OT网络安全破局之思考（四）：网络弹性-系统工程的回归

时间：2023-11-22 作者：安帝科技 原创

编者按
后疫情时代，经济低迷、持续下行，影响后果深未见底。俄乌战争凸显“关基”安全保障的极端重要性。美中对抗、大国博弈，国际安全形势瞬息万变。网络安全行业迎来最坏的时代，也是最好的时代。

洞察未来，变的是什么？漏洞后门持续走高，攻击技术的复杂化，攻击对手的高能化，安全风险的动能化，安全需求的多样化，安全目标的弹性化，资产价值的差异化，防御能力的滞后化？等等！不变的是什么？攻防对抗的本质未变；易攻难守的常态未变；敌强我弱的态势未变；安全价值的追求没变。变局中求生存、求破局，不确定性中寻找确定性，这是今后的常态。

ICS（工业控制系统）到OT（运营技术）的转变，ICS网络安全到OT网络安全的转变，完全是数字时代之变。客观的讲，ICS网络安全十多年来的探索，始终没能摆脱移植、模仿、追新的宿命。当OT网络安全深入工业网络底层时，跟随、模仿、移植的套路已力不从心。无论各表一词的工业互联网安全、工业控制系统安全、工业信息安全、工业网络安全、工业安全，都在概念、技术、流程、规范、风险、文化等等方面，面临重大挑战。其本质是对OT域的功能安全、控制安全、过程安全、业务安全、过程安全风险的无知、畏难和回避。

当真正的IT/OT/CT/ET深度融合无处不在之时，OT网络安全如何回归工业本质，如何直面底层防御盲区？如何遏制网络攻击向动能攻击的转化？强调关注“业务、人和供应链”者有之，强调安全能力前置的“设计安全和默认安全”者有之，强调系统工程回归的“弹性工程和知情工程”者有之，强调关注“工业风险和安全运营”者有之，倡导内生的“内置安全、内嵌安全、出厂安全”者有之，等等。OT网络安全的产品技术、解决方案、发展范式，将走向何处？

安帝科技试图对这些问题进行系统思考，尝试探寻自己的解决方案和发展路径。同时，也期望与业内同仁共同探讨，共同探索，共同成长。本期推出系列思考之四：《网络弹性-系统工程的回归》，敬请批评指正。
网络弹性-系统工程的回归
以Solarwinds供应链攻击、Colonial Pipeline油气管道勒索攻击、Visat卫星网络破坏性攻击为代表的重大“关基”网络攻击案例，使工业网络安全防御者重新思考OT安全的目标到底是什么？如何度量？通常讲的可用性、完整性、保密性、可信性、可控性、可观察性、可测性等等指标，是不是准确或足够？俄乌战争、巴以战争阴霾笼罩下的网络战，再次将“关基”保卫战推到到了前所未有的关注高度。勒索攻击一浪高过一浪，破坏性攻击此次彼伏，认知对抗真假难辨，系统沦陷难以避免。危机之下，以系统安全工程、弹性工程为核心的网络弹性、业务弹性、任务弹性成为高频热词，到底要保什么？保到什么程度？成为防御者不得不面对的严酷事实。美国、英国、澳大利亚、新加坡等国家将网络弹性写入了国家网络安全战略，欧盟、WEF、ENISA、IEA等机构呼吁加强网络弹性建设，微软、Gartner、HoneyWell等大型企业纷纷倡议提升网络弹性。从网络弹性视角思考网络防御，构建系统的弹性，已不是一个选择题，而是当前应对网络攻击的必答题。
一、什么是网络弹性？
通俗的讲，网络弹性是一种最小化网络攻击影响并快速恢复正常状态的机制或能力。实现工业基础设施的网络弹性需要对信息安全、工业控制系统安全、生产安全和数据安全进行无缝、全面的管理和运营。网络弹性——一个越来越必要的系统属性，具有此属性系统的特点是将安全措施“内置”为体系结构和设计的基本部分。这样的系统可以承受网络攻击、失效和故障，即使在退化或衰弱的状态下也可以继续运行，执行任务基本功能，并确保其他方面的可信性(特别是功能安全和网络安全)得到保护。
（一）网络弹性的概念
MITRE对网络弹性定义：指预测、承受、恢复和适应网络资源面对不利条件，承受压力、攻击或者损害的能力。（The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on cyber resources.）MITRE还还给出了一个网络弹性工程框架，涵盖4个目的（Goal）（预测、承受、恢复和演进）以及衍生出来的目标（Objective）和技术集合。
NIST SP 800-172将网络弹性（cyber resilience）定义为：对使用网络资源或由网络资源促成的系统的不利条件、压力、攻击或损害进行预测、承受、恢复和适应的能力（The ability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources.）。
可见弹性强调的是安全事后的快速复原力，是需要完成系统所承载的使命和任务的。
（二）网络弹性与网络安全
网络安全是准备和响应攻击和漏洞。强大的网络安全策略和计划可以极大地帮助受影响的组织减轻数据泄露造成的攻击损害；漏洞；恶意软件攻击，例如勒索软件或网络钓鱼；内部威胁；人为错误；以及恶意黑客的其他攻击。网络安全的重点是在事件前。
网络弹性是组织在发生安全事件后修改和调整其业务方式以快速恢复和恢复运营的能力。具有网络弹性的组织可以更好地响应未来的安全事件并从中恢复。网络弹性包括网络安全工作，事件响应、业务连续性 (BC) 和灾难恢复 (DR)。相较于传统的鲁棒性、脆弱性、持续性等概念，网络弹性兼顾了抗压能力和恢复能力。而网络弹性的工作重点是在事件后。

（三）网络弹性与任务弹性
由网络弹性的概念，可引申出系统弹性、业务弹性、任务弹性、企业弹性、运营弹性等相关的概念，都是从不同的侧面描述了弹性的目标、风险、控制和解决方案的关注点。
关基保卫战，就必须在高级持续威胁(APT)的网络竞争环境中提供网络弹性。因此，任何关于网络弹性的讨论都基于以下假设：对手将破坏防御系统，无论是通过入侵还是通过供应链攻击，对手将在组织系统中长期存在。假设系统中存在一个复杂的、资源充足的、持久的对手，在很长一段时间内都不会被发现。
目标系统需要的网络弹性解决方案，就是解决网络弹性领域问题的技术、架构决策、系统工程流程和操作流程、程序或实践的组合。它提供足够的网络弹性以满足利益相关者的需求，并在存在高级持续威胁的情况下降低任务或业务能力的风险，即满足任务或业务弹性的需求。
二、如何评估工业网络弹性？
在极度不稳定的地缘政治背景和充满挑战的经济环境下，关键信息基础设施部门必须加强网络弹性以减轻未来的攻击破坏。工业领域、OT网络不仅面临天然的安全缺陷（协议设计问题、设备长期使用、老旧不能升级等）、安全意识不够、控制措施不到位、安全团队数量质量的不足、新兴威胁层出不穷等，而且对于构建网络弹性或建设具有弹性的系统，存在认识和方法上的局限。如何评价一个系统具备了所需的弹性，或具备了能够完成任务所需的弹性？
（一）时间视角的评估
简单的说，就是系统正常运行的时间能足够的长，发生安全事件/故障时的损失要足够的小，系统恢复的时间要足够的快或短。比如东芝电器定义了三个参数来最大限度地减少事件对系统的影响。这些参数是系统正常运行时间“准备（P）”、事件损失“缓解（M）”和响应/恢复时间“响应和恢复（R）”。P必须延长，M必须减小，R必须缩短。如下图。

延长P可以有三个措施，第一个是保持系统的健康。对于OT来说，进行定期维护。此外，通过可视化风险和持续监控来保持系统的健康状况。第二是强化预防能力和防御措施。这包括在IT和OT之间的边界使用深度防御、引入保护OT旧设备的系统以及为系统提供冗余。第三是利用威胁情报来预测风险。检测攻击者的讨论和行为并在受到攻击之前实施对策是主动响应的重要组成部分。
降低M的手段主要有两种。第一种是实时事件检测。检测异常行为并分析初始攻击与随后发生的连续攻击之间的相关性非常重要。第二是通过分区将影响局部化并最小化——系统以网络和功能为单位进行分段或分区，并对区域内的状态以及区域之间的连接点或管道进行监控以检测任何异常情况。
缩短R，重要的是通过使用剧本方法和自动化来提高事件响应效率。使用日志并准备取证团队也很重要。个人的知识和经验被编纂（变成剧本）并在SOAR中用于响应事件。对于类似于过去日志的攻击，响应日志和事件之间的相关性分析对于立即响应非常有用。另一方面，对于新颖的攻击，必须准备可以进行详细（取证）调查的系统，以便快速恢复系统。
（二）定性指标的评估
尽管网络弹性不是一个新概念，但仍然缺乏通用的弹性度量指标。网络弹性策略的理想步骤是测量或量化弹性质量，即有定性或定量的度量指标和方法。文献调查发现，有研究者提出了几种测量或量化弹性的方法和技术。比如有学者使用定性方法(包括评估工具和问卷)提出了一个网络弹性框架。考虑不同弹性方面的弹性度量，如健壮性、冗余性、智能性和快速性，被计算并扩展到弹性领域的许多领域，包括组织以及物理和技术问题。研究者还进行了模拟实验，以探索定性评估的不同用途。结果证明了所提出的弹性措施在许多工业应用中的适用性。综合来看，目前的指标主要有：可用性、机密性、完整性、鲁棒性/健壮性、可靠性、鉴别、恢复、冗余、隐私、功能安全。其中，健壮性和功能安全是几乎所有框架、场景、行业中出现最多的。但每一项度量指标的分级或量化，仍然是一个不确定的挑战，这可能还需要根据“关基”的不同行业、场景来具体给出评估依据，或打分或定级。
（三）工程视角的评估
网络弹性概念的一个前提假设是系统中存在类似APT攻击，面向系统生存周期过程，采用系统安全工程和弹性工程方法，构建一个具有弹性的、可运行的安全系统。基于上面系统生存周期过程提出本标准的网络弹性工程总体框架。系统安全工程确保在整个系统生命周期中应用这些原则、概念、方法和实践，以实现利益相关者的目标，以确保在逆境中的可信赖性和资产保护。生命周期安全概念是指在整个生命周期（从概念开发到退役）中与系统相关的过程和活动，具有特定的安全考虑。它是运营概念的延伸，包括与开发、原型设计、替代解决方案评估、培训、后勤、维护、维持、进化、现代化、翻新和处置相关的过程和活动。
团体标准T/SIA 031.2—2021-《系统安全工程 网络弹性构建指南 第2部分 网络弹性工程框架》，参照NIST SP800-160Vol.2. Developing Cyber Resilient Systems: A Systems Security Engineering Approach，给出了以目的、目标、技术、实现方法和设计原则等要素来描述的网络弹性结构以及网络弹性工程方法，以期在系统的整个生命周期中落实网络弹性工程原则。这个方法落地应用如何，还需要时间的检验。

三、如何增加工业网络弹性？
工业领域数字化转型迅猛发展，物理和数字组件之间的相互依赖关系更加紧密，这将导致‘脆弱性’程度不断增高。增强工业网络弹性，不仅仅是为了防止网络攻击和故障，而是要预设攻击会经常发生，预设组件故障是不可避免的。面对攻击和故障时具备足够的弹性，以便能够承受攻击或快速恢复。这需要基于整体系统思维，需要进行根本性重塑。
在工业网络中的实施弹性战略目前面临许多方面的挑战，比如具体落地实施、与其他网络的连接以及设备管理，通信协议、带宽、计算需求、可扩展性和专业化工程需求方面的限制使其难以达到期望的水平。普遍缺乏ICS和IIoT网络安全意识带来了各种技术挑战以及人为因素相关的挑战。
1、运营冗余
实现多样化的冗余策略，比如合并冗余组件，安装多个传感器和执行器或设计为容错和网络容错。采用不同厂家的可编程逻辑控制器作为冗余可编程逻辑控制器。无论是运营者、供应商还是服务商，有效应对系统刚问的单点故障，是实现网络弹性的关键一步。对地理位置不同的备份中心、多个核心服务供应商(如电力、云)以及促进可信任的远程工作人员进行合理规划，可以在灾难发生时降低成本并提高正常运行时间。
2、微隔离
增强系统吸收或阻截网络攻击影响的能力，设计者应该防范级联故障。这些故障并不是完全独立的，因为一个失败会触发另一个失败。通过将网络分割成更小的区域，创建多个唯一的封闭用户组来保护网络。网络是根据它们所拥有信息的临界性和对它们的风险水平来隔离的。由于它是基于软件的，因此微隔离使其变得简单和非常实用，而不需要对网络或应用程序基础设施本身进行重大更改，在这些更改中，安全性可以扩展并适应变化。
3、主动防御
网张弹性有助于应对攻击并在攻击中幸存下来。这需要组织开发战略，以改进IT治理，提高关键资产的安全性，扩展数据保护工作，并最大限度地减少人为错误。知彼知已，还需要深入理解对手用来攻击企业的技术战术和工具，并利用这些知识对抗并降低他们的攻击能力。主动防御是指介于传统被动防御和主动进攻之间的一系列主动网络安全措施。相对于被动防御侧重于保护网络资产免受各种可能的威胁，主动防御则是针对特定威胁采取的直接行动。综合运用技术、情报、政策(即制裁和起诉)、后果、保险等措施来影响或改变恶意行为者的行为。企业不再是简单被动的受害者。
4、网络安全文化建设
众所周知，要成功抵御攻击者、保持弹性，人是关键。网络安全文化主要关注人的行为。在这个过程中，领导是成功改善安全文化的关键，安全团队甚至全员的参与对文化构建的成功非常重要。整个企业都必须认识和了解安全团队。业务部门与安全团队必须深入交流、协同一致。安全事件驱动的网络安全应急响应机制需要不断的改进完善，实战演练、桌面推演、事件处置都是推动响应机制、能力改进提升的动力。弹性原则的实施与改进同样扮演这种驱动角色，真正助力企业构建覆盖人员、技术、过程的网络安全文化。
5、网络保险
企业网络安全建设的本质不仅仅是安全问题，也是成本收益问题。而网络安全保险需求的本质也不仅仅是风险转移，还包含成本收益的衡量。网络安全保险作为风险转移、风险分散的重要举措，正在成为企业网络安全弹性增强措施的有益补充。随着数字转型的快速步伐，网络安全已成为政府和企业高管、领导层和董事会的首要关注。利用网络保险行业中使用的分析模型的优势来快速、轻松地评估网络风险的潜在财务影响的解决方案至关重要。
四、小结
安帝科技认为，有效网络安全防御的本质是投入与收益价值牵引的网络弹性，其终极目标是业务弹性或任务弹性。网络弹性更关注于业务，以系统的业务目标交付为最终目标。传统以AIC（可用性、完整性、保密性）、可信性、可靠性、隐私性为目标的网络安全，需要变革为以网络弹性、业务弹性、任务弹性为目标。工业领域的OT系统内部既存在某些传统类型的不确定扰动因素影响（例如随机性错误、失效、故障等可靠性问题），也存在人为的针对系统软硬件设计漏洞后门、病毒木马等“暗功能”的未知网络攻击扰动。现有技术、方法手段尚不能解决OT域中网络安全与功能安全融合的问题，那么以系统安全工程为核心思想的网络弹性、业务弹性、任务弹性的解决方案成为必然。