itle="1.jpg" alt="1.jpg" width="700" height="466"/>
朱凱 Cyberbit中國區技術總經理
先簡單的回顧一下工業的發展歷程,我們可以看到從工業1.0到工業2.0這兩個階段其實整個工業是通過能源和機械發展來促進工業化發展,從3.0開始電子和IT的技術開始介入了工業發展的歷程,到今天從網絡也好或者從IT、OT的融合也好,也是逐漸的有了更深入的發展。所以我們可以看到從3.0開始計算機技術和電子技術到網絡技術因此深入到切入了工業發展的歷程,為工業發展提供技術支撐。我們今天講的是工業互聯網安全,所以我們會看到隨著電子技術和網絡技術的支撐發展,其實在全球開始出現了各種各樣的OT系統被攻擊的實際案例,我們可以看到從2013年—2018年,從這幾個案例當中觀察一下,2013年—2017年攻擊技術背景可能更多的是針對于專門的公共系統進行攻擊,這種攻擊更多的會具有一些國家政府的背景,為什么蟲今天我們安全的角度來看,我個人認為工業互聯網安全重要程度對國家的重要程度或者行業社會是要遠遠超越IT系統安全的,實際上已經遠遠落后IT系統的安全。
我們看一些案例,英國機場被攻擊他們不愿意支付贖金,他們實際的運作就是靠手寫的方式,這個帶來的危害程度還是可以去彌補,但是一旦真的對運營系統照成很大的危害可能就會危機到生命,那么所以為什么我提到OT系統要比IT系統安全更加重要呢?因為我們知道今天在座的各位都看過聽過很多的這樣新聞或者故事,誰誰被攻擊了,誰誰的數據被竊取。其實對于在座的每一個人來說不是親身的在這樣一個事情當中沒有切身體會,對于今天講的工業互聯網安全是不一樣的,因為工業安全的危害或者損害一旦發生它就會非常真切的產生一些物理損害,我們可以想象一下假如說今天沒有油沒有電或者說沒有氣,甚至家里的水也停了,可以想想對生活所造成的危害程度,是不是遠遠超過IT系統事故帶來的重要性。
現在看到的這個是發生在2005年并不是網絡安全攻擊事件這是錯誤的操作,之所以拿這樣一個案例出來做參考,圖片還是有一定的沖擊力,可以讓各位切身的想象一下工業系統一旦發生安全事件,它可以造成這樣一些物理損害,物理損害在今天來說可以由網絡攻擊去實現的。這個是國外的一家研究所,對于像石油燃氣公司做了一個調查,這個調查認為這樣一些客戶給出了他們的一些反饋可以看看這個當中還是忽略了一點就是人的要素,今天的主持人來自于網安培訓基地的,作為一個培訓基地肯定是培訓人的,今天的技術只是手段,但是最后通過技術去做安全人才是最重要的要素,這個是咱們毛主席說過的一個話,武器始終是要人來用的。因為我長期在一線會去接觸客戶,所以我們也確實看到從OT安全確實落后IT安全很多年,我們看多了很多的問題,恐懼原于未知我們在可見上會有一些問題,前面也講到了上云,那么上云就意味著IT和OT的互聯,這個不需要討論。第三個就是IT安全系統沒有辦法去兼容OT系統,IT協議的特殊性以及架構的特殊性和IT系統完全是不一樣的,所以以往的技術手段沒有辦法在IT系統里面應用。
最后一個也是和云有關,到底是誰負責OT的安全?現在用戶很難把安全的技術手段推下去,因為IT和OT是兩波人不同的部門,大家都會說該你負責還是該我負責,或者想負責的人又不懂,不想負責的人又懂。實際上從我們這個角度來看怎么樣解決OT和IT的挑戰?
第一個就是要有領導的支持這個是非常重要的,從我們國家來說在去年開始實施的《網絡安全法》還有等保2.0都是從領導層有了制度支撐,才能夠讓我們真真切切的有一個高層的指導重視OT的安全。
第二個也挺匹配柯主任所提到的,我們不能保護我們不知道的東西。
第三個利用第三方的合規評估,最近在國內比較有名的安全媒體上有這樣一個文章,覺得現在合規是安全的障礙,合規是阻礙了安全的實施或者是安全的發展,但是從我個人的角度來說我認為不是這樣的,因為合規從我們的角度來看是一個方向,也就是說是一個指南針,技術只是一個手段怎么樣讓我們的安全能夠順著指南針走向一個正確的方向。第四個對于企業也好,或者對于組織也好,我們要把IT和OT的風險提高到一個高度,把它作為風控來進行控制管理。作為Cyberbit我們畢竟是廠商,我們作為廠商能夠做什么事情幫助用戶?我們從這樣幾個層面幫助用戶搭建從IT到OT的防御盾牌。
第一、我們會去幫助用戶做可見性。
第二、無代理(期望)技術,這也是專門針對OT的領域,由于OT的特殊性很多設備不可能像IT設備去安裝一些代理的軟件插件更多的要靠其他的手段來做輔助,還是因為OT安全人員少于IT安全人員,不能讓技術手段過于復雜。
第三、專用傳感器,這也是源自于OT和IT的區別。
第四、一個系統去管理所有的安全事件,這個可能和柯主任提到的態勢感知有一點點像,我們希望能從更高的高度幫助用戶看到所有的事件去做這樣一個管理。
接下來我會從Cyberbit技術層面來和各位分享一下怎么樣去幫助用戶建立防御盾牌,Cyberbit實際上在之前是阿爾比特系統公司的網絡安全部門孵化出來的,我們Cyberbit成立于2015年但是實際上我們在2002年作為部門已經存在的,實際上我們從2010年開始一直在聚焦ICS系統安全,咱們如果關注OT安全的都知道在2010年發生一個事情針對伊朗核設施攻擊,可以說這個攻擊算是打開了OT安全的潘多拉魔盒,最早的OT攻擊可以追訴到1982年當時美國對蘇聯的天然氣管道攻擊,1982年在座的各位和我一樣可能都是毛頭小孩,在2010年在座的各位都已經上互聯網,所以傳播的速度以及廣度是以前所不能比擬的,所以2010年開始整個OT或者叫關鍵工業基礎設施的安全開始得到了重視或者說受到了威脅開始增大。所以在2010年以來我們Cyberbit在國外為這樣一些不同的垂直領域用戶提供了技術手段去幫助用戶進行一定的安全防護,Cyberbit一共有四大產品線,其實專注于OT領域的是最下方的這樣一個產品,它主要是針對OT網絡里面去基于像DPI技術為用戶做到可視化。另外也會有EDR產品從IT的層面幫助用戶提高檢測能力。第三個SOR安全自動化取證的平臺,通過編排取證讓用戶能夠對整個區域安全事件有一個集中的管控能力和響應能力以及調查能力。最后在最右方為了幫助用戶解決人的問題,技術只是手段,我現在有器械但是工匠沒有,我需要靠這樣一個平臺去培養人。
所以整個四大產品線,如果我們放到OT領域來說是有機組合,但是這四大產品也可以拆分出來獨立運動。所以從演講主題來說幫助用戶建設從Z到OT的盾牌分五步來走,第一步會讓用戶增加IT安全性,今天來說IT安全性已經不算是很大的問題,因為每一個用戶在IT的投入上面都是非常的大,而且不管是從技術手段也好從人員也好都有很好的儲備。但是第二個對于今天這種IT和OT融合可能會有完成,前面的幻燈片可以看到一直到工業3.0所有的工業技術手段還是獨立的網絡,今天工業4.0融合已經是現實不存在討論的,現實就是我們在以前的IT對于工業用戶來說,在原來的IT網之外多了一張網是OT,又由于IT和OT的不同需要把兩個網做一個融合,這對于工業用戶來說涉及到架構的規劃。通過我們和前端用戶的交流,確實咱們國家的工信部也在找一些各個行業比較突出的單位再去做一些規劃和試點,這是很好的開始。第三個就是獲得一個完整的OT可見性,這里面可以簡單的分享一下個人的看法,在我們和前端用戶做交流溝通的過程當中會發現一個問題,IT和OT到底誰來負責安全?IT的人員會用IT的思維去思考OT的安全。這個時候就會有一個問題,IT的安全人員因為長期的時間積累已經有很豐富的經驗,這個時候他的思維可能會是比較高級,但是OT的安全就是一片空白,這個時候用IT思維看OT安全的安全和可行性的時候,可能IT人員覺得你這個技術太落伍,或者覺得你的規劃起點是不是有點低,但是他沒有意識到OT因為長期的滯后本身的起點就是比較低的,而且OT是有特殊性的,比如說像IT里面所有的協議都能搞定,但是在OT里面充斥著幾十種協議。所以在第三步里面我們會通過技術手段去幫助用戶獲得OT的可見性,恐懼源自于未知我讓你變成已知。
第四個我們會為OT用戶創造一個行為基線,社會當中有各種法規條例,基線就相當于網絡運行當中的法律法規,你一旦有行為超出這個之外就有告警產生,能夠讓用戶及時的知道有哪些非法的行為在他的OT里面。包括像對已知的安全漏洞還有未知的,以及還有不同的OT設備,比如說從人機界面到IGO之間異常的行為,都會為用戶從基線角度去做告警分析。
第五個通過我們這樣一個SOAR這樣一個平臺,它不只是針對OT,這個平臺上OT只是其中的一小部分,因為今天隨著IT和OT的融合,OT已經不獨善其身的網絡它和OT有一個很深度的結合,這種情況之下我們需要有中央的控制平臺來從全網去收集相應的事件告警來做一個整體的調查,我們發現一個OT事件一定是從別的地方過來的,這樣一個平臺可以幫助我們從整體掌握數據,所以我們可以去分析這樣一個安全事件的源頭以及發生的過程,最后由用戶或者幫助用戶去完成這樣一個畫像,把整個事情的來龍去脈弄清楚。
回到五個步驟當中,其中和工業互聯網最密切的一個技術手段就是SCADAShield,這個需要非常深的在OT領域做一個部署,通過探針可以在生產線拿到必要的數據,通常不管把傳感器也好還是其他的設備也好就像人的神經原或者像手指,指揮所有的做出反應的是大腦,大腦是探測感知的平臺。在這里主要是通過對OT進行被動檢測,以及工業協議DPI的分析來幫助用戶獲得充分的可見性去檢查威脅也好,或者是操作的風險也好,那么來去幫助用戶做可見性,我們今天大街上隨處可見攝像頭看不到警察,但是有攝像頭盯著也不敢輕舉妄動就是這個意思。目前在工控協議領域可以對95%的協議提供支撐,像電力、石油、燃氣常見的協議。因為工業協議的特殊性私有性可被用戶自訂性的特殊性,我們可能需要針對用戶的環境做一個定制,但是通常對于新的用戶需求,幾周可以幫助用戶把這個做出來。去年我們在歐洲參加了ENCS評估也有比較好的得分,我們在垂直領域已經部署了垂直案例幫助用戶。
同樣因為工業領域的特殊性或者因為合規性的要求,不管是國內國外,我們在去年也推出了移動工具箱去幫助用戶在特殊的廠站做實時檢測部署,整個部署也非常的簡單,它只需要連上去做一個發現,可能在這里兩個小時的時候就可以拿到必要的數據做離線分析。所以我們之后再回過頭來看看,整個Cyberbit提供的四大產品,其實在OT網絡的領域當中我們構成了很有機的閉環去為用戶實現整體安全。