電網(wǎng)攻擊等安全事件頻發(fā) 如何保證工業(yè)互聯(lián)網(wǎng)安全?

　　中國“新基建”已按下了快進(jìn)鍵，該如何保證其中的工業(yè)互聯(lián)網(wǎng)安全?

　　5月14日，在工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟主辦的2020工業(yè)安全大會(ICSISIA青年科技論壇)上，360工業(yè)互聯(lián)網(wǎng)安全實(shí)驗(yàn)室主任、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組輪值主席張建新表示，建立全局感知，是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全的先決條件。

　　4月20日，國家發(fā)改委明確了新型基礎(chǔ)設(shè)施的范圍，主要包括三個方面內(nèi)容，分別為信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施。

　　其中，信息基礎(chǔ)設(shè)施，主要是指基于新一代信息技術(shù)演化生成的基礎(chǔ)設(shè)施，比如，以5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以人工智能、云計(jì)算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施，以數(shù)據(jù)中心、智能計(jì)算中心為代表的算力基礎(chǔ)設(shè)施等。

　　對于新基建中的工業(yè)互聯(lián)網(wǎng)，張建新認(rèn)為，它是新一代信息技術(shù)與工業(yè)深度融合的全新生態(tài)和應(yīng)用模式，通過人、機(jī)、物的全面互聯(lián)，實(shí)現(xiàn)全要素、全產(chǎn)業(yè)鏈、全價值鏈的全面連接。

　　“設(shè)備互聯(lián)可讓制造商從車間、供應(yīng)鏈獲得持續(xù)的數(shù)據(jù)流，以提升整體運(yùn)營效率。但如果沒有有效防護(hù)，就會帶來很大隱患。”張建新說。

　　據(jù)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟預(yù)計(jì)，2020年，中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟(jì)總體規(guī)模分將達(dá)3.1萬億元，同比增長47.9%。

　　張建新稱，工業(yè)互聯(lián)網(wǎng)連接著如此龐大的人員、設(shè)備機(jī)器和網(wǎng)絡(luò)，安全問題牽一發(fā)而動全身，廣泛涉及到能源、制造、交通、電子、通信等諸多重要的行業(yè)和領(lǐng)域。

　　張建新認(rèn)為，日前發(fā)生的委內(nèi)瑞拉電網(wǎng)事件，說明工業(yè)互聯(lián)網(wǎng)已成為惡意軟件攻擊的重要目標(biāo)，安全形勢不容樂觀。

　　5月5日，委內(nèi)瑞拉國家電網(wǎng)干線遭到嚴(yán)重攻擊，除首都加拉加斯之外，11州府發(fā)生大規(guī)模停電。

　　類似的網(wǎng)絡(luò)安全事件近年來時有發(fā)生。

　　去年12月4日，IBM發(fā)布的 X-Force威脅情報指數(shù)報告，披露了伊朗黑客針對工業(yè)領(lǐng)域開發(fā)的新型惡意軟件ZeroCleare。這個軟件以最大限度刪除感染設(shè)備的數(shù)據(jù)為目標(biāo)，主要瞄準(zhǔn)中東的能源和工業(yè)部門。報告披露時，已有1400臺設(shè)備遭感染。

　　“這個事件很容易讓大家想起，2012年首現(xiàn)、2018年才活躍的同類軟件Shamoon?！皬埥ㄐ抡f，這一軟件主要攻擊沙特國家石油公司(下稱沙特阿美)。

　　Shamoon曾在2012年破壞性清除了沙特阿美3.5萬臺計(jì)算機(jī)數(shù)據(jù)，致其石油業(yè)務(wù)停擺數(shù)周。它也被業(yè)界公認(rèn)是最危險的惡意軟件之一。

　　2019年3月22日，全球鋁業(yè)巨頭挪威海德魯(Norsk Hydro)發(fā)布公告稱，旗下多家工廠受到一款名為Locker Goga勒索病毒的攻擊，數(shù)條自動化生產(chǎn)線被迫停運(yùn)。

　　Locker Goga先是感染了海德魯美國分公司的部分辦公終端，隨后快速傳染到全球的內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中，導(dǎo)致該公司業(yè)務(wù)網(wǎng)絡(luò)宕機(jī)，損失超過4000萬美元。

　　張建新稱，2019年，破壞性網(wǎng)絡(luò)的攻擊數(shù)量激增200%以上，說明破壞性軟件處于急速爆發(fā)階段。

　　“低廉的攻擊代價和高危的攻擊結(jié)果，讓破壞性的攻擊逐漸泛化，越來越多擁有國家支持背景的黑客和組織，開始利用破壞性攻擊，襲擊能源、工業(yè)控制、金融等重要關(guān)鍵領(lǐng)域?！睆埥ㄐ抡f。

　　張建新認(rèn)為，由上述案例可以看出，工業(yè)互聯(lián)網(wǎng)的安全生態(tài)發(fā)生了很大變化，攻擊者越來越專業(yè)化、組織化，攻擊行為也在不斷升級。

　　“互聯(lián)網(wǎng)和工業(yè)的深度融合，導(dǎo)致針對互聯(lián)網(wǎng)的威脅也滲透到了工業(yè)領(lǐng)域，網(wǎng)絡(luò)攻擊可以達(dá)到生產(chǎn)一線。”張建新稱，互聯(lián)互通的實(shí)現(xiàn)，在提升了傳統(tǒng)制造轉(zhuǎn)型升級的同時，也打破了傳統(tǒng)工業(yè)相對封閉的生產(chǎn)環(huán)境，導(dǎo)致攻擊路徑大大增加，網(wǎng)絡(luò)安全已經(jīng)從“信息安全”進(jìn)入“大安全”時代。

　　他認(rèn)為，以封堵為主的常規(guī)防御，已無法適應(yīng)數(shù)據(jù)在多個系統(tǒng)、產(chǎn)品、業(yè)務(wù)環(huán)節(jié)中頻繁快速地流轉(zhuǎn)，以及為了業(yè)務(wù)協(xié)同在不同組織間流轉(zhuǎn)的安全需求，也無法應(yīng)對越來越復(fù)雜的安全形勢。

　　張建新稱，工業(yè)互聯(lián)網(wǎng)領(lǐng)域處于完全不對等的攻防對抗?fàn)顟B(tài)，攻擊者只要找到整體中的一個突破口，整個防御體系都會受到很大威脅。

　　隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，接入工業(yè)互聯(lián)網(wǎng)的終端、平臺、應(yīng)用、數(shù)據(jù)會巨量增長，架構(gòu)在數(shù)據(jù)技術(shù)上的工業(yè)互聯(lián)網(wǎng)漏洞也呈幾何級增長。

　　封堵的方式不可能做到完全防護(hù)。就像接種疫苗，只能起到針對性防護(hù)，面對新型威脅則無能為力，甚至無法做到及時探測，只有在大規(guī)模爆發(fā)后才能被發(fā)現(xiàn)。

　　張建新稱，比如上述海德魯鋁廠遇到問題時，采取了隔離傳染設(shè)備的方式，來抑制病毒進(jìn)一步爆發(fā)，很像新冠病毒疫情期間，要求人們居家隔離和戴口罩。

　　但由于不清楚病毒的傳播途徑和整體感染情況，在恢復(fù)生產(chǎn)時，海德魯鋁廠面臨巨大困難。“他們甚至不確定，是否完全清除了所有的感染源、是否還有病毒在機(jī)器里潛伏。”張建新說。

　　“在常規(guī)防御里，我們必須依托全局感知?！睆埥ㄐ路Q，建立全局感知，通過大數(shù)據(jù)分析，和歷史數(shù)據(jù)作對比，可以在安全問題沒有完全爆發(fā)時，及早發(fā)現(xiàn)問題，并進(jìn)行應(yīng)急響應(yīng)。

　　張建新稱，在應(yīng)急響應(yīng)的流程，全局感知也是必不可少的環(huán)節(jié)。

　　傳統(tǒng)的思路是碎片化解決問題，從各個設(shè)備中收集日志(log)，從而發(fā)現(xiàn)并解決問題。

　　“但在很多l(xiāng)og中，很難看出惡意攻擊事件的本身，收集到的log也不完整。”張建新說，這種用規(guī)則對抗APT的做法，是完全看不到APT發(fā)生的。

　　APT，指的是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為。

　　“一個APT在企業(yè)網(wǎng)絡(luò)橫向移動和進(jìn)攻時，往往只暴露一部分，無法用已有的數(shù)據(jù)進(jìn)行溯源。”張建新說。

　　因此，收集日志變成了產(chǎn)品層面的堆砌?！熬拖衩と嗣?，看到的東西是片面的，很可能無法判斷攻擊行為的發(fā)生。”張建新稱，很多企業(yè)在本地部署云平臺時，設(shè)置了一個本地化“大腦”，以用于采集全企業(yè)數(shù)據(jù)。

　　“即使該企業(yè)的數(shù)據(jù)全部采集到了，分析能力還是極為有限，因?yàn)槠髽I(yè)有可能只是整個攻擊鏈條中的一個環(huán)節(jié)?！睆埥ㄐ抡f。

　　用大數(shù)據(jù)加人工智能和專家體系的方式，則完全不一樣。

　　張建新稱，這就好比某公安局本地數(shù)據(jù)庫里存有通緝犯名單，如果和整個公安部的犯罪記錄庫連在一起，那偵破能力就能得到極大加強(qiáng)。

　　“這不是否定常規(guī)防護(hù)的必要性，而是要在其之上建立更高更全的防控方案。”張建新指出，最重要的突破是建立云端“大腦”，通過云端“大腦”向下賦能，使本地分析能力能夠得以加強(qiáng)，并將信息輸送到云端，和云端進(jìn)行對比。

（轉(zhuǎn)載）