启明星辰智能安全运营保障工业企业安全无忧
发布时间 2022-03-04据报道,3月1日某汽车14家工厂28条生产线停工一天,约造成1.3万辆的产量损失,占某汽车日本产量的5%,而导致停工的原因是零部件供应商受到了“勒索软件”入侵,诸如此类工业勒索事件不胜枚举,已经成为工业企业安全运营的头号大敌。
多维度升级 威胁程度逐步加重
目标多样化:当前,工业勒索入侵的重点进一步聚焦在产业链影响较大的工业企业关键业务系统和服务器上,如数据库服务器、OPC服务器等,并逐渐蔓延至工业移动端,大有愈演愈烈的趋势。
行为复杂化:入侵者常以勒索软件为掩护,针对核心工业企业实施有组织性的网络破坏或间谍行动,窃取企业关键、敏感、核心的数据。
方式专业化:入侵者针对工业系统难以修补的漏洞进行更为隐蔽的自动渗透,从而进入局域网内的工业服务器,形成“一台中招,一片遭殃”的情况。通过行业供应链传播勒索软件是目前更为难以防御的入侵方式。
范围扩大化:以往工业勒索入侵的范围主要集中于信息化与网络化程度高、产业影响巨大的工业企业,借此获得更高的赎金,然而现已拓展至诸多关键基础设施和重要行业领域。
软硬兼施 主要威胁解析
从前序的工业勒索特点分析,工业环境的威胁主要存在于在5类工业端点主机:工业设备、网关、服务器、应用或第三方系统的客户端。这些主机极易受到僵木蠕、灰色软件、后门病毒、感染性病毒和漏洞等多种形态的病毒威胁或恶意软件的入侵,是工业安全难以防御的头号大敌。
从对象上看,工业互联网面临的主要安全威胁有:
1)对物理安全的硬入侵,对工业设备网络或调试等物理接口进行远程破坏,以达到恶意追踪或非法使用的目的;
2)对操作系统、应用程序、协议接口漏洞等软入侵:通过入侵边缘设备或服务器操作系统上的脆弱性端点,达到对设备节点控制、数据非法访问和篡改的目的。
贯彻场景化思维 “六部曲”保护工业互联网安全
一、建立长效彻底的网络安全机制与体系
1)全面收敛面向互联网的入侵暴露面:互联网暴露面越广,越容易成为入侵者的首选目标,需要持续加强互联网出口管控,对全域的下属子公司及其二、三级单位互联网出口实现统一管控。
2)规范互联网访问机制:全面启用VPN双因素认证,清退各类违规互联网访问、远程接入账号。
3)IT/OT环境统一的身份认证及行为监测机制:在工业企业全域实施统一的网络准入控制系统、桌面安全管理系统、防病毒系统,遵循“准入必合规”原则,对终端入网实现身份验证和安全管控。
4)覆盖全生命周期的风险发现与处置机制:形成常态化的系统上线前安全规划及代码审计、上线时验收测评、运行过程中风险评估与安全检查的机制,并开展安全专项治理工作,平战结合,形成长效机制。
二、构建深度融合业务和网络安全的智能化运营体系
1)基于“集约化、智能化、精益化”的网络安全监测体系:资产管理与态势感知相结合的自动化监测是落实“三化六防”、实行安全运营的关键手段。通过资产测绘,明确资产归属,形成资产台账;通过对入侵者的入侵方法、路径、套路进行分析与提炼,形成定制策略,精准识别入侵者的扫描踩点、漏洞利用、权限提升、横向渗透等行为,实现安全事件的监测、通报、验证、防御、取证、处置、应急等。同时关注互联网上泄露的企业敏感信息。
2)基于“实战化”的纵深防御体系:实施涵盖网络隔离、主机防护、数据防护、边界防护、漏洞扫描、配置核查、病毒防范、入侵检测、安全审计等方面的“等保”合规建设,构建防恶意软件传播、防恶意控制指令、防边界渗透等安全防护能力,满足工业企业的实际纵深防御要求。
3)基于数字孪生技术的工业环境对抗试验体系:满足工业企业针对高可靠性、实时性要求的工业控制系统、核心应用系统的安全配置测试、设备漏洞测试、安全设备测试等安全相关验证测试,并提供基于实战化的场景化应急演练及安全培训能力。
三、提升基于网络对抗思维的威胁主动诱捕能力
针对工业企业不同的工作区域,通过算法重构不同目的诱饵、不同功能的基于孪生技术的仿真系统,设置有针对性的网络入侵“陷阱”,“诱捕”入侵者现身,结合陷阱、诱捕、欺骗和软硬件入侵利用等方法,捕获高质量的关键溯源线索、保护控制对象,形成结合主动溯源进行对抗出击的纵深化的主动防御体系。
如在工业企业经营网的入口、二级、三级机构的关键业务节点分别部署仿真业务流程且具有目标特征诱饵的诱捕系统,真实模拟各业务节点的生产运营、控制业务系统的场景,引诱真实入侵者,捕获勒索、后门等入侵行为,溯源身份信息等,通过入侵者的设备指纹、位置、IP地址等信息,快速、精准定位入侵者信息,达到主动诱捕、溯源和主动防御的多重目的。
四、完善网络供应链的安全防护与管控能力
我国工业企业的部分关键设备、工业设计软件、工业OS等部件重度依赖国外企业,存在极其严峻的供应链潜在威胁,这些威胁极其隐蔽且不受控性极强,即使加强使用过程中的管理流程,也很难清除,成为目前最大的不易控制的动态安全风险,加大了企业的被入侵面。
《网络安全审查办法》、《网络安全产业高质量发展三年行动计划(2021-2023年)》等多项政策文件,从知识产权布局、信创产业建设、技术安全保障等多个方面,提出通过技术手段应对网络供应链断供和网络入侵问题,针对工业企业存量系统的供应链安全比较有效的方式有:
1)数通产品采用具有国家独立知识产权的产品,在良好适配的情况下快速替代,尤其是核心区域的实时数据库、存储设备、核心交换机等。
2)融合AI、区块链、可信计算等新技术,采用工业安全标识、安全审查、产品溯源、逆向分析、威胁评估、攻防演练等手段,加强对不同应用系统的工业设备(系统)的深度安全检测及其防御技术研究,尤其是协议逆向分析、大流量安全分析等研究。
3)在关键工艺和关键环节实施强安全性评估,防止因配置错误导致后门、漏洞等问题而产生安全威胁。
五、打造以高素质人才为核心协同高效运营团队
网络对抗其实就是人与人(组织与组织)之间的对抗,在网络安全人才整体紧缺的大背景下,可以借用网络安全第三方专业机构,如启明星辰的技术能力,结合企业自身的人才特点形成人才梯队培育模式并建设攻防演练实训靶场,培育网安队伍。同时,统一调配各专业小组和外围机动力量,协同进行态势监控和响应,形成上下一体、协同联动的运营体系,实现整体防控、系统防控。
六、提高工业数据安全防护能力
工业数据是数字经济时代提高企业生产力的关键要素,按照其属性特征可以分为:设备数据、业务系统数据、知识库数据、用户个人数据等。根据其敏感程度可以分为:一般数据、重要数据和核心数据,涉及数据采集、传输、存储、处理等各环节。对于工业数据安全防护,覆盖包括数据收集、传输、存储、处理等在内的全生命周期的各个环节,采取数据著权、数据加密、访问控制、业务隔离、接入认证、数据脱敏等多种防护措施。
智能安全运营 保障工业企业高枕无忧
工业企业可以依托企业自身的监测能力、通过工业联网企业网络安全分类分级建设,并将企业侧监测平台接入到省级工业互联网安全态势感知平台,依赖“国家-省级-企业”三级集约化技术能力,提升工业企业网络安全监测感知与精确预警能力,保障地理分布广域的工业企业的安全生产运营。
启明星辰集团凭借强大的网络安全建设能力及丰富的安全运营经验积累,推出全套运作稳定的安全产品,如北斗智能运营平台、威胁集中化分析平台TAR、异常行为监测分析CSplus、工业诱捕系统、工业防火墙、工业过滤网闸等,可以帮助工业企业建设集约化的网络安全监测与大数据分析平台,构建基于安全运营的专业化安全监测与服务保障体系,支撑政府安全监管,支持企业安全责任落实,助力中国工业企业安全平稳完成数字化转型。
京公网安备11010802024551号