“数智时代”的工业企业如何构建漏洞管理体系

威努特工控安全 2024-02-28 09:08:01  64863

分类专栏：资讯

1、概述

近期，巴以冲突的焦点除了在现实的战场外，也蔓延至网络空间。2024年1月中旬，亲巴勒斯坦的黑客组织“匿名者苏丹”声称对以色列最大的炼油厂运营商BAZAN集团发起了一系列网络攻击，导致BAZAN Group关键基础设施的网络出现大范围中断。该黑客组织表示，针对BAZAN集团的攻击动机是回应以色列对巴勒斯坦人的侵略。网络战已成为现代战争的重要组成部分，地缘政治紧张局势的升级越来越多地映射到网络空间，对全球关键信息基础设施的稳定性造成破坏。近几年针对各个国家的关键信息基础设施的网络攻击事件愈演愈烈，APT攻击、勒索病毒、供应链攻击等IT网络威胁在快速向工控领域蔓延。在工业互联网快速发展的今天，石油石化、能源煤炭、水利水电、交通运输等关乎国民经济命脉的关键信息基础设施面临的网络安全形势日趋严峻，并且会持续对我国国家安全和数字经济运行造成极大威胁。

2、现阶段工业企业的漏洞管理现状

党的二十大报告提出，“加快发展数字经济，促进数字经济和实体经济深度融合”。随着制造强国、网络强国和两化融合战略的持续推进落地，我国能源、交通、水利等关基行业的生产运营活动逐步迈入智能化阶段。与此同时，物联网、人工智能、云计算等新一代IT技术和OT技术的加速融合，使得工业控制系统正从封闭独立逐步走向开放互联。数字孪生和低代码等新型行业技术的广泛应用也进一步推动工业互联网的深度融合创新。随着数智时代到来，工控网络系统将会更加开放以支撑企业更为灵活高效的生产运营，但这个趋势也将为企业带来一系列高难度的安全挑战。工控安全是国家安全保障、社会稳定运行的重要基石，我国已经持续多年逐步完善工业控制系统网络安全政策标准，以便于提升工业控制系统网络安全保障水平，推动整个安全产业的发展。

为适应新型工业化发展形势，提高我国工业控制系统网络安全保障水平，指导工业企业开展工控安全防护工作，以高水平安全护航新型工业化高质量发展，工业和信息化部于2024年1月印发《工业控制系统网络安全防护指南》。《防护指南》定位于面向工业企业做好网络安全防护的指导性文件，坚持统筹发展和安全，围绕安全管理、技术防护、安全运营、责任落实四方面，提出33项指导性安全防护基线要求，推动解决走好新型工业化道路过程中工业控制系统网络安全面临的突出问题。在众多针对工控网络的攻击中，漏洞利用攻击是最主流的攻击方式，《工业控制系统网络安全防护指南》第30-31项也针对漏洞管理工作明确提出要求：密切关注工业和信息化部网络安全威胁和漏洞信息共享平台等重大工控安全漏洞及其补丁程序发布，及时采取升级措施，短期内无法升级的，应开展针对性安全加固；对重要工业控制系统定期开展漏洞排查，发现重大安全漏洞时，对补丁程序或加固措施测试验证后，方可实施补丁升级或加固。本文也重点从漏洞管理视角引导工业企业如何构建自己的漏洞管理体系并最大程度降低攻击风险。

2022年工控系统行业厂商漏洞数量柱状图

典型的工业控制系统网络资产和企业IT网络资产之间存在着较大差异，这导致在工业控制系统网络中与在企业IT网络中漏洞何时修复、修复哪些漏洞存在巨大的差异。我国在工控安全漏洞监督管控、管理运营等国家顶层漏洞管理工作已经取得了积极成效，但在数智时代和网络战时代双重背景下，工控安全漏洞因其特殊性，工业企业自身的漏洞管理工作仍面临着许多挑战。工控安全漏洞特殊性主要体现在以下三点：

3、浅谈工业企业的漏洞管理体系建设

基于工控安全漏洞的特殊性，我们总结出工业企业的漏洞管理目标并不是网络资产完全没有漏洞，而是可以将脆弱性风险管理达到企业生产运营可以接受的水平。工业企业更容易落地的漏洞管理是要找到一个平衡点，既可以保障数智时代工业企业生产业务的高效运营，又可以在网络战时代保证其具备防护高级威胁的安全能力。基于此目标和威努特在工控安全领域积累的丰富经验，威努特建议工业企业要建设具备实战化能力的工控安全漏洞管理体系。当然漏洞管理工作不仅仅是技术，更关键的是通过建立流程制度对漏洞风险进行持续监测和有效控制。本文参考SANS网络安全滑动标尺模型，将工业企业的漏洞管理体系建设过程分为架构建设、被动防御、积极防御、威胁情报和进攻反制五个阶段，按照每个阶段的建设水平来对漏洞防护能力进行评估，并指导工业企业未来漏洞防护能力的建设，逐步建设成具备实战化能力的工控安全漏洞管理体系。

（1）架构安全（Architecture）

原生定义：规划、建立、维护系统安全。

关键动作：架构安全主要是从网络架构层面通过技术和管理手段使企业IT基础设施具备面对网络攻击的基本免疫力，是整个网络安全体系的根基。从漏洞管理的视角本文建议企业需要将工业控制系统网络进行安全隔离，避免外部攻击的入侵。本文建议使用网络隔离技术将工业控制系统划分为不同的安全区域并实施相应的安全策略，至少要做到工控网内部、工控网边界和物联网设备三重隔离：在生产网内部关键位置部署工业防火墙，工业防火墙建议具备零特征库和白环境技术的主动防御的机制，通过访问关系、协议指令、业务逻辑对白名单三重固化阻止一切不被信任的流量通过，可有效防护针对已知漏洞或未知漏洞的攻击；在生产网边界建议部署工业互联防火墙或工业网闸，实现必要数据交互的前提下实现纵深防护效果，也最大程度减小生产网资产的暴露面；在物联网分布式节点上串联部署物联网安全接入网关，通过接入控制、访问控制、攻击防护、加密传输、集中管理等功能实现分布式场站中的物联网设备安全隔离和传输安全。

（2）被动防御（Passive Defense）

原生定义：不依赖人的应对安全威胁防御措施（纵深防御体系），消耗攻击力量，迟滞攻击。

关键动作：被动防御通过技术和管理手段使企业IT基础设施具备面对网络攻击具备基本的检测和防御能力。此阶段的价值主要是进行基本对抗、消耗攻击方资源和延缓主机失陷时间。从漏洞管理的视角本文建议本阶段企业要建立三层能力，即工控主机漏洞修复和防护能力、工控漏洞扫描能力和互联网工控资产暴露发现能力。

工业控制系统的漏洞修复工作绝不是一个简单过程，而是一个系统性工程。核心的本质问题还是找到一个平衡点，对于企业来说无论是时间成本、经济成本、声誉成本，都需要一个权衡过程。一个已知漏洞是否需要修复、何时修复、修复顺序如何确定等等问题需要进行严格评估。对于有条件进行修复的漏洞要有严格的流程机制来避免对生产活动产生负面影响。对于没有条件修复的漏洞就要求工控系统自身要附加较强的漏洞防护能力。本文建议主机侧的漏洞防护能力可以通过部署工控主机卫士产品来实现，工控主机卫士可针对操作员站、工程师站、数据服务器等工业现场主机进行专业安全加固。工控主机卫士的轻量级“白名单”机制可以有效阻止恶意程序或代码在工控主机上的感染、执行和扩散，并针对常见高危漏洞进行主动防护。工控主机卫士还可以按照行业标准和等保标准进行基线配置管理，修复系统配置核查层面漏洞。

工控漏洞扫描能力建议通过部署工控漏洞扫描平台来实现，工控漏洞扫描平台涵盖资产管理、风险管理、系统扫描、web扫描、基线配置核查等能力，能够全面、精准地检测工控网络中存在的各种脆弱性问题，包括工控安全漏洞、安全配置问题等，为企业提供专业、有效的漏洞分析和修补建议。

互联网工控资产暴露发现能力可以通过部署工业互联网雷达来实现，工业互联网雷达可以为工业企业提供工业互联网资产探测、漏洞预警与宏观安全形势展现等能力。平台支持Siemens S7、Modbus、IEC 60870-5-104、DNP3等主流工控协议指纹识别和工控设备无损漏洞探测，可实现全球工控设备信息和漏洞信息的隐匿探测及全局采集，还可以准确定位工控设备。本平台可支撑关基保护单位或关基运营者完成安全监测、检查、整改的闭环工作，对于评估企业工业控制系统的安全性，推动关键信息基础设施的网络安全保障工作具有重要价值。

（3）积极防御（Active Defense）

原生定义：分析、监控、响应、学习并应用知识，以对抗网络攻击者。

关键动作：相较于被动防御阶段侧重于安全产品自身防御能力，积极防御阶段更要求人的深度参与。从漏洞管理的视角来看，积极防御阶段既要求具备检测和防御利用未知漏洞进行高级威胁的相关能力，还需要建设安全大数据中台实现安全产品联防联控和风险闭环管理，另外安全人员也要具备一定的分析溯源和安全运营能力。本文建议本阶段企业要建设两个平台，分别是高级威胁分析平台和工业安全态势感知平台。

高级威胁检测系统集威胁情报、下一代入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体，具备检测已知威胁、新型网络攻击和APT攻击的全流程检测能力，另外高级威胁检测系统还具备还原和存储网络流量的元数据能力，可以帮助企业安全人员回溯已经发生的网络攻击行为，分析攻击路径、受感染面和信息泄露状况。

由于工业系统在物理环境、组网部署、业务模型、通信协议、安全策略等方面与IT系统都存在不少差异，相应的工业系统安全与传统IT系统的安全在整体态势上也呈现出诸多差异。本文建议企业要建设专业的工业安全态势感知平台。工业安全态势感知平台不但可以实现工控网络“资配漏补”工作的流程化和闭环管理，还可以将工控资产、工控漏洞、不合规项、运行状态、安全威胁和外部威胁情报（比如国家工业信息安全漏洞库(CICSVD)）等各类数据进行多维关联分析，综合判定工控系统安全风险，帮助工业企业实现漏洞风险闭环管理和宏观掌控工控安全整体态势。积极防御能力建设不是一蹴而就，当工业企业已经构建起完善安全技术体系和安全管理体系，该平台还可以进化为态势分析与安全运营管理一体化平台服务于企业的网络安全整体运营工作。

（4）威胁情报（Intelligence）

原生定义：收集数据、挖掘信息、产生情报。

关键动作：实际上在积极防御阶段已经建议利用外部威胁情报应对高级威胁和进行多维安全数据关联分析，本阶段的威胁情报更侧重于企业自身主动生成威胁情报的能力。从漏洞管理的视角本文建议本阶段企业要建设两个平台，分别是工控漏洞挖掘平台和蜜罐诱捕平台。工控漏洞挖掘平台可以实现工控设施的未知漏洞情报生产，蜜罐诱捕平台可以直接生产本地化威胁情报作为外部威胁情报的补充，为高级威胁发现和安全运营工作提供有效情报信息。

工控漏洞挖掘平台采用可对工控设备（PLC、RTU等）、工控系统（DCS、SCADA等）进行未知漏洞挖掘、安全性及协议健壮性测试，深度挖掘工控设备或系统的各类已知、未知漏洞。平台还支持自动生成ISASecure 标准的测试报告，能显著提升工业企业其工控系统的安全性。2021年7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发通知，公布《网络产品安全漏洞管理规定》，自2021年9月1日起施行。《规定》推动了包括工控安全漏洞在内的网络产品安全漏洞管理工作制度化、规范化、法治化。根据《规定》要求，工业企业作为工控产品运营者有责任和义务修复自身工控系统/设备的安全漏洞，从源头消除漏洞风险，防范恶意利用，避免安全事件发生。工控漏洞挖掘平台能自动化发现设备潜在漏洞生成漏洞情报，并且可以向工信部网络安全威胁和漏洞信息共享平台（CSTIS）报送信息，积极落实《规定》要求，构建多方参与、协同共治的漏洞生态体系。在合法合规的条件下让企业自身的漏洞管理工作发挥更大价值。

蜜罐诱捕平台从纵深防御角度建议分别部署互联网蜜罐系统和工控蜜罐系统（PLC高交互蜜罐系统），分别部署于互联网出口和工控网络内部。蜜罐系统采用PPDAR（预测、预防、监控、分析和响应）自适应安全架构并以攻击者为视角，在攻击者必经之路设置欺骗点诱使攻击者攻击仿真的业务系统，自动推送攻击者感兴趣的蜜罐，深入诱捕，使之流连忘返，记录攻击者完整的攻击链信息。工控蜜罐系统支持西门子、施耐德厂商典型型号PLC设备仿真，可通过诱捕和分析隐蔽攻击流量来有效捕获包括APT攻击在内的工控网络攻击行为，可有效提升工控系统安全威胁发现能力。蜜罐诱捕平台通过生产本地化威胁情报为工业企业持续生产运营提供强有力的事前安全保障。

（5）进攻反制（Offense）

原生定义：合法框架下对抗攻击者的措施及自我防卫行为。

关键动作：本阶段为工业企业的漏洞管理工作提出更高要求，本文建议工业企业分别从能力提升和合法反制两个角度来建设这个阶段的漏洞防护能力。

能力提升方面首先建议企业建立自己的工控安全攻防演练平台用作强身健体，该平台可以直观展示恶意软件针对工控系统漏洞的攻击影响和最新防护技术，充分验证防护方案的防护效果和最优策略，还可以指导安全管理人员实施针对工控系统的风险评估和漏洞挖掘。进攻反制的本质是人与人的对抗，工控安全攻防演练平台可以为企业自身安全人才进行漏洞研究、攻防技术研究等实战化安全能力培养提供平台保障。当然企业自身工控安全的实战化攻防能力提升不是闭门造车，前期建议企业可以和业内专业的工控安全服务商协同合作，利用其丰富的工控行业经验和安全知识积累协助完成日常监测、攻防演练、战时保障和能力提升等工作，稳步构建和完善自身的漏洞管理体系和工控安全保障体系。

合法反制方面建议企业通过攻击溯源和取证后联动网络安全监管机构和执法单位协同反制来实现对攻击者的震慑并维护自身的合法权益。比如蜜罐诱捕平台本身就可以通过溯源获取攻击者的社交信息、位置信息、设备信息，实现准确定位、追踪溯源和反制攻击者。

4、总结

我国在工控安全漏洞的法治保障、监测预警、生态建设、运营管理等方面的工作开展已经卓有成效，但是目前工业企业即处于数智时代的发展浪潮，又面临网络战时代复杂多变的安全态势，工控安全漏洞因其特殊性，漏洞管理工作仍然任重道远。2024年是习近平总书记提出网络强国战略目标10周年，威努特作为国内工控安全行业领军者和国家工业信息安全漏洞库（CICSVD）成员单位，也在不断加大研发力量和持续创新，积极参与国家工控安全漏洞管理生态环境建设，支撑制造强国与网络强国建设，切实提高我国关键信息基础设施的风险防范能力，保障国家安全和数字经济稳定运行。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=51766

赞同 3

评论 0 条

“数智时代”的工业企业如何构建漏洞管理体系

原生定义：规划、建立、维护系统安全。

相关文章

关注我们