工業互聯網面臨的空前挑戰與機遇

編者按

工業與互聯網技術的深度融合，讓這個傳統的行業面臨著空前的挑戰，越來越多的網路攻擊事件瞄向了工業互聯網系統，從近些年來發現的一系列工業互聯網安全事件來看，都造成了重大的社會和經濟損失，也給人們的生活帶來了最直接的影響。通過本屆RSAC2018我們發現，業界對工業互聯網安全的重視開始不斷加深，360企業安全集團工業安全事業部負責人陶耀東分享了他在RSAC2018上的所見所聞。

美國時間4月16日-20日，RSA Conference已經進行3天，相關的Keynotes、Sessions已經基本上進入尾聲，許多重磅的議題或者期待的議題基本上都完成。參會之前，作為全球最大的安全盛會，管中窺豹，可見一斑。通過這個會議，我們可以聚焦到一個視角了解美國乃至全球的工業互聯網和工業控制安全相關的企業、解決方案、業界動態和發展趨勢，總結起來，有以下幾點觀察：

（1）Triton類對工業控制系統的網路攻擊，被認為是最危險的網路攻擊技術之一；

（2）工業互聯網在美熱度稍遜國內，但關注OT、IOT、IIOT安全問題是共識；

（3）工業安全獲得業界重視，大會特設專題sandbox環節，大型綜合廠商普遍關注工業控制安全；

（4）工業安全，創新解決方案亮點頗多；

（5）業界開始重視工業安全的意識提升。

下面對以上的觀察展開介紹：

一、工業控制系統的最新網路攻擊，被認為是最危險的網路攻擊技術之一

在18日的keynote上，SANS研究所的主任Alan Paller和SANS三位研究員Ed Skoudis、James Lyne、Johannes Ullrich總結分析了5種最危險的的網路攻擊技術：存儲庫和雲存儲數據泄漏、大數據進行反匿名處理和相關性分析、工業控制性攻擊：目的性和方法、攻擊者將通過挖礦機將受損系統貨幣化、硬體缺陷。

對工業控制系統，特別對作為工業系統最後一層保障的安全輔控系統SIS進行攻擊，被認為是這5種最危險的網路攻擊技術之一，這其中最典型的代表就是：2017年底發生的Triton/TriSIS事件。與在過去絕大多數惡意軟體將攻擊目的集中在欺詐和利潤上有所不同，2017年對施耐德SIS系統進行攻擊的Triton / TriSYS這樣的、罕見的、公開的攻擊，顯示了其巨大的能力，它的目標是危害工業環境中某些最高風險組件（安全輔控系統SIS），這是生命和生產事故發生之前的最後一個保障。

當前，工業領域的攻擊者越來越有針對性和相關性，但因為工業控制系統的特點，這個領域仍然沒有採用最新的操作系統和相關的危險防護或緩解措施。 隨著工業中越來越多的感測器數量增加和複雜性的增加，當攻擊者追求將工業領域的感測器或控制器作為最終攻擊對象時，我們將受到嚴重威脅，我們的世界就是在這些嚴重依賴於工業系統上運轉的。

因此，工業控制系統可以被看做是最危險攻擊對象。

4月18日上午 Keynote 演講

類Triton/TriSIS攻擊被評為最危險的攻擊技術之一

二、工業互聯網在美熱度稍遜國內，但關注OT、IOT、IIOT安全問題是共識

隨著2016年中國成立中國工業互聯網產業而聯盟（AII），2017年11月國務院印發《深化「互聯網+先進位造業」 發展工業互聯網的指導意見》，中國的工業互聯網發展後發先至，進入高潮，AII中的成員數量超過500家，工業企業超過130家，全國的工業互聯網雲平台超過30家，各種工業互聯網最佳應用案例和測試床層出不窮，各種工業互聯網會議和各類安全會議必談工業互聯網安全。但在RSAC 2018會議和展會上，直接提及到Industrial Internet概念仍然比較少，從這點來看，在這工業互聯網的推進層面我們國家和產業界更重視，整體熱端高於美國。

從RSAC會議上觀察，很多專家仍然將工業互聯網或工業安全當做OT或IOT來思考，並推出了大量解決方案。安全廠商高度關注ICS、OT、IOT、CAR等安全問題，成為業界共識。

三、工業安全獲得業界重視，大會特設專題sandbox環節，大型綜合廠商普遍關注ICS安全

從這會議的日程安排上，可以觀察到，除了傳統的IT安全意外，工業安全獲得大會和產業界高度重視，大會專門設置了：ICS 、IoT、Car HACKING的sandbox環節，並有十餘場的專題演講，其中包括：

A Quick Start Guide for Critical Infrastructure Protection

Defeating Insider Threats to Critical Infrastructure

My Life as a CISO

Insecure Cities and Rogue Robots: The Impact of Industrial IoT Exploits

No IOUs with IOT

SCADA 101

A SOC in the Sandbox

Think Like a Hacker But Act Like an Engineer

RSAC Sandbox : INDUSTRIAL CONTROL SYSTEMS

RSAC Sandbox : INTERNET of THINGS

從大會的議程和MosCone Center-West Expo、North Expo、South Expo、Marriott Marquis四個展區的展示進行觀察，可以發現大型綜合安全廠商普遍關注工業安全，如Symantec、卡巴斯基、Macfee、Trend等均特別介紹了工業安全，並有專題演講。Macfee分析了2017年的wanncry、Notpetay、Triton的事件的影響，Trend分析了工業風減少策略（增加可視性、保護、探測、響應、合作），卡巴斯基提出了工業安全的風險模型、發展趨勢，建議提升安全意識和訓練、加強應用安全的軟體和專家服務；

整體來說，各大廠商均建議工業企業要制定IT和OT的安全策略，分析IT和OT對CIA和AIC的優先排序，從架構上和配置上整體考慮安全防護、應用SOC/NOC進行網路管理和危險探測、建立IT和OT一體化的安全團隊等，這與去年360對工業互聯網安全提出的建議頗為相似，異曲同工。

Trend 降低工業安全風險的5點建議

Trend 降低工業安全風險建議的說明

卡巴斯基分析ICS攻擊向量

卡巴斯基分析工業控制安全的3個視角關係

四、OT、IOT安全，創新解決方案亮點頗多

在本次展會觀察一些創新的企業及其OT、IOT、IIOT解決方案，可以發現頗多亮點，例如：

（1）UPTAKE公司提出了解工業數據的分析方法，進行工業企業的資產盤點、獲得全面的安全可見性、對威脅進行分類、調查和補救來解決工業企業OT安全問題。

非常有意思的是，UPTAKE是工業大數據應用方面的獨角獸企業，被福布斯評委「2015年最熱創業公司」，2017年最新C輪融資4000萬美金後，估值超過20億美金，其主要業務是幫助企業將各類設備上的數據採集、匯聚到一起，用一套統一工具去監控管理，並提供推薦預測服務，如：流程優化、故障預警、任務管理等，是基於工業企業歷史數據對企業工作流程進行優化，預測各類設備的使用壽命，並可以根據結果反饋不斷提升預測和推薦的準確度，是工業互聯網和工業大數據產業的代表者。

UPTAKE所提出了工業大數據進行安全監測和響應，與2016年360在AII峰會上提出的PC4R的理念非常一致，也是首次看到這個理念落地成產品和服務，這是本次展會工業安全最大發現之一。

North Expo 展館的UPTAKE站台

（2）Allegro公司給出了面向工業嵌入系統的Web、TSL Client/Server、SSH Client/Server、嵌入式輕量級證書管理、軟體加密引擎、嵌入式設備安全工具包套件等，主要將基於標準的安全協議快速、容易和可靠地嵌入到資源敏感的嵌入式系統和消費電子產品。Allegro公司位於麻塞諸塞州，成立於1996年是嵌入式軟體工具包的領先供應商。採用加密的方式，保護工業安全要求，也是眾多創新方法之一。

North Expo的Allegro展台 - secure software for the Internet of Things

（3）Mocana公司提出採用加密的方式從基礎開始建立可信度，保障工業控制系統和工業物聯網（IIOT）的安全，提供支持ARM、MicroChip、ST、Atmel等30多種嵌入式平台的類OpenSSL信任平台，可以源代碼方式提供，開發者將之編譯進不同目標設備，確保聯網設備安全，如：啟動驗證、證書管理、加密引擎、安全數據傳輸和安全固件升級等。簡單理解，就是提供被工業嵌入式系統大肆濫用的OpenSSL的替代品，以避免OpenSSL已經暴露的大量漏洞；Mocana成立於2002年，是一家軍事應用嵌入式安全軟體公司，2017年5月完成新一輪1100萬美元投資，總融資額達到了9360萬美元。

值得一提的是，Mocana是明確說明其遵從2018年3月IIC（美國工業互聯網聯盟）發布的端點安全最佳實踐（ESBP）的公司，其產品滿足IIC在對安全引導（Secure Boot）、信任的硬體和軟體根（Hardware and Software Root of Trust）、密碼服務（Cryptographic Services）、安全端點標識（Secure Endpoint Identify）和端點配置和管理(Endpoint Configuration and Management)的相關要求。

North Expo 的Mocana展台-Securing Mission -Critical IoT

（4）IoTrust公司明推出Entrust Datacard ioTrust安全解決方案。該解決方案提供安全、可信的數字基礎架構，在接入物聯網(IoT)生態系統的設備、感測器和後端平台之間提供數據保護。ioTrust安全解決方案利用身份、身份驗證和授權、憑據生命周期管理和安全通信等功能幫助組織機構實現為互聯世界提供支持的人、應用程序和設備的安全互聯。IoTrust安全解決方案可以加快部署時間，幫助企業在流程優化和自動化、供應鏈可視化和新服務提供等領域更快實現業務價值，採用的是身份認證與安全交易技術。Identity用於工業安全，也是亮點。

（5）Zentera 公司CoIP 混合基礎設施和智能製造覆蓋（overlay）解決方案，使用先進的覆蓋網路來將虛擬私有雲（VPC）的統一能力帶到複雜的混合環境中。抽象出物理網路連接的細節，開發人員可以使未修改的Linux和Windows應用程序與其他數據中心和公共雲（甚至屬於另一個企業）中的主機無縫地、安全地通信，其安全功能允許公司指定允許特定的CoIP Enclave中的哪些授權應用訪問Enclave的網路。 所有其他應用程序都被鎖定，大大增強了飛地的安全性。 CoIP Secure Enclave，混合或雲環境與本地環境沒有區別，企業可以全面控制連接和安全，從而在所有環境中實施統一的安全策略。Zentera的方案可以解決工業企業異地多個工廠與工業互聯網平台、工業雲的連接安全問題。

除了以上介紹的五個公司外，Cyberbit、Cylance也推出了工業終端安全方案和EDR理念。Veracity公司推出Veracity Cerebellum，作為SDN平台，可以完成安全層級模型（Security Level Model）、授權網路設備（Authorize Networked Devices）、安全區管理（Security Zone Management）、授權通信（Authorized Communication）、視覺驗證（Visual Validation）、系統策略管理（System Policy Management）等安全運營中心的能力。與目前360建議工業企業建立工業安全運營中心，對企業IT、OT進行安全統一管理的理念也非常類似，也讓人印象深刻。

五、產業界開始重視工業安全的意識提升

本次展會可以觀察到產業界開始高度重視網路安全意識提升，特別是工業安全意識的提升。在本次展會上專門開闢了ICS Village區域，用於傳遞工業安全基本知識。ICS Village是一個非營利組織，由Cavalry、GRIMM、SCYTHE等公司聯合創建，提供教育工具和資料以增進媒體、政策制定者和其他人的對工業安全理解，為安全研究人員提供訪問ICS技術來學習和測試這些系統。一些工業安全公司，如：DRAGOS、CLAROTY、VERACITY、UPTAKE、CyberX等均是該組織的贊助商。這也體現了本屆大會的主要思想——協同應對安全。

ICS Village 展示的工業沙盤模型-水泵、HML等

ICS Village 展示的工業沙盤：西門子PLC

縱觀本次RSAC 2018所有關於工業安全的展商、演講和活動，與前面幾屆會議相比，安全界對工業安全的重視程度前所未有，創新技術、產品、解決方案、工業安全意識培養方面均有很多發現和亮點。可以預測，未來幾年，就像本次大會的主題：Now Matters，工業安全的威脅將會越來越多，包括中國在內的各國監管機構、安全廠商、工業用戶對工業安全重視程度將進一步提高，相關政策和法規也會出台和落地，推動全球工業企業的工業安全防護需求和能力提升，工業安全解決方案提供商和相關創新公司將獲得高速發展。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！