工業互聯背后的保衛戰:“端”側的攻防博弈
http://m.sharifulalam.com 2018-12-07 17:56 來源:
導讀:傳統的防御理念是修城墻、建護城河,核心是“御敵于國門之外”,但現在這種方式已經不可能抵御攻擊。
在B端市場關注度被加速提升以及工業互聯網推進過程中,安全問題愈發成為頭號治理要素。
相比C端,由系統安全漏洞帶來的對B端的影響,將是成本大幅提升。這從今年臺積電工廠遭遇“Wanna Cry”勒索病毒變種而大規模停產約三日,公司將三季度營收下調約1.7億美元便可見得。
工信部發布的2018年第三季度網絡安全威脅態勢分析與工作綜述也指出,目前,云計算平臺安全性待加強,網絡安全漏洞仍是主要威脅。
近日舉行的2018中國(長沙)網絡安全·智能制造大會上,360企業安全合伙人、產品管理副總裁左英男在接受21世紀經濟報道記者專訪時指出,從物理世界發展到數字世界,根本而言企業端的安全技術架構已發生巨大變化。
尤其是工業企業的邊緣端主機運算能力和自身防御力并不強,就更考驗安全型企業在端側的防護和響應匹配度,并與軟件端做好協同配合。
安全體系演變
安全體系的重要性隨著互聯網發展程度而演進。早期企業級安全訴求并不甚強烈,更多或許是為保障合規性。但近年來隨著“互聯網+”的推進,業務場景開始變革,這引發安全產業的同步變革。
企業端同時會隨著外部環境變化,而對安全性提出更高訴求。越是數據依賴度高的公司,越是如此。這也引發安全行業開始推動變被動防御為主動防御。防御訴求的變化也導致安全防護行業的技術乃至產業演進。
不過在左英男看來,更為根本的還是企業信息化的IT架構在發生變化。“把智慧城市、金融科技這些業務場景抽離后,回歸技術本質來看。原來服務器、路由器、交換機等是物理網絡搭建的基礎設施;現在變成了虛擬化的云計算技術,也即企業的業務一部分被放在數據中心、一部分被放在公有云上。這導致應用開發模式變了。”
具體而言,原有思路是基于自有數據庫平臺自行開發系統,現在則是基于DaaS(數據即服務)平臺、基于微服務架構的模式開發新業務。“底層技術架構發生了變化,必須引發創新。”
之所以提到主動防御,起因在于被網絡病毒入侵的未知性。據第三方機構調查,一般從黑客攻擊并滲透入企業網絡后,找到核心數據需要花費平均37天。越是大型的網絡系統,耗時將越長。左英男指出,主動防御的核心理念,是持續監測、快速響應,即在發覺被入侵并正式發出實質性傷害的周期內,找到并解決病毒。
“傳統的防御理念是修城墻、建護城河,核心是‘御敵于國門之外’,但這已經不可能。大家都要接受一個理念,之前單純防守已經不夠了。”他指出。
作為伴生型行業的安全產業,應用到任何B端場景,主要仍依靠與設備廠商、控制系統廠商建立生態合作。
左英男有一個感慨,在參加美國安全展時發現,來自中國的安全公司數量僅次于美國,意味著中國市場的安全防御理念已經深化,且可以站在世界舞臺與同行“較量一把”。
工業安全生態進階
不同于一般的企業級安全防護,對于工業互聯網而言,業務場景多元、高度碎片化,造成可能被入侵的切口廣泛。
尤其對于生產線端的控制主機,長期處在開機聯網狀態,但計算能力有限、且受制于軟件安裝問題而抵御病毒能力弱。
業內普遍認為,工業現場的控制主機是連接物理世界和數字世界的大門,也是最容易被黑客“盯上”的環節。
“控制主機連著一個PLC(可編程邏輯控制器),也就是連著好多傳感器、閘門,來自外界的破壞首先就要通過這個路徑,才能把信息世界的攻擊影響到物理世界,所以把‘門’鎖好就能避免大多數威脅。”左英男向記者指出。
但他觀察發現,目前作為物聯網終端的工業控制系統,其最初生產開發是以功能交付為主,而在安全方面的考慮和設計,仍是近十余年前的水平。“所以問題和漏洞很多,這是我們建設生態的原因。要跟生產部件的廠商合作,及時告知漏洞并修補。”
左英男補充道,物聯網設備本身的物件、固件和對安裝軟件的漏洞研究,是防護的基礎。而隨著安全公司的持續漏洞發現和協同機制,系統本身會越來越安全。
因此他提出白名單技術方案,目的是只允許控制主機運行固定幾款軟件,一旦發現有其他軟件異常啟動便及時阻隔。“在邊緣計算側不能安裝很多軟件,對設備的身份和準入變得很關鍵。因此對終端設備的認證和準入控制或管理很重要。”
深信服科技CTO郝軼也向21世紀經濟報道記者分析道,制造業有三大特點:系統升級不及時,高度依賴當前操作系統或應用版本;主控系統運行要求不能出現阻斷、卡頓,因此無法強行升級;制造業往往并不具備專門的信息安全團隊。
這成為工業互聯網發展過程中出現的痛點,也對應用于工業互聯網的安全軟件使用便捷性和智能化提出要求。
郝軼認為,作為安全企業,核心是在相對封閉、而對威脅開放的網絡里,最高效、人員少地參與,但簡單快速處置安全問題。“我們提出四個環節:預測、防護、檢測、響應,也對新的協議和IoT做研究。在純互聯網的特有協議和終端中,我們把安全機制整合到端上去。”
當然,工業主機防護是被動防護的理念,旨在把較低水平的病毒阻斷在外。左英男指出,還要輔助工業安全監測系統,這是為了發覺有更高級的病毒而設置。
他表示,在物聯網和工業互聯網環境下,提供定制化業務場景的定制化安全方案,將是未來的發展方向。
相關新聞
- ? 2025年護航新型工業化網絡安全專項行動啟動
- ? 算力底座加速升級,我國工業互聯網實現 41 個工業大類全覆蓋
- ? 海爾集團收購新時達完成股權交割,深耕卡奧斯工業互聯網生態
- ? 一鍵“通關”數字化!卡奧斯企業級工業互聯網平臺2025版發布
- ? 工業互聯網平臺邊緣管理國家標準公開征求意見
- ? IDC 2024年中國智能工控安全審計市場份額報告正式發布
- ? 破局增長壓力,AI或成增長新動能:IDC 2024年中國智能工控防火墻市場份額報告正式發布
- ? 蟬聯《中國500最具價值品牌》行業首位,卡奧斯以AI驅動品牌增長
- ? 京津冀網絡安全和工業互聯網產業聚集企業超2000家 產業規模穩居全國第一梯隊
- ? 中國工業互聯網研究院發布《全國主要城市工業互聯網發展指數報告》
編輯精選
