OT网络安全破局之思考系列(一)
Editor's Note
进军工业网络底层,解决真正的工业网络案例问题。
The following article is from 安帝Andisec Author OT网络安全领军者
后疫情时代,经济低迷、持续下行,影响后果深未见底。俄乌战争凸显“关基”安全保障的极端重要性。美中对抗、大国博弈,国际安全形势瞬息万变。网络安全行业迎来最坏的时代,也是最好的时代。
洞察未来,变的是什么?漏洞后门持续走高,攻击技术的复杂化,攻击对手的高能化,安全风险的动能化,安全需求的多样化,安全目标的弹性化,资产价值的差异化,防御能力的滞后化?等等!不变的是什么?攻防对抗的本质未变;易攻难守的常态未变;敌强我弱的态势未变;安全价值的追求没变。变局中求生存、求破局,不确定性中寻找确定性,这是今后的常态。
ICS(工业控制系统)到OT(运营技术)的转变,ICS网络安全到OT网络安全的转变,完全是数字时代之变。客观的讲,ICS网络安全十多年来的探索,始终没能摆脱移植、模仿、追新的宿命。当OT网络安全深入工业网络底层时,跟随、模仿、移植的套路已力不从心。无论各表一词的工业互联网安全、工业控制系统安全、工业信息安全、工业网络安全、工业安全,都在概念、技术、流程、规范、风险、文化等等方面,面临重大挑战。其本质是对OT域的功能安全、控制安全、过程安全、业务安全、过程安全风险的无知、畏难和回避。
当真正的IT/OT/CT/ET深度融合无处不在之时,OT网络安全如何回归工业本质,如何直面底层防御盲区?如何遏制网络攻击向动能攻击的转化?强调关注“业务、人和供应链”者有之,强调安全能力前置的“设计安全和默认安全”者有之,强调系统工程回归的“弹性工程和知情工程”者有之,强调关注“工业风险和安全运营”者有之,倡导内生的“内置安全、内嵌安全、出厂安全”者有之,等等。OT网络安全的产品技术、解决方案、发展范式,将走向何处?
安帝科技试图对这些问题进行系统思考,尝试探寻自己的解决方案和发展路径。同时,也期望与业内同仁共同探讨,共同探索,共同成长。本期推出系列思考之一:《迈向工业网络底层的勇气,看清深层工业网络的能力》,敬请批评指正。
迈向工业网络底层的勇气,看清深层工业网络的能力雷军在2023年度演讲中总结到,只有认知的突破,才能带来真正的成长。
认知突破的前提,是深入的思考。思考是人类心智成长的必需品。
如果把2010年当作中国工业控制系统网络安全的元年,到现在也不过14年时间。14年间,威胁驱动、事件驱动、合规驱动、数据驱动、情报驱动、价值驱动、风险驱动,等等,未有改变移植、模仿IT网络安全的套路,带有IT安全基因的OT网络安全解决方案,如今日薄西山、气数已尽、前路茫茫!
工业网络安全的挑战很像探索海洋的挑战。在海洋浅表附近,光线充足,安全无处不在。有了一些基本的、便宜的、广泛可用的设备,浮潜者或潜水员可以安全地很好地了解水面下的情况。
然而,随着深度的增加,挑战和风险急剧增加。光线会逐步消失,探险者必须自己带着照明设备才能看见。压力增加,温度下降,这意味着潜水员必须换掉普通潜水服,使用更坚固的设备,以保护他们的身体免受环境和潜在危险海洋生物的伤害。探索深海不仅仅是找到一种呼吸的方式,需要更加系统的规划、熟练的技能和专门的设备,才可能在不同于其他任何环境的海洋中保证安全。
一、深层工业网络安全的复杂性普渡模型企业参考体系结构(PERA)定义了一组集成工业控制系统和业务网络的最佳实践。它提出了一个6级架构(如果考虑扩展到云,即为7层),在工业企业的不同功能层之间建立隔离,并在它们之间有明确的边界。
模型的顶部(第3-5层)主要表示标准的IT基础设施:WEB和电子邮件服务器、工作站和应用程序服务器,它们完全属于标准的IT管理实践。
Purdue Level 2标志着从IT到OT的过渡。从第2级开始,可以看到OT环境中独有的一套新的网络协议和设备的转变:
2级包含本地人机界面HMI,专门用于监视和监督控制ICS设备。该级的时延在秒级;
1级集合了嵌入式硬件和可编程逻辑控制器(PLC),设备主要有批量控制、离散控制、驱动控制、连续过程控制和功能安全控制,提供对工业过程的自动控制。该级的时延要求在毫秒到秒级。
0级完成所有繁重的工业工作,从旋转离心机到测量和报告温度等等,主要设备有传感器、驱动器、执行器、机器人。该级几乎接近实时,毫秒到实时。
为了保护工业流程免受未经授权的访问、操作中断和数据盗窃,保护这些敏感资产至关重要。
部署在2级及以下级别的任何解决方案的有效性都需要对驱动工业流程的嵌入式硬件、软件和专有网络协议有深刻理解的技术和人员。它还需要充分了解工业流程本身,以避免干扰生产。二、深层工业网络成为攻防对抗的焦点工业网络中的网络弹性需要类似水平的洞察、预见和规划。OT网络的更深层,特别是在普渡模型(Purdue )Level 2级以下,引入了许多独特的专有网络协议、嵌入式系统。遗憾的是,在这个级别上保障网络弹性通常需要的成本和复杂性使得许多安全企业避而远之。目前大多厂商仍然专注于普渡3级及以上的解决方案,对于工业网络最深层、最敏感的地方,基本无视其弱保护或根本没有保护的现实。
工业网络的深层带来了技术和运行方面的限制和挑战,这些限制和挑战在典型的IT环境或工业网络的更高层中几乎不会出现。
1、技术挑战
(1)深层OT带来模糊的可见性运营者经常面临的挑战是获得对工业网络更深层次的良好可见性。2级及以下级别的网络设备通常不提供SPAN端口或其他接口,而这正是传统安全方法获得流量的方法,通常被用于在普渡模型的更高级别上获得可见性。(2)棕色地带网络的复杂性棕色地带OT网络由复杂的工业技术相互连接的集合组成。现有的控制器和网络基础设施可能在几年甚至几十年前就已经部署在运行了。这些解决方案几乎没有考虑到安全性,因为它们是在一个具有非常不同的威胁环境的时间框架内部署的。在不影响操作的情况,理解并厘清其错综复杂的通信链路,基于此实现分段或隔离,这是一个巨大的难题,成本高昂且几无成功的可能。(3)遗留老旧系统漏洞的伴随性工业设备的预期寿命很长,通常为15年或更长。OEM厂商通常不会无限期地提供软件/固件更新;最终有一天,安全补丁将不再可用。这并不能阻止攻击者的热情探索,他们总是在寻找新的和未修补的漏洞。这就产生了一类新的“永久”漏洞。这些漏洞无法修补。(4)替代安全解决方案时间的敏感性网络延迟是工业网络中的一个主要问题,因为它可能会破坏关键进程。面对秒级、毫秒级和实时的要求,延迟可能会影响工业系统中的决策速度,这可能对安全和保障产生严重影响。2、运行挑战
(1)OT团队与IT网络领域知识的障碍OT网络由专注于生产和正常运行时间的工业工程师管理和操作。这些团队对其流程和设备具有广泛的领域知识,但通常没有多少经验或时间来处理IT流程或网络安全问题。用于保护深度OT环境的解决方案必须易于OT团队部署、操作和维护,而无需专门的网络工程师或IT技术专家。(2)OT团队与IT团队工作职能重心的差异OT团队的主要关注点是最大限度地提高产量,确保他们所管理的工厂继续以最佳效率全天候运行。用于修复系统、部署更新和恢复的标准IT流程可能会干扰操作,并且通常在OT环境中不可用。例如,部署安全补丁可能涉及重新启动系统,导致生产停机,其成本远远大于相关的网络风险。(3)工业网络安全风险与过程安全风险的挑战强调以工业网络安全风险为中心的OT网络安全,但同时必须保证安全风险的底线是过程安全风险,即网络安全风险不能大于过程安全风险。OT网络安全风险必须小于或等于特定影响水平的过程功能安全风险。过程功能安全设定了工业企业的风险容忍度,OT网络安全需要满足这个风险容忍度。系统故障、随机故障、网络攻击是当前过程安全风险的三大源头。四、深层工业网络安全综合解决方案画像需要一种保深层护工业网络的新方法或解决方案,赋予OT实现网络弹性所需的能力。遵循“知工业、熟业务、聚目标、择路径、炼方法、控风险、强弹性”的总体原则,其最直接的目标是保护工业流程免受未经授权的访问、操作中断、数据泄露和黑客侦察攻击。该解决方案对OT网络深处的敏感资产、数据、信号实现可见、可管、可防、可控,而不会出现传统IT解决方案的操作摩擦或中断。同时,涉及的技术或产品要在合适的集成点无缝地连接到关键的IT安全工作流。基本特征简单归纳为:工业级设备、OT专属技术、功能专精、便捷部署、零化扰动、提供深层网络保护、助力弹性工程、利于安全文化建设。
1、技术和产品:简单透明
OT资产、网络、数据可见是基础和前提,威胁、风险、攻击、对手可见是手段。关键点有三:(1)即时可见性;通过全流量、全日志、泛终端、深下沉、适配第三方设备等,提供对OT网络的深度、即时、动态可见性。(2)无逢微隔离;无需网络重新架构或重新分配IP地址,在区域之间创建强大的虚拟安全边界。运营者可以以类似防火墙的方式阻止未经授权的协议,不产生额外的开销或延迟,也没有操作负担。(3)无死角监测;基于IP网络流量的监测手段不可能做到全域监控。控制系统的工作机理基于过程传感器馈送至可编程控制器,控制器引导执行器做出预期动作。L1-L0存在大量非IP数据的传感器网络,通常是基于信号的,这就需要离线、带外过程传感器监控技术。2、业务和流程:零化摩擦
OT网络安全解决方案的目标是网络弹性、业务弹性、任务弹性的强化和提升。弹性工程和知情工程的关键点至少包括:(1)部署便捷化;可以快速集成到任何网络中,而不会中断操作。根据网络的规模和复杂程度,可实现小时级或几天级别的部署周期。高效适配OT运营员工调度、工厂维护窗口和操作流程。(2)运营零扰动;整体运营稳定、可靠,不抢占系统资源,不与既有业务应用、业务流程起冲突。不对现阶段OT生产侧人员知识、技能提出太多要求。即不断生产、不抢资源、不起冲突、不提要求。(3)风险自适应;基于对工业网络安全风险和过程安全风险的认识,遵循自动化领域的网络安全风险第一定律,把握OT技术风险、网络物理风险、社会技术风险在不同行业的特性和要求。3、人员和文化:渐进融合
技术、法规、风险不是OT网络安全的全部,另外两个核心要素是人和安全文化。缺少安全文化基因的渗入,防御者在OT网络安全的博弈对抗中终将失去魂魄。OT网络安全解决方案的成功与否,也必然与这两个关键要素密切相关,也期望二者能够互为势能互为推动。(1)组织一体化;IT与OT融合之路显然是漫长艰辛的。受限于传统上对功能安全(生产安全)和新兴的网络/信息安全的不同需求优先级,两边在人员、技术、流程、文化的差异是巨大的,IT团队和OT团队割裂的现状一直存在。追求两个团队在组织上的一体化是必须要坚持的。(2)能力专精化;OT员工在网络安全技能上存在差距是常态。在过程自动化系统(PAS)中,通常会有工艺工程设计师、过程自动化设计师、OT基础设施设计师等,是否都需要要求他们掌握OT网络安全知识和技能?倾向在OT团队配置OT网络安全工程师、网络风险分析师补足整体能力短板。(3)文化融合化;组织上的割裂源于内在文化上的差异。网络安全文化是企业文化的重要组成部分,眼下弱势的网络安全文化与相对强势的传统生产安全文化的竞争冲突偏多,合作仍然偏少。这也是因为生产安全与企业的价值追求关联度更高。相信,OT安全文化与IT安全文化的融合仍是大势所趋。
小结
进军底层,看清深层,这是一项艰难的道路。但这却是OT网络安全从业者求得生机和变局的机遇。终局思维、长期主义,做难而正确的事,也正是网络安全工作者应当坚持的原则。路虽远,行则将至;事虽难,做则必成。
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。
点击“在看”鼓励一下吧