台积电工厂病毒事件带来的教训是惨痛的,据估算,其带来的损失超过10亿人民币(台积电官方预估此次病毒感染事件将导致晶圆出货延迟以及成本增加,对公司第三季的营收影响约为百分之三,毛利率的影响约为一个百分点)。
虽然台积电一再强调,此次病毒感染事件并非受到黑客攻击,也不存在内鬼,而是新机台安装过程中发生操作失误,没有对其先隔离、确认无病毒再联网,最终导致病毒大规模扩散。连网后受影响的机台无法运作,以及部分自动搬运系统无法正常运作。
但不可否认,人为操作失误的背后是台积电工控系统安全保护体系的脆弱性。官方确认此次遭遇病毒为“WannaCry”的变种,造成感染后的机台宕机或是重复开机但并未受到勒索。众所周知,WannaCry为一年前大规模爆发的病毒勒索事件,可以想见,一台新机违规操作导致三个工厂业务停摆,这意味着工厂内的大多机台并没有有效的防御体系,也没有对1年前产生的WannaCry进行补丁操作(目前没有证据表明此次变种会绕过针对WannaCry的防御方法和补丁)。
当然,在至顶网对360工业互联网安全事业部副总经理李航的采访中,他指出工控系统对设备升级并非易事。一是大多生产线上的设备环境复杂,操作系统五花八门,硬件设备也新老不齐,所以一次升级可能造成业务中断;二是为保证过程控制系统的可靠性,设备系统升级也面临风险。
但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成windows平台乃至控制网络的瘫痪,此次台积电事件足以说明了这一点。
尤其在如今的环境下,工控系统面临的风险逐渐增大。在工业互联网、“中国制造2025”、“工业4.0”等政策驱动下,信息技术(IT)和操作技术(OT)一体化已成为必然趋势。随着IT/OT一体化的发展,工业控制系统越来越多的采用通用硬件和通用软件,工控系统的开放性与日俱增,系统安全漏洞和缺陷容易被病毒所利用,然而工业控制系统又涉及我国电力、水利、冶金、石油化工、核能、交通运输、制药以及大型制造行业,一旦遭受攻击会带来巨大的损失。
李航对至顶网表示,对如今的工业控制系统来说,很多“带病运行”甚至是常态。
IT/OT融合带来的安全挑战在今年年初工业控制系统安全国家地方联合工程实验室与360威胁情报中心联合发布的IT/OT一体化的工业信息安全态势报告中,就指出当工业互联网的IT/OT进行融合时带来的安全挑战。
除了来自外部的安全挑战外,来自工业系统自身安全建设的不足尤为严重。如果作为一名工控系统安全负责人,您是否又认识到这些问题:
1)工业设备资产的可视性严重不足
工业设备可视性不足严重阻碍了安全策略的实施。要在工业互联网安全的战斗中取胜,“知己”是重要前提。许多工业协议、设备、系统在设计之初并没有考虑到在复杂网络环境中的安全性,而且这些系统的生命周期长、升级维护少也是巨大的安全隐患。
2)很多工控设备缺乏安全设计
主要来自各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等方面,其在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证,许可、授权与访问控制不严格,不当身份验证,配置维护不足,凭证管理不严,加密算法过时等安全挑战。例如:国产数控系统所采用的操作系统可能是基于某一版本linux进行裁剪的,所使用的内核、文件系统、对外提供服务、一旦稳定均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、服务多年所爆出的漏洞并未得到更新,安全隐患长期保留。
3)设备联网机制缺乏安全保障
工业控制系统中越来也读的设备与网络相连。如各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络;工业网络与办公网络连接形成企业内部网络;企业内部网络与外面的云平台连接、第三方供应链连接、客户的网络连接。由此产生的主要安全挑战包括:网络数据传递过程的常见网络威胁(如:拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如:软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。
4)IT和OT系统安全管理相互独立互操作困难
随着智能制造的网络化和数字化发展,工业与IT的高度融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,因为网络的广泛使用,这些挑战的影响将会急剧放大;而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此,在智能制造+互联网中,人员管理也面临巨大的安全挑战。
5)生产数据面临丢失、泄露、篡改等安全威胁
智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据丢失、泄露、篡改等安全威胁。
该怎样提升工控系统安全防护等级?认识到问题,当然要解决问题,李航给出了六步提升安全防护等级建议:
1、资产发现及梳理:对工控网络中的IT资产和OT资产进行发现、识别和梳理,定位资产类型、数量、位置等信息,摸清互联关系、网络拓扑和数据流向。
2、通过流量分析确定感染面:根据工控网络拓扑,在关键或核心交换节点上,部署采用最新威胁情报驱动的非侵入式被动流量监测手段,掌握工业网络运行现状、进行实时流量检测,发现威胁进行实时告警并生成攻击事件。对于DNS管理相对集中的企业,还可以对DNS的流量进行更精准的监测分析。通过对流量以及DNS流量的分析,确认威胁事件的感染面。
3、隔离感染面,防止威胁扩散:对于通过技术手段确认威胁的感染面,尽快采取应急的隔离手段。根据工业网络的业务特点,对网络进行分区分域,在区域之间部署具有工业协议解析能力和入侵监测能力的网关设备,针对特殊的工控通信协议进行解析,识别并防御其中的安全事件,布置相关防御策略,保障网络安全。对工业网络上的工业主机升级可用补丁,部署基于白名单的工业主机防护软件,保障端点安全。针对工业网络中应用的虚拟化主机进行统一管理,部署针对虚拟化技术特殊风险的虚拟主机防护软件。
4、采取应急措施尽快恢复业务:在确定了威胁的感染面或威胁终端后,要采取应急措施尽快保证业务的恢复。可以在工控机上部署安全产品进行威胁的处置,对于无法部署安全产品的终端,可以通过恢复备份的方式尽快恢复业务。
5、通过网络监测设备进行存量病毒和漏洞处置:一般情况下可以通过流量分析和漏洞扫描对工控网络中的存量病毒和漏洞进行发现,进而通过安装工控主机安全防护系统等手段进行病毒和漏洞问题的处理。对于一些运行着重要业务的工控机,应尽量避免漏洞扫描可能引发的业务中断的风险,可以通过威胁评估系统对工控主机进行全面的安全评估。
6、建立或完善安全组织机构,实现安全运营:在一把手授权下,建立主管工业网络安全的组织机构、权责范围、配合安全服务建立事前检测,事中响应,事后分析的安全运营体系。通过对单次威胁事件的溯源分析设计整改方案和检查标准,进一步推进整改方案和检查标准的落地并不断完善、持续监测,形成安全运营的闭环。
小结整体来说,采用工业互联网或智能制造战略带来的效益是巨大的,英飞凌曾介绍称,得益于工业4.0的部署,其目前已收获生产周期缩短50%、生产效率提升10%、能源成本每年降低100万欧元。
尤其在政策的推动下,IT/OT融合正在加速,但随之带来的安全风险也是巨大的。公安部一所、三所原所长严明曾说的一句话虽然简单直接,但相信很多人特别认同:“做应用的认为自己在飞奔,做安全的其实看他们在裸奔。”
同理,在享受工业互联网“红利”的同时,您又是否为安全做好准备了呢?