電網(wǎng)攻擊等安全事件頻發(fā) 如何保證工業(yè)互聯(lián)網(wǎng)安全?

　　中國(guó)“新基建”已按下了快進(jìn)鍵，該如何保證其中的工業(yè)互聯(lián)網(wǎng)安全?

　　5月14日，在工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟主辦的2020工業(yè)安全大會(huì)(ICSISIA青年科技論壇)上，360工業(yè)互聯(lián)網(wǎng)安全實(shí)驗(yàn)室主任、工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟安全組輪值主席張建新表示，建立全局感知，是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全的先決條件。

　　4月20日，國(guó)家發(fā)改委明確了新型基礎(chǔ)設(shè)施的范圍，主要包括三個(gè)方面內(nèi)容，分別為信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施。

　　其中，信息基礎(chǔ)設(shè)施，主要是指基于新一代信息技術(shù)演化生成的基礎(chǔ)設(shè)施，比如，以5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以人工智能、云計(jì)算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施，以數(shù)據(jù)中心、智能計(jì)算中心為代表的算力基礎(chǔ)設(shè)施等。

　　對(duì)于新基建中的工業(yè)互聯(lián)網(wǎng)，張建新認(rèn)為，它是新一代信息技術(shù)與工業(yè)深度融合的全新生態(tài)和應(yīng)用模式，通過(guò)人、機(jī)、物的全面互聯(lián)，實(shí)現(xiàn)全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈的全面連接。

　　“設(shè)備互聯(lián)可讓制造商從車間、供應(yīng)鏈獲得持續(xù)的數(shù)據(jù)流，以提升整體運(yùn)營(yíng)效率。但如果沒(méi)有有效防護(hù)，就會(huì)帶來(lái)很大隱患。”張建新說(shuō)。

　　據(jù)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟預(yù)計(jì)，2020年，中國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)經(jīng)濟(jì)總體規(guī)模分將達(dá)3.1萬(wàn)億元，同比增長(zhǎng)47.9%。

　　張建新稱，工業(yè)互聯(lián)網(wǎng)連接著如此龐大的人員、設(shè)備機(jī)器和網(wǎng)絡(luò)，安全問(wèn)題牽一發(fā)而動(dòng)全身，廣泛涉及到能源、制造、交通、電子、通信等諸多重要的行業(yè)和領(lǐng)域。

　　張建新認(rèn)為，日前發(fā)生的委內(nèi)瑞拉電網(wǎng)事件，說(shuō)明工業(yè)互聯(lián)網(wǎng)已成為惡意軟件攻擊的重要目標(biāo)，安全形勢(shì)不容樂(lè)觀。

　　5月5日，委內(nèi)瑞拉國(guó)家電網(wǎng)干線遭到嚴(yán)重攻擊，除首都加拉加斯之外，11州府發(fā)生大規(guī)模停電。

　　類似的網(wǎng)絡(luò)安全事件近年來(lái)時(shí)有發(fā)生。

　　去年12月4日，IBM發(fā)布的 X-Force威脅情報(bào)指數(shù)報(bào)告，披露了伊朗黑客針對(duì)工業(yè)領(lǐng)域開(kāi)發(fā)的新型惡意軟件ZeroCleare。這個(gè)軟件以最大限度刪除感染設(shè)備的數(shù)據(jù)為目標(biāo)，主要瞄準(zhǔn)中東的能源和工業(yè)部門。報(bào)告披露時(shí)，已有1400臺(tái)設(shè)備遭感染。

　　“這個(gè)事件很容易讓大家想起，2012年首現(xiàn)、2018年才活躍的同類軟件Shamoon?！皬埥ㄐ抡f(shuō)，這一軟件主要攻擊沙特國(guó)家石油公司(下稱沙特阿美)。

　　Shamoon曾在2012年破壞性清除了沙特阿美3.5萬(wàn)臺(tái)計(jì)算機(jī)數(shù)據(jù)，致其石油業(yè)務(wù)停擺數(shù)周。它也被業(yè)界公認(rèn)是最危險(xiǎn)的惡意軟件之一。

　　2019年3月22日，全球鋁業(yè)巨頭挪威海德魯(Norsk Hydro)發(fā)布公告稱，旗下多家工廠受到一款名為L(zhǎng)ocker Goga勒索病毒的攻擊，數(shù)條自動(dòng)化生產(chǎn)線被迫停運(yùn)。

　　Locker Goga先是感染了海德魯美國(guó)分公司的部分辦公終端，隨后快速傳染到全球的內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)中，導(dǎo)致該公司業(yè)務(wù)網(wǎng)絡(luò)宕機(jī)，損失超過(guò)4000萬(wàn)美元。

　　張建新稱，2019年，破壞性網(wǎng)絡(luò)的攻擊數(shù)量激增200%以上，說(shuō)明破壞性軟件處于急速爆發(fā)階段。

　　“低廉的攻擊代價(jià)和高危的攻擊結(jié)果，讓破壞性的攻擊逐漸泛化，越來(lái)越多擁有國(guó)家支持背景的黑客和組織，開(kāi)始利用破壞性攻擊，襲擊能源、工業(yè)控制、金融等重要關(guān)鍵領(lǐng)域?！睆埥ㄐ抡f(shuō)。

　　張建新認(rèn)為，由上述案例可以看出，工業(yè)互聯(lián)網(wǎng)的安全生態(tài)發(fā)生了很大變化，攻擊者越來(lái)越專業(yè)化、組織化，攻擊行為也在不斷升級(jí)。

　　“互聯(lián)網(wǎng)和工業(yè)的深度融合，導(dǎo)致針對(duì)互聯(lián)網(wǎng)的威脅也滲透到了工業(yè)領(lǐng)域，網(wǎng)絡(luò)攻擊可以達(dá)到生產(chǎn)一線?！睆埥ㄐ路Q，互聯(lián)互通的實(shí)現(xiàn)，在提升了傳統(tǒng)制造轉(zhuǎn)型升級(jí)的同時(shí)，也打破了傳統(tǒng)工業(yè)相對(duì)封閉的生產(chǎn)環(huán)境，導(dǎo)致攻擊路徑大大增加，網(wǎng)絡(luò)安全已經(jīng)從“信息安全”進(jìn)入“大安全”時(shí)代。

　　他認(rèn)為，以封堵為主的常規(guī)防御，已無(wú)法適應(yīng)數(shù)據(jù)在多個(gè)系統(tǒng)、產(chǎn)品、業(yè)務(wù)環(huán)節(jié)中頻繁快速地流轉(zhuǎn)，以及為了業(yè)務(wù)協(xié)同在不同組織間流轉(zhuǎn)的安全需求，也無(wú)法應(yīng)對(duì)越來(lái)越復(fù)雜的安全形勢(shì)。

　　張建新稱，工業(yè)互聯(lián)網(wǎng)領(lǐng)域處于完全不對(duì)等的攻防對(duì)抗?fàn)顟B(tài)，攻擊者只要找到整體中的一個(gè)突破口，整個(gè)防御體系都會(huì)受到很大威脅。

　　隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，接入工業(yè)互聯(lián)網(wǎng)的終端、平臺(tái)、應(yīng)用、數(shù)據(jù)會(huì)巨量增長(zhǎng)，架構(gòu)在數(shù)據(jù)技術(shù)上的工業(yè)互聯(lián)網(wǎng)漏洞也呈幾何級(jí)增長(zhǎng)。

　　封堵的方式不可能做到完全防護(hù)。就像接種疫苗，只能起到針對(duì)性防護(hù)，面對(duì)新型威脅則無(wú)能為力，甚至無(wú)法做到及時(shí)探測(cè)，只有在大規(guī)模爆發(fā)后才能被發(fā)現(xiàn)。

　　張建新稱，比如上述海德魯鋁廠遇到問(wèn)題時(shí)，采取了隔離傳染設(shè)備的方式，來(lái)抑制病毒進(jìn)一步爆發(fā)，很像新冠病毒疫情期間，要求人們居家隔離和戴口罩。

　　但由于不清楚病毒的傳播途徑和整體感染情況，在恢復(fù)生產(chǎn)時(shí)，海德魯鋁廠面臨巨大困難?！八麄兩踔敛淮_定，是否完全清除了所有的感染源、是否還有病毒在機(jī)器里潛伏?！睆埥ㄐ抡f(shuō)。

　　“在常規(guī)防御里，我們必須依托全局感知。”張建新稱，建立全局感知，通過(guò)大數(shù)據(jù)分析，和歷史數(shù)據(jù)作對(duì)比，可以在安全問(wèn)題沒(méi)有完全爆發(fā)時(shí)，及早發(fā)現(xiàn)問(wèn)題，并進(jìn)行應(yīng)急響應(yīng)。

　　張建新稱，在應(yīng)急響應(yīng)的流程，全局感知也是必不可少的環(huán)節(jié)。

　　傳統(tǒng)的思路是碎片化解決問(wèn)題，從各個(gè)設(shè)備中收集日志(log)，從而發(fā)現(xiàn)并解決問(wèn)題。

　　“但在很多l(xiāng)og中，很難看出惡意攻擊事件的本身，收集到的log也不完整?！睆埥ㄐ抡f(shuō)，這種用規(guī)則對(duì)抗APT的做法，是完全看不到APT發(fā)生的。

　　APT，指的是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為。

　　“一個(gè)APT在企業(yè)網(wǎng)絡(luò)橫向移動(dòng)和進(jìn)攻時(shí)，往往只暴露一部分，無(wú)法用已有的數(shù)據(jù)進(jìn)行溯源?！睆埥ㄐ抡f(shuō)。

　　因此，收集日志變成了產(chǎn)品層面的堆砌?！熬拖衩と嗣?，看到的東西是片面的，很可能無(wú)法判斷攻擊行為的發(fā)生。”張建新稱，很多企業(yè)在本地部署云平臺(tái)時(shí)，設(shè)置了一個(gè)本地化“大腦”，以用于采集全企業(yè)數(shù)據(jù)。

　　“即使該企業(yè)的數(shù)據(jù)全部采集到了，分析能力還是極為有限，因?yàn)槠髽I(yè)有可能只是整個(gè)攻擊鏈條中的一個(gè)環(huán)節(jié)?！睆埥ㄐ抡f(shuō)。

　　用大數(shù)據(jù)加人工智能和專家體系的方式，則完全不一樣。

　　張建新稱，這就好比某公安局本地?cái)?shù)據(jù)庫(kù)里存有通緝犯名單，如果和整個(gè)公安部的犯罪記錄庫(kù)連在一起，那偵破能力就能得到極大加強(qiáng)。

　　“這不是否定常規(guī)防護(hù)的必要性，而是要在其之上建立更高更全的防控方案?！睆埥ㄐ轮赋觯钪匾耐黄剖墙⒃贫恕按竽X”，通過(guò)云端“大腦”向下賦能，使本地分析能力能夠得以加強(qiáng)，并將信息輸送到云端，和云端進(jìn)行對(duì)比。

（轉(zhuǎn)載）