以安全大脑为基础,360构建煤业工业网络防御新体系
2020-09-18
9月17日,2020第二届‘智能+煤化工’及智慧园区高峰论坛暨第二届化工安全仪表系统管理高峰论坛,及第七届全国煤化工自动化技术高级研讨会在山西省长治市召开。
论坛由长治市人民政府支持,山西省应急管理和安全生产协会、长治市应急管理局等单位联合主办,石油和化工安全智能测控预警联盟等单位协办,中国仪器仪表学会产品信息工作委员会、北京智造时代会展有限公司等单位联合承办,360政企安全集团工业互联网及车联网事业部安全专家王文波受邀参会,并以“用发展的眼光看煤业网络安全”为主题进行主题演讲。
360政企安全集团工业互联网及车联网事业部安全专家王文波
煤业工业网络迎新变化 现有防护体系受挑战
当前全球正处于新一轮科技革命和产业变革的历史交汇期,以大数据、云计算、人工智能为代表的新一代信息技术与工业制造深度融合,煤业、电力、水利、天然气、石油石化以及关键制造业等工业制造行业加速由数字化向网络化、智能化发展。
王文波将当前煤业工业网络发展趋势总结为三个特点:一是以5G为代表的新技术应用,让更多传感器和执行设备直接接入网络,形成广泛互联、泛在接入;二是云、管、边、端的结构正在进入工业控制系统,网络趋于扁平化;三是设备和系统通用化被推进,工业资源IP化,并部分开始融入互联网。
“这些特征也造成了煤业工业风险点增多,威胁越来越直接,现有防护体系受到挑战。”王文波说道。
除了内部环境变化,煤业网络外部环境同样也面临变化,如攻击技术不断进步且趋于平民化、对工业系统的依赖性增强、威胁时空上的不确定性增加、攻击者复杂化等等。
在王文波看来,内外部环境的变化使煤业工业网络面临着共性风险:
在漏洞方面,根据相关数据,平均每1000行代码里就有4-6个漏洞。CNVD的数据也显示,近年来工业软硬件系统暴露漏洞增速明显。同时,由于开发人员的思维局限等原因,漏洞几乎无可避免,这意味着未来针对工业系统的潜在攻击靶点会持续增多。
在攻击者方面,攻击目的不再只是恶作剧,而是通过潜伏控制、潜伏窃密、对工控系统进行破坏等实现其更大的野心,比如资金勒索、中断工业生产,施加政治影响等。拥有着整个东半球最强白帽子团队的360,就曾发现活跃于我国的40多个APT组织,包括海莲花、摩诃草、蔓灵花、毒云藤和蓝宝菇等;
在观念方面,存在高估隔离、低估威胁、忽视价值、无视风险、轻视后果的现象;
另外,煤业行业网络安全防护措施往往疏密相间,常在互联网边界堆砌产品,而忽视内部其它区域,这是没有意义的。企业内整个网络是一个整体,幻想只对某一环节进行严密防护就能实现长治久安不现实;
除此之外,还存在对供应商的管控过于放松,以及其它管理不完善的问题。
“所有共性风险落到最后都与管理有很大关系,安全意识薄弱、安全概念欠缺,安全制度缺失、安全措施不力、安全投资缺项、安全管理不重视等都可能变成导火索,”王文波说道。
传统防护手段失效,360构建威胁预警研判体系
面对上述种种安全风险,传统应对手段是各种安全产品、组件和资源碎片化,互不打通、互不通信、信息各表,网络安全管理盲人摸象,缺乏整体把握,更存在以静制动、技防孤立、局部视角、产品通用、轻视服务、无力研判等诸多问题。在应对攻击面大、攻击手法复杂的安全威胁时,只能被动应付、各自为战,形不成协同联防。
“基于此,360提出以多源情报和检测分析模型为基础,为煤业企业建设工业安全大脑,构建三级架构威的胁预警研判体系”王文波说道。
其中作为底层的是“神经元”,即通过在终端、网络、私有云等构成网络空间的各个要素位置中,部署工业防火墙、入侵检测、终流量审计、端检测等设备和探针,在满足等保等合规性要求、实现基本防御能力的基础上,对安全威胁或者其造成的异常现象进行捕获和感知。
这些感知到的信息会传递到中间层的企业或集团级本地工业安全大脑。工业安全大脑是360为帮助政企客户应对大安全挑战,基于云计算、大数据、人工智能等新一代信息技术,将云端安全大脑核心能力本地化部署的一套开放式安全智能分析、研判、预警、赋能系统。其本质上是一个连接安全设备、汇聚安全数据、积累安全知识的智能计算分析平台,接受云端赋能,实现全景安全知识融合,全栈核心技术融合、全视安全大数据融合,自动化辅助安全专家高效运营安全工作。
顶层是外部的威胁情报和各种知识库、沙箱等支持。
除此之外,再配合安全运营基础设施,向上接受安全大脑知识情报和分析预警,向下通过标准接口连接客户环境完成安全事件的闭环处理,同时提供安全运营人员可视化交互分析、监控、指挥、管理的界面。
“最终建立起让客户放心的整体安全防护体系,让煤业工业网络系统更加安全,”王文波说道。