自“两化融合”提出后,工业控制系统与互联网间的互通互联已经成为不可避免的趋势。在此过程中,企业在追求工控系统应用性的同时,工控网络安全问题并未得到与之相应的认知和重视。据《2015年工业控制网络安全态势报告》显示,2015年工控行业安全事件发生295起,同比2010年增长662.5%。当下,工控网络安全呈现高危和高发态势。
2014年,德国某钢铁厂遭受高级持续性威胁(APT)攻击。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢铁厂办公网络的访问权,进入到钢铁厂的生产网络,导致工控系统的控制组件和整个生产线被迫停止运转。由于非正常关闭炼钢炉,给钢厂带来了巨大经济损失。由一系列的网络安全事件可看出,安全防范意识不足,极有可能给企业生产带来灾难性的打击。
设想如果在安全事件发生之初,企业就对整个工控安全有充分的感知和掌控,全面了解威胁的来源和途径,把安全问题做到心中有数,防患于未然,那么就能将企业损失减少到最小。2015年,国内领先的物联网安全服务厂商匡恩网络针对这一行业痛点,自主研发了“K巡”系列产品-威胁评估平台,帮助客户解决六大场景下的系统检测与威胁评估工作。
高效高质,让威胁止步于未萌
匡恩网络“K巡”系列产品-威胁评估平台是我国系统级的专门为测评机构和用户推出的一款工控安全评估工具,可全方位认知并分析威胁来源。
目前,在工控领域主要存在三类漏洞,即协议漏洞、工控设备漏洞和系统漏洞。在大量的在装系统和新装系统中,存在大量的已知漏洞和未知漏洞。这些漏洞的存在,令工控系统被攻击的风险飙升。如若攻击者通过漏洞进行攻击核心控制系统,篡改关键核心数据,轻则使整个生产陷入混乱或者停产,将为企业带来不可预估的财产损失;重则对社会稳定和经济发展带来严重影响。
助力企业全面感知和掌控工控系统网络安全风险,让威胁止步于未萌,是匡恩网络威胁评估平台的职责所在。威胁评估平台通过国家标准和行业标准,针对各类工控网络系统进行全方位的安全检查和风险评估,高质量地将企业工控网络系统整体的脉络呈现出来。对企业工控网络系统整体进行评估,并提出具体的、具有针对性的整改建议,高效地完善工控系统的安全,进一步强化企业在运营环境中的安全部署。
全维度防护,为工控网络安全撑起保护伞
2016年,匡恩网络对我国大量工控系统及关键基础设施建设进行调研,深入了解其采用的网络结构、安全技术与防护体系,结合对一系列安全事件的研究,构建了 “4+1” 工控安全技术体系,即本体安全、结构安全、行为安全、基因安全,加时间持续性。威胁评估平台深度践行控制系统网络安全方法论,充分考量不同行业的工控网络系统的多样性和独特性,以独创的威胁分析、资产分析和流量分析三大评估手段,全维度对工控网络的安全状况做出全面系统分析,助力企业将工控网络安全风险消弭于未萌。
第一维度,威胁分析。部分企业在获取自己工控网络系统安全评估时,为防止私密信息泄漏,对外部设备接入慎之又慎,这就使评估工作难以实施进行。而威胁评估平台允许选择不接入系统,通过调查问卷的方式,录入控网络系统中存在的设备并进行模拟分析,以评估报告的方式展现出企业工业现场进行设备管理和技术上两个层面的安全定级和风险测评,并做出相对应的整改措施。如此企业不用担心自身私密信息,就能对自身工业现场安全布防的认知。
第二维度,资产分析。在企业在装系统和新系统中,存在着相当数量的已知漏洞和未知漏洞,这给黑客提供了实施攻击的机会。面对企业不能定期检查和完善漏洞,威胁评估平台就可以接入工控网络系统利用资产分析进行评估。威胁评估平台会自动对工业网络系统及其所涉及的物理设备、软件资产和数据资产进行识别,构建出工控网络拓扑图,让企业直观地看到工控网络系统中的漏洞信息、安全解决方案和区域安全评分。在实际运用中,威胁评估平台会重点发现工控网络各个设备上存在的漏洞,以及这些漏洞可能带来的泄密、拒绝服务等威胁,保障工业系统安全平稳运行。
第三维度,流量分析。企业工控网络系统运行过程中出现下达的命令被窃取、篡改的现象,是企业生产、运营的重大安全事故的主要因素。为了预防这种事故的发生,威胁评估平台通过流量分析进行评估,起到了实时告警的作用。威胁评估平台对通信数据流进行流量分析,把截取的数据和公司积累的病毒特征库进行对比,若发现网络中的异常流量和病毒,可立刻发出告警信息。
广泛应用,防患未然筑牢网络安全防线
企业需要对小规模的区域风险评估时,威胁评估平台可根据业务逻辑和安全等级等因素进行区域划分,对区域子网进行威胁评估,得出当前区域子网的安全评分和威胁详情,并通过平板呈现给企业评估分析的结果。随后根据分析结果,只需将威胁评估平台会的探测口直接接入交换机的普通口和现场工作站,使其与PLC处于统一局域网内。当流量口接入交换机配置的镜像后,威胁评估平台便可获取局域网内所有流量,从而进行评估分析。
(区域风险评估布局图)
威胁评估平台不单单支持本地化小规模的区域风险评估,同样适用于本地化大规模的全局风险评估。全局风险评估部署现场划分为几个大区,将威胁评估平台接入每个大区的管理型交换机中,分别接入探测口和流量口进行资产分析和流量分析,同时结合对全局网络基于国家行业标准为用户进行全局威胁分析,做到工控安全心中有数。
(全局风险评估布局图)
目前,匡恩网络“K巡”系列产品-威胁评估平台,已经广泛应用到电力、石化、轨交、冶金、烟草、煤炭、水利、市政、环保、制药等各种领域,填补了工控行业缺乏真正专业有效地安全评估工具的空白。威胁评估平台在发现威胁的同时,还提供了相应的整改建议,使企业更有效地做到防患于未然。