绿盟科技发布《工业控制系统信息安全保障框架》

– 2010年,震网(Stuxnet)病毒曾感染了全球超过45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。

– 2016年,三一重工近千台工程机械设备遭非法解锁破坏,数量多达近千台,波及多个省份,直接经济损失达3000余万元,间接损失近十亿元

– 2018年,Wannacry的变种侵入了全球最大的代工芯片制造商台湾积体电路制造,导致其停产三天,预计经济损失高达17.4亿元人民币

 

工控行业进入网络安全问题爆发期,“安全债”该还了。

在此背景下,绿盟科技发布《工业控制系统信息安全保障框架》,总结了在工业控制系统信息安全方面的六个关键发现。

一、工业控制系统与传统IT信息系统建设目标不同,这导致其在技术、管理与服务等很多方面有相当大的差异。在大部分情况下,保密性是传统信息安全领域最重要的部分。在工业控制系统领域则有较大的不同。工业控制系统强调的是工业自动化程度及对相关设备的智能控制、监测与管理能力。因此工业控制系统对完整性和可用性要求更高。

二、工控系统暴露的资产日渐增多。在和外部联网的情况下,工控系统容易被外部探测,并通过公开或私有通讯协议、WEB服务、Telnet、FTP等返回的信息中包含的特殊字段对资产进行识别,进而可以实现对资产的控制。

下面是绿盟科技通过资产识别技术对全球工控资产在网络中的暴露情况进行探测。首先以最常见的Modbus和西门子S7协议为例,统计全球设备数据总量及分布。2018年统计分析。

Ø 发现使用Modbus协议的设备共有373612台。

Ø 被探测到使用Modbus协议前三位的国家是美国,韩国和比利时。

Ø 国内被探测到使用Modbus协议前三位的省份是广东,台湾和北京。

Ø 发现使用S7协议的设备375835台。

Ø 被探测到使用S7协议前三位的国家是美国,韩国和中国。

Ø 国内被探测到使用S7协议前三位的省份是广东,上海和北京。

三、随着近年来对工控安全的深入研究,越来越多的工控漏洞被研究人员发现。根据供水及水处理行业,化工行业,石化行业,电力行业和冶金行业这五个典型的工业场景中的统计分析表明,工业控制系统在2017年和2018年所面临的威胁呈现明显上升的趋势,下图以石化行业为例:

图 1 石化行业威胁态势

四、针对工控系统的勒索病毒会越来越多。目前的勒索病毒,例如Wannacry等,主要是针对工控系统中的IT系统进行攻击,例如针对上位机,ERP系统等进行勒索攻击。从攻击方式及带来的影响看,针对OT系统的勒索病毒未来会出现在OT系统,例如针对PLC,DCS等系统的勒索病毒。

五、工控安全技术方向仍然需要新一轮的创新。工控安全在考虑引入IT信息安全的技术手段或者是构建在工控安全自身特性的技术上时,都需要与工控系统自身的运行特点相互匹配,需要考虑好IT+OT统一的安全技术手段如何有效的融入到工控安全能力中。要考虑安全技术在工业业务增效中起到的作用。技术应用上要考虑轻量化、无扰动、业务数据的采集与安全数据采集之间的关联,需要考虑各个行业领域应用的差异性,共性技术的提取与特异性技术的应用等。

六、在安全能力的构建上,综合性的业务故障联合诊断分析会成为未来工控安全的一个发展趋势。在构建过程中需要安全数据、业务数据的翻译与解析,形成有效的“通话机制”。安全数据内容与业务数据内容之间的桥梁和通道需要逐步打通,逐步实现业务通道给安全提供有效数据,安全为业务保证提供有效支撑的一体化的业务保证能力。

伴随着国家各个部委的政策指引,国家相关资金的支持以及各个控制系统运营企业对工控安全重视程度的提升,工控信息安全必然会迎来一个比较好的发展时期。从未来角度看,工业信息安全必将是一个综合性的安全,安全的价值也需要体现在对业务的实质性促进作用上。