由臺積電“中毒”停擺帶來(lái)的工控安全啟示

　　臺積電工廠(chǎng)病毒事件帶來(lái)的教訓是慘痛的，據估算，其帶來(lái)的損失超過(guò)10億人民幣(臺積電官方預估此次病毒感染事件將導致晶圓出貨延遲以及成本增加，對公司第三季的營(yíng)收影響約為百分之三，毛利率的影響約為一個(gè)百分點(diǎn))。

　　雖然臺積電一再強調，此次病毒感染事件并非受到黑客攻擊，也不存在內鬼，而是新機臺安裝過(guò)程中發(fā)生操作失誤，沒(méi)有對其先隔離、確認無(wú)病毒再聯(lián)網(wǎng)，最終導致病毒大規模擴散。連網(wǎng)后受影響的機臺無(wú)法運作，以及部分自動(dòng)搬運系統無(wú)法正常運作。

　　但不可否認，人為操作失誤的背后是臺積電工控系統安全保護體系的脆弱性。官方確認此次遭遇病毒為“WannaCry”的變種，造成感染后的機臺宕機或是重復開(kāi)機但并未受到勒索。眾所周知，WannaCry為一年前大規模爆發(fā)的病毒勒索事件，可以想見(jiàn)，一臺新機違規操作導致三個(gè)工廠(chǎng)業(yè)務(wù)停擺，這意味著(zhù)工廠(chǎng)內的大多機臺并沒(méi)有有效的防御體系，也沒(méi)有對1年前產(chǎn)生的WannaCry進(jìn)行補丁操作(目前沒(méi)有證據表明此次變種會(huì )繞過(guò)針對WannaCry的防御方法和補丁)。

　　當然，在至頂網(wǎng)對360工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理李航的采訪(fǎng)中，他指出工控系統對設備升級并非易事。一是大多生產(chǎn)線(xiàn)上的設備環(huán)境復雜，操作系統五花八門(mén)，硬件設備也新老不齊，所以一次升級可能造成業(yè)務(wù)中斷;二是為保證過(guò)程控制系統的可靠性，設備系統升級也面臨風(fēng)險。

　　但是與之相矛盾的是，系統不打補丁就會(huì )存在被攻擊的漏洞，即使是普通常見(jiàn)病毒也會(huì )遭受感染，可能造成Windows平臺乃至控制網(wǎng)絡(luò )的癱瘓，此次臺積電事件足以說(shuō)明了這一點(diǎn)。

　　尤其在如今的環(huán)境下，工控系統面臨的風(fēng)險逐漸增大。在工業(yè)互聯(lián)網(wǎng)、“中國制造2025”、“工業(yè)4.0”等政策驅動(dòng)下，信息技術(shù)(IT)和操作技術(shù)(OT)一體化已成為必然趨勢。隨著(zhù)IT/OT一體化的發(fā)展，工業(yè)控制系統越來(lái)越多的采用通用硬件和通用軟件，工控系統的開(kāi)放性與日俱增，系統安全漏洞和缺陷容易被病毒所利用，然而工業(yè)控制系統又涉及我國電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業(yè)，一旦遭受攻擊會(huì )帶來(lái)巨大的損失。

　　李航對至頂網(wǎng)表示，對如今的工業(yè)控制系統來(lái)說(shuō)，很多“帶病運行”甚至是常態(tài)。

　　IT/OT融合帶來(lái)的安全挑戰

　　在今年年初工業(yè)控制系統安全國家地方聯(lián)合工程實(shí)驗室與360威脅情報中心聯(lián)合發(fā)布的IT/OT一體化的工業(yè)信息安全態(tài)勢報告中，就指出當工業(yè)互聯(lián)網(wǎng)的IT/OT進(jìn)行融合時(shí)帶來(lái)的安全挑戰。

　　除了來(lái)自外部的安全挑戰外，來(lái)自工業(yè)系統自身安全建設的不足尤為嚴重。如果作為一名工控系統安全負責人，您是否又認識到這些問(wèn)題：

　　1)工業(yè)設備資產(chǎn)的可視性嚴重不足

　　工業(yè)設備可視性不足嚴重阻礙了安全策略的實(shí)施。要在工業(yè)互聯(lián)網(wǎng)安全的戰斗中取勝，“知己”是重要前提。許多工業(yè)協(xié)議、設備、系統在設計之初并沒(méi)有考慮到在復雜網(wǎng)絡(luò )環(huán)境中的安全性，而且這些系統的生命周期長(cháng)、升級維護少也是巨大的安全隱患。

　　2)很多工控設備缺乏安全設計

　　主要來(lái)自各類(lèi)機床數控系統、PLC、運動(dòng)控制器等所使用的控制協(xié)議、控制平臺、控制軟件等方面，其在設計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權與訪(fǎng)問(wèn)控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密算法過(guò)時(shí)等安全挑戰。例如：國產(chǎn)數控系統所采用的操作系統可能是基于某一版本Linux進(jìn)行裁剪的，所使用的內核、文件系統、對外提供服務(wù)、一旦穩定均不再修改，可能持續使用多年，有的甚至超過(guò)十年，而這些內核、文件系統、服務(wù)多年所爆出的漏洞并未得到更新，安全隱患長(cháng)期保留。

　　3)設備聯(lián)網(wǎng)機制缺乏安全保障

　　工業(yè)控制系統中越來(lái)也讀的設備與網(wǎng)絡(luò )相連。如各類(lèi)數控系統、PLC、應用服務(wù)器通過(guò)有線(xiàn)網(wǎng)絡(luò )或無(wú)線(xiàn)網(wǎng)絡(luò )連接，形成工業(yè)網(wǎng)絡(luò );工業(yè)網(wǎng)絡(luò )與辦公網(wǎng)絡(luò )連接形成企業(yè)內部網(wǎng)絡(luò );企業(yè)內部網(wǎng)絡(luò )與外面的云平臺連接、第三方供應鏈連接、客戶(hù)的網(wǎng)絡(luò )連接。由此產(chǎn)生的主要安全挑戰包括：網(wǎng)絡(luò )數據傳遞過(guò)程的常見(jiàn)網(wǎng)絡(luò )威脅(如：拒絕服務(wù)、中間人攻擊等)，網(wǎng)絡(luò )傳輸鏈路上的硬件和軟件安全(如：軟件漏洞、配置不合理等)，無(wú)線(xiàn)網(wǎng)絡(luò )技術(shù)使用帶來(lái)的網(wǎng)絡(luò )防護邊界模糊等。

　　4)IT和OT系統安全管理相互獨立互操作困難

　　隨著(zhù)智能制造的網(wǎng)絡(luò )化和數字化發(fā)展，工業(yè)與IT的高度融合，企業(yè)內部人員，如：工程師、管理人員、現場(chǎng)操作員、企業(yè)高層管理人員等，其“有意識”或“無(wú)意識”的行為，可能破壞工業(yè)系統、傳播惡意軟件、忽略工作異常等，因為網(wǎng)絡(luò )的廣泛使用，這些挑戰的影響將會(huì )急劇放大;而針對人的社會(huì )工程學(xué)、釣魚(yú)攻擊、郵件掃描攻擊等大量攻擊都利用了員工無(wú)意泄露的敏感信息。因此，在智能制造+互聯(lián)網(wǎng)中，人員管理也面臨巨大的安全挑戰。

　　5)生產(chǎn)數據面臨丟失、泄露、篡改等安全威脅

　　智能制造工廠(chǎng)內部生產(chǎn)管理數據、生產(chǎn)操作數據以及工廠(chǎng)外部數據等各類(lèi)數據的安全問(wèn)題，不管數據是通過(guò)大數據平臺存儲、還是分布在用戶(hù)、生產(chǎn)終端、設計服務(wù)器等多種設備上，海量數據都將面臨數據丟失、泄露、篡改等安全威脅。

　　該怎樣提升工控系統安全防護等級?

　　認識到問(wèn)題，當然要解決問(wèn)題，李航給出了六步提升安全防護等級建議：

　　1、資產(chǎn)發(fā)現及梳理：對工控網(wǎng)絡(luò )中的IT資產(chǎn)和OT資產(chǎn)進(jìn)行發(fā)現、識別和梳理，定位資產(chǎn)類(lèi)型、數量、位置等信息，摸清互聯(lián)關(guān)系、網(wǎng)絡(luò )拓撲和數據流向。

　　2、通過(guò)流量分析確定感染面：根據工控網(wǎng)絡(luò )拓撲，在關(guān)鍵或核心交換節點(diǎn)上，部署采用最新威脅情報驅動(dòng)的非侵入式被動(dòng)流量監測手段，掌握工業(yè)網(wǎng)絡(luò )運行現狀、進(jìn)行實(shí)時(shí)流量檢測，發(fā)現威脅進(jìn)行實(shí)時(shí)告警并生成攻擊事件。對于DNS管理相對集中的企業(yè)，還可以對DNS的流量進(jìn)行更精準的監測分析。通過(guò)對流量以及DNS流量的分析，確認威脅事件的感染面。

　　3、隔離感染面，防止威脅擴散：對于通過(guò)技術(shù)手段確認威脅的感染面，盡快采取應急的隔離手段。根據工業(yè)網(wǎng)絡(luò )的業(yè)務(wù)特點(diǎn)，對網(wǎng)絡(luò )進(jìn)行分區分域，在區域之間部署具有工業(yè)協(xié)議解析能力和入侵監測能力的網(wǎng)關(guān)設備，針對特殊的工控通信協(xié)議進(jìn)行解析，識別并防御其中的安全事件，布置相關(guān)防御策略，保障網(wǎng)絡(luò )安全。對工業(yè)網(wǎng)絡(luò )上的工業(yè)主機升級可用補丁，部署基于白名單的工業(yè)主機防護軟件，保障端點(diǎn)安全。針對工業(yè)網(wǎng)絡(luò )中應用的虛擬化主機進(jìn)行統一管理，部署針對虛擬化技術(shù)特殊風(fēng)險的虛擬主機防護軟件。

　　4、采取應急措施盡快恢復業(yè)務(wù)：在確定了威脅的感染面或威脅終端后，要采取應急措施盡快保證業(yè)務(wù)的恢復?？梢栽诠た貦C上部署安全產(chǎn)品進(jìn)行威脅的處置，對于無(wú)法部署安全產(chǎn)品的終端，可以通過(guò)恢復備份的方式盡快恢復業(yè)務(wù)。

　　5、通過(guò)網(wǎng)絡(luò )監測設備進(jìn)行存量病毒和漏洞處置：一般情況下可以通過(guò)流量分析和漏洞掃描對工控網(wǎng)絡(luò )中的存量病毒和漏洞進(jìn)行發(fā)現，進(jìn)而通過(guò)安裝工控主機安全防護系統等手段進(jìn)行病毒和漏洞問(wèn)題的處理。對于一些運行著(zhù)重要業(yè)務(wù)的工控機，應盡量避免漏洞掃描可能引發(fā)的業(yè)務(wù)中斷的風(fēng)險，可以通過(guò)威脅評估系統對工控主機進(jìn)行全面的安全評估。

　　6、建立或完善安全組織機構，實(shí)現安全運營(yíng)：在一把手授權下，建立主管工業(yè)網(wǎng)絡(luò )安全的組織機構、權責范圍、配合安全服務(wù)建立事前檢測，事中響應，事后分析的安全運營(yíng)體系。通過(guò)對單次威脅事件的溯源分析設計整改方案和檢查標準，進(jìn)一步推進(jìn)整改方案和檢查標準的落地并不斷完善、持續監測，形成安全運營(yíng)的閉環(huán)。

　　小結

　　整體來(lái)說(shuō)，采用工業(yè)互聯(lián)網(wǎng)或智能制造戰略帶來(lái)的效益是巨大的，英飛凌曾介紹稱(chēng)，得益于工業(yè)4.0的部署，其目前已收獲生產(chǎn)周期縮短50%、生產(chǎn)效率提升10%、能源成本每年降低100萬(wàn)歐元。

　　尤其在政策的推動(dòng)下，IT/OT融合正在加速，但隨之帶來(lái)的安全風(fēng)險也是巨大的。公安部一所、三所原所長(cháng)嚴明曾說(shuō)的一句話(huà)雖然簡(jiǎn)單直接，但相信很多人特別認同：“做應用的認為自己在飛奔，做安全的其實(shí)看他們在裸奔?！?/p>

　　同理，在享受工業(yè)互聯(lián)網(wǎng)“紅利”的同時(shí)，您又是否為安全做好準備了呢?