应用,是指客户的业务和应用系统。耦合不是简单的融合,摒弃用一个独立的安全系统来保护OT业务系统的老套方式,是具有架构优化、变革的高级融合,凸显的是安全与业务的系统关系。目前来看,无论是针对存量的OT系统,还是应对增量的新建系统,安全与业务进行耦合的基础条件逐步成熟。
1、认知基础
OT网络安全在概念、技术、流程、规范、风险、文化等等方面,已完全有别于IT网络安全。这本质上体现了OT域对功能安全、控制安全、过程安全、业务安全、过程安全风险的特殊需求。美国NIST发布的NIST SP 800-82 Revision 3,已将保护范围从ICS扩展到OT环境,强调了传统的以IT为中心的安全控制在OT环境中的局限性。该文件作为OT网络安全指南,突出了可用性、功能安全和环境因素。
安帝科技更倾向于使用工业网络安全或OT网络安全这个术语。工业网络安全(Industrial cyber security)可等同于控制安全(control safety),是通过确保对物理和网络资产的正确和授权的控制来保护安全(safe)可靠的物理操作。通俗地讲,OT网络安全是保护工业环境和关键基础设施网络安全、功能安全的关键组成部分。可理解为减轻和防止网络物理系统和工业控制系统(ICS)被恶意攻击利用的一套程序和最佳实践。也就是说,工业领域网络安全的概念上,也在向着网络安全和功能安全的融合演进和延伸。
2、物质基础
当前,新一轮数字化浪潮正在席卷全球,所有传统行业都在进行着前所未有的数字化转型。IT与OT融合之势与数字化转型大潮相得益彰,相互促进。工业网络基础设施正在奠定转型发展的物质基础,工业网络在边缘层、汇聚层、核心层、企业层的设备、数据、业务、应用、安全、风险等方面实现融合。工业自动化领域,可靠的工业网络连接是保障制造业正常运行时间的关键,而这也是实现生产力和可持续性目标的重要因素。全球知名工业ICT企业HMS集团的研究表明,预计2023年工厂自动化中新安装节点的数量将增长7%。到2025年,年均增长率预计在7-9%之间。2023年各工业网络领域增长率和市场占有率的情况是:无线网络增长最块,达到22%,市场占有率保持在8%(2022年为7%);工业以太网增速为10%,占据68%的市场份额(2022年为66%);而现场总线网络增速下降5%,占据24%的份额(2022年为27%)。
3、需求基础
正是因为数字化浪潮冲击,工业领域的网络安全威胁和风险会影响到控制和执行一侧的物理过程,威胁和风险的渗透导致安全需求的深刻变化。而恰恰在控制侧由于设计、协议、环境等等历史原因,它不具备基本的加密、认证等保护手段,完全处于防御盲区。单单保护设备、网络、平台、数据已远远不够,还要保护控制、过程,甚至供应链和人员,从信息流的保护延伸到对特质流的保护。即在IT与OT融合背景下,网络安全与功能安全深度融合、网络安全风险与过程安全风险的融合,计算机科学与工程技术的融合,单单达成OT系统的AIC(可用性、完整性、保密性)也是不足够的。某种意义上看,OT网络安全就是控制系统安全。因此,工业网络安全系统/模块/产品/能力发展的模式、范式,必须突破传统外挂式的IT安全模式,打破以威胁为中心的网络安全模式,迈向以工业网络安全风险为中心的网络安全。突出与业务系统的耦合,是对业务场景深耕的需求和要求。

三、OT网络安全与业务耦合的关键
OT网络安全与工业自动化业务耦合,是实现内生安全的必由之路。OT系统中的安全需求和业务需求,可能在功能、控制、数据、内容等方面实现不同层次的耦合。实现耦合的路径、方法、目标,应当因行业特点而有所不同,但关键的三点不可忽视,即安全架构的设计、风险驱动的原则和弹性工程的目标。
1、设计安全是核心
OT网络安全体系结构描述的是一个OT系统如何组成一个整体以满足既定的安全性要求。它指导开发者描述安全相关模块之间的关系,提出指导设计安全的原则,提出开发过程的基本框架及框架的层次结构,等等。比如安全架构的设计原则,可能包括开放的设计、权限分离、最小权限、纵深防御等等。但在OT网络中,ICS工程师为什么没有通过设计来实现安全性?因为他没有安全专业知识来在设计过程中实施安全工程,这导致ICS 中还存在大量“设计功能不安全”的问题。设计安全是将安全决策尽早集成到现有的工程工作流程中,以便重要的设计决策可以助力安全决策。未来的设计安全决策和运营安全决策要解决什么问题?什么时候做出决策,如何做出决策?可行的策略之一便是,要从采取什么安全控制转变为不需要采取什么安全控制,从需要响应哪些安全事件转变为哪些安全事件不需要响应!设计安全和缺省安全也在成为当前系统设计的前置要素。
2、风险驱动是原则
OT网络安全从根本上植根于对风险的评估以及随后的战略应对。任何安全三元组AIC(可用性、完整性、保密性)内的优先级都应以风险评估为指导,确定其要素的重要性和顺序。需要强调的关键一点是,风险就其本质而言,与其对业务可能产生的潜在影响或后果直接相关。强调以工业网络安全风险为中心的OT网络安全,但同时必须保证安全风险的底线是过程安全风险,即网络安全风险不能大于过程安全风险。OT网络安全风险必须小于或等于特定影响水平的过程功能安全风险。过程功能安全设定了工业企业的风险容忍度,OT网络安全需要满足这个风险容忍度。自适应,是指根据行业、业务、场景、价值、后果、影响,定义风险容忍度。风险(工业网络风险、过程安全风险等)应当成为整个安全能力、体系建设的指控棒。
3、网络弹性是目标
美国NIST将网络弹性定义为:包含网络资源的实体所具备的对各种不利条件、压力、攻击或损害的预防、抵御、恢复和适应能力。有效网络安全防御的本质是达到某种程度的网络弹性,其终极目标是业务弹性或任务弹性。网络弹性并没有止步于抗压能力,而是同时兼顾了抗压能力和恢复能力。相较于经典可靠性理论较多地针对一般性大概率风险,网络弹性则更注重或聚焦于小概率极端性风险。
网络弹性,弹性工程,是最近两年的热词。弹性已经写入了美国、英国、欧盟等多个国家的网络安全国家战略中,特别在“关基”安全保护的政策、法规中更是频繁出现。网络弹性和网络安全是相关但不同的两个概念,主要区别在于,一是关注的防御阶段不同;网络弹性突出了面向失效的设计;二是保障目标不同;网络安全要满足CIA三性(保密性、完整性、可用性),安全或者不安全。而网络弹性则以系统的业务目标交付为终极目标,不介意系统安全或者不安全。网络安全看系统是非黑即白的话,网络弹性看系统更关注可生存性、可恢复能力,更关注于业务本身。

四、小结
安全耦合业务,是探索OT网络安全实践征程中的路径之一,也是迈向OT网络的内生安全终极目标的选项之一。在安全设计、工程实施、安全运营等关键环节仍然面临不小的挑战,仍需要在实践中不断地探索并寻求解决方案。
1、安全设计的目标差异
传统上,在OT系统中表述安全性的三元组是可用性、完整性和保密性(AIC),有别于IT系统中的CIA。但是,在那些需要强制冷却系统以防止化学品过热和由此产生的高压而可能发生爆炸的场所,完整性的丧失会导致过程自动化功能偏离其设计和操作意图。系统和数据完整性本质上与过程安全相关,有可能直接影响人类生活和环境。这种场景下的OT网络安全三元组的顺序可能是IAC(完整性、可用性、保密性)。因此,唯一有效的三元组优先级是根据风险评估和风险标准得出的优先级。
AIC三元组在某些场景下,尚不足以细粒度地描述OT网络安全的特征,还有没有其它的指标或元素来描述安全性?比如可操作性、可观察性和可控性(OOC)是过程工程领域的关键概念,特别会在石化厂等复杂过程的设计、操作和控制中用到。这三个要素对于确保化工厂、制造设施和各种工业流程的高效和安全运行至关重要。可控性是指可以控制或操纵过程以实现期望结果的程度。可操作性是指系统或过程在正常操作条件下有效且高效地运行的能力。可观察性是实时监控和收集有关流程或系统的状态和性能的数据的能力。OOC也可能成为表述OT网络安全的另外一个三元组。
2、耦合程度的行业差异
耦合程度是系统结构中各个模块之间相互关联的度量。它取决于各个模块之间接口的复杂程度、调用模块的方式以及哪些信息通过接口。CIA、IAC、AIC的这种优先顺序是否有助于网络物理系统的安全,评价的焦点始终是工业风险,而工业风险需要风险标准。风险标准是任何风险评估方法的基本要素,依据风险定义优先级。风险评估应该基于场景,特别是在针对流程自动化功能的网络攻击的背景下。这些场景必须带来直接影响工艺安装和生产过程动态的后果。因AIC三元或OOC三元组的优先级不同,可能导致安全功能与业务功能的耦合程度上的差异。
3、安全运营决策的制约
OT网络安全领域有一个非常混乱且极度困难的挑战,即老练的网络攻击者会让网络攻击看起来像是设备故障,这使得很难区分控制系统网络事件和控制系统网络安全事件。加之当前对于控制系统网络事件到底是什么并没有明确的界定,控制系统工程师和网络安全工程师通常没有接受过识别控制系统事件是否与网络相关的培训。现有的网络安全要求、技术、监控、测试和事件响应计划均基于IP网络的漏洞和事件的经验教训。这将对安全运营决策造成重大困扰,它将无法拍板对哪些事件做出不响应的决定。国际自动化协会(ISA)的ISA99(工业自动化和控制系统安全)组织日前已批准同行评审的微型学习模块(MLM)38A–“识别控制系统网络事件”规范,期待能够推动这一关键问题的解决。