编者按:2 月 20 日,在 2017 工业互联网峰会召开的同时,360 推出了国内首个工业互联网安全态势感知系统。在与媒体交流时,360 企业安全集团董事长齐向东表示,在消费互联网安全领域有深厚积累的 360 在进入工业互联网安全时,也花了几年时间探索。工业互联网有其特殊性,守卫安全不容易。
以下是齐向东在 2017 工业互联网峰会上的报告,雷锋网编辑略有删减。
今天全世界都在讨论第四次工业革命,美国人称为“智能制造”、德国人叫“工业 4.0”,我们国家规划为“中国制造 2025”,也称“工业互联网”,我个人认为“工业互联网”这个称呼更容易理解。互联网的背后是人,互联网攻击和犯罪就是盗窃隐私、诈骗财物;工业互联网的背后是生产线,是控制系统、是汽车、是衣食住行吃穿用的东西,网络攻击可能导致生产线停转、控制失灵、车毁人亡。所以,习近平总书记在去年 419 网络工作座谈会上讲话中提出:安全是发展的前提,发展是安全的保障。这句话用到工业互联网上更加恰当。没有安全保障,工业互联网将寸步难行。
一、现在越来越多工业系统暴露在互联网上。
工业越发达的国家,暴露的也越多。360 和东北大学工控安全实验室进行过联合研究,通过扫描部分网络,就发现了全球 77766 台控制系统和控制主机暴露在互联网上,其中美国占大头 3 万多台,中国包括台湾在内近 2000 台,涵盖了所有目前流行的控制系统和工业控制协议,包括使用 S7 协议的西门子 PLC、使用 Modbus 协议的施耐德 PLC、使用 DNP3 的电力 SCADA 系统,涉及的应用领域从离散控制到连续控制都有。这些系统一旦出现漏洞被攻击、被远程操控,可能引发灾难性的后果。
二、从工业互联网的发展趋势上看,这种暴露会从常态化走向标准化。
也就是说无处不在的网络连接,实时不间断地大数据收集,以及来自云端的智能化控制是工业互联网的发展潮流。
我国提出的工业互联网的四个应用场景:智能化生产、网络化协同、个性化定制、还有服务化延伸,这其中服务化延伸和个性化定制是天然跟互联网融合的,网络化协同也是通过互联网连接在一起的。智能化生产分为两种情况,一种是直接跟互联网连接的;另一种是不直接连接互联网,而是通过监控调度网络连接到企业管理网。但是这四个系统本身都是通过各种途径连接在一起的,并最终连接到互联网上,因此,这些工业系统最终也间接暴露在互联网上了。
比如,制造业的标杆企业三一重工,为了实现卡车、挖掘机的智能,需要通过互联网来收集数据和下发控制指令;还通过工业互联网将分散在信息系统、车间工控系统和生产设备上的数据进行汇聚,实现互联互通和智能生产。
在这个系统中,从网络层看,要把 IT 网络与 OT 网络连接起来,并实现数据交换。实际生产中,管理层将工艺流程的设计数据分解成不同的子任务,分发给监控层;监控层根据接收到的任务信息,转化成相应的指令下发给控制层;控制层通过工业以太网或现场总线,控制阀门、机械臂等执行部件,进行生产制造。
工业智能化之所以叫工业互联网,就是要继承互联网的开放性,一定会越来越开放,联网暴露度会越来越高。
三、暴露的工业互联网安全隐患巨大,安全现状令人担忧。
来自 360 补天平台的监测数据显示,工业互联网联盟成员中 82 家工业企业中,有 28.05 %都出现过漏洞,并且 23.2 %是高危漏洞,遭遇网络攻击的风险很大。这些漏洞还仅仅是全部系统漏洞的一少部分,因为在漏洞发现方式上,它仅是白帽子主动提交的,而不包括主动扫描发现的。在漏洞范围上,它也仅仅是针对应用站点的漏洞,还没有监测它的协议漏洞和其他漏洞,也不包括主动扫描发现的漏洞,通过这些漏洞,黑客都有可能攻击工业系统。
卡巴斯基去年扫描了全球 170 个国家的近 20 万套 ICS 工业控制系统,其中 92% 都存在安全漏洞,有遭遇黑客攻击、被接管、被破坏的风险。
三个案例
2015 年 12 月,黑客利用 SCADA 系统的漏洞非法入侵了乌克兰一家电力公司,远程控制了配电管理系统,导致 7 台 110kV 与 23 台 35kV 变电站中断了三个小时,导致 22.5 万用户停电。
2016 年 12 月,同一个黑客组织再次对乌克兰另外一家电力企业实施了攻击,这次是通过入侵数据网络,间接影响了电厂的控制系统,造成变电站停止运行。
2016 年 4 月德国核电站负责燃料装卸系统的 Block B IT 网络遭到攻击,安全人员在对这套系统的安全检测中发现了远程控制木马,虽然还没有执行非法操作,但核电站的操作员为防不测,临时关闭了发电厂。
两个案例
有人认为通过智能生产与互联网隔离可以解决安全问题,这也是错误的。最著名的案例就是前几年伊朗核设施遭到震网蠕虫攻击破坏事件,伊朗的核设施的运行控制系统是完全隔离的,但是黑客组织首先定向攻击了伊朗核系统的一位核心人员,再利用电脑中系统的 0day 漏洞入侵了他的电脑,这台电脑使用过的一个 USB 盘被插入了核设施的控制网络里,利用了“USB 摆渡”这种攻击手法将震网蠕虫植入了控制系统,最后控制破坏了伊朗的核设施。
2015 年初,国内的某大型钢厂的高炉控制系统的上位机(安装控制软件的计算机)运行速度越来越慢,导致最后无法进行生产,连续更换两台备用计算机,上线后均在几个小时内发生同样的故障现象。直接导致该生产线停产 3 天,经济损失接近 1 亿。360 安全人员现场处置发现,故障计算机上充斥着五六年前流行的蠕虫、木马,进一步检查发现,整个网络中充斥各种恶意流量、僵尸木马和蠕虫病毒。
物联网和勒索软件
工业互联网是物联网的重要组成部分,物联网的安全威胁更是触目惊心:去年 10 月份,全世界有近 80 万网络摄像头感染恶意软件,受控组成僵尸网络攻击了美国互联网基础设施 DNS 服务器,造成了大半个美国互联网断网。
在今年的 RSA 上,勒索软件被评为七大致命攻击之首,以前勒索软件的目标是医疗、交通、政府等行业的数据系统,现在也开始转向物联网、工控。从攻击电脑和服务器加密锁定数据和文件转向锁定酒店的门禁、电梯控制系统等、被锁定的酒店所有的门,只有缴纳赎金才能打开,被锁定电梯也只有缴纳赎金后才能运行,其造成的威胁将是灾难性的。
上面这些案例说明,工业互联网如果不能得到有效的保护,其后果将是灾难性。
四、工业互联网安全治理的六大措施。
在工业互联网不太发达的时候,OT 表面上都是隔离的,大家都淡化了安全意识,没有采取安全措施,但实际上这只是逻辑上的隔离,OT 通过各种途径跟 IT 还是连接的。安全意识淡漠和安全措施不利,导致 OT 系统也变成了藏污纳垢的地方,漏洞丛生,后门和远控数不清,就像总书记 419 讲话中说的,谁进来了不知道,是敌是友不知道,干了什么不知道。
去年国内的某保密部门的生产系统瘫痪,所有机器都无法启动,被用蠕虫病毒传播的木马远程控制,导致系统崩溃。360 安服团队应邀对某涉核单位 IT 设施系统及工业控制系统进行的安全评估和检查中,在信息安全技术体系、安全管理、安全运维各环节中都存在严重问题。很多 IT 系统的主机缺乏主要的杀毒软件,基本处于裸奔状态;系统补丁从安装那天起就没有做过任何的更新过。
360 安全服务团队对某核电站工控系统进行了安全检查,包括如 DCS 系统上位机、实物保护系统以及相关终端,发现在技术层面以及管理层面均存在严重的安全隐患,包括没有强制密码策略以及登录安全策略、终端存在弱口令甚至空口令,以及滥用移动U盘等现象。
我认为要对工业互联网进行有效的安全治理,应该采取以下 6 项措施:
1. 提高安全意识,将工业互联网的安全上升到最高级。安全比工业互联网本身更重要,让安全成为工业互联网的前提,成为顶层设计;
2. 建立全天候工业互联网安全态势感知能力,一个网络攻击者不会单纯的攻击你一家,网络攻击是全球的,我们要对全球的网络安全态势有感知能力,尤其要关注同行的,就好比你住在一个小区里,邻居家被偷了,怎么偷的,了解这些情况对自己防患于未然是有帮助的;
3. 建立跨越物理世界、商业世界、操作网络(OT)、信息网络(IT)一体化安全防御体系。改变割裂对待 OT、IT 安全的状况,提高工业互联网预警、检测、响应、追踪溯源的纵深防御能力形成包括终端、边界、数据、工业云的安全防护,以及威胁情报收集和应急响应体系等;
4. 建立工业互联网安全运营与分析中心。对企业内工业数据和安全数据持续收集,建立企业的安全数据仓库。利用大数据方法发现工业生产异常,这是数据驱动安全的最佳实践方法;
5. 重点防御保证关键基础设施的安全。很多的工业互联网企业都涉及关键基础设施,有更大的概率遭受 APT 攻击,更需要重点防御。
6. 协同防御,共建安全 工业互联网命运共同体。去年,360 提出了协同联动体系,通过数据协同、智能协同和产业协同建立安全生态和立体防御体系,得到了全球安全行业的认同,上周在美国 RSA 大会上,360 补天还联合全球多家漏洞响应平台共建响应机制等。