由臺積電“中毒”停擺帶來的工控安全啟示

　　臺積電工廠病毒事件帶來的教訓是慘痛的，據(jù)估算，其帶來的損失超過10億人民幣(臺積電官方預估此次病毒感染事件將導致晶圓出貨延遲以及成本增加，對公司第三季的營收影響約為百分之三，毛利率的影響約為一個百分點)。

　　雖然臺積電一再強調(diào)，此次病毒感染事件并非受到黑客攻擊，也不存在內(nèi)鬼，而是新機臺安裝過程中發(fā)生操作失誤，沒有對其先隔離、確認無病毒再聯(lián)網(wǎng)，最終導致病毒大規(guī)模擴散。連網(wǎng)后受影響的機臺無法運作，以及部分自動搬運系統(tǒng)無法正常運作。

　　但不可否認，人為操作失誤的背后是臺積電工控系統(tǒng)安全保護體系的脆弱性。官方確認此次遭遇病毒為“WannaCry”的變種，造成感染后的機臺宕機或是重復開機但并未受到勒索。眾所周知，WannaCry為一年前大規(guī)模爆發(fā)的病毒勒索事件，可以想見，一臺新機違規(guī)操作導致三個工廠業(yè)務停擺，這意味著工廠內(nèi)的大多機臺并沒有有效的防御體系，也沒有對1年前產(chǎn)生的WannaCry進行補丁操作(目前沒有證據(jù)表明此次變種會繞過針對WannaCry的防御方法和補丁)。

　　當然，在至頂網(wǎng)對360工業(yè)互聯(lián)網(wǎng)安全事業(yè)部副總經(jīng)理李航的采訪中，他指出工控系統(tǒng)對設(shè)備升級并非易事。一是大多生產(chǎn)線上的設(shè)備環(huán)境復雜，操作系統(tǒng)五花八門，硬件設(shè)備也新老不齊，所以一次升級可能造成業(yè)務中斷;二是為保證過程控制系統(tǒng)的可靠性，設(shè)備系統(tǒng)升級也面臨風險。

　　但是與之相矛盾的是，系統(tǒng)不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成Windows平臺乃至控制網(wǎng)絡的癱瘓，此次臺積電事件足以說明了這一點。

　　尤其在如今的環(huán)境下，工控系統(tǒng)面臨的風險逐漸增大。在工業(yè)互聯(lián)網(wǎng)、“中國制造2025”、“工業(yè)4.0”等政策驅(qū)動下，信息技術(shù)(IT)和操作技術(shù)(OT)一體化已成為必然趨勢。隨著IT/OT一體化的發(fā)展，工業(yè)控制系統(tǒng)越來越多的采用通用硬件和通用軟件，工控系統(tǒng)的開放性與日俱增，系統(tǒng)安全漏洞和缺陷容易被病毒所利用，然而工業(yè)控制系統(tǒng)又涉及我國電力、水利、冶金、石油化工、核能、交通運輸、制藥以及大型制造行業(yè)，一旦遭受攻擊會帶來巨大的損失。

　　李航對至頂網(wǎng)表示，對如今的工業(yè)控制系統(tǒng)來說，很多“帶病運行”甚至是常態(tài)。

　　IT/OT融合帶來的安全挑戰(zhàn)

　　在今年年初工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室與360威脅情報中心聯(lián)合發(fā)布的IT/OT一體化的工業(yè)信息安全態(tài)勢報告中，就指出當工業(yè)互聯(lián)網(wǎng)的IT/OT進行融合時帶來的安全挑戰(zhàn)。

　　除了來自外部的安全挑戰(zhàn)外，來自工業(yè)系統(tǒng)自身安全建設(shè)的不足尤為嚴重。如果作為一名工控系統(tǒng)安全負責人，您是否又認識到這些問題：

　　1)工業(yè)設(shè)備資產(chǎn)的可視性嚴重不足

　　工業(yè)設(shè)備可視性不足嚴重阻礙了安全策略的實施。要在工業(yè)互聯(lián)網(wǎng)安全的戰(zhàn)斗中取勝，“知己”是重要前提。許多工業(yè)協(xié)議、設(shè)備、系統(tǒng)在設(shè)計之初并沒有考慮到在復雜網(wǎng)絡環(huán)境中的安全性，而且這些系統(tǒng)的生命周期長、升級維護少也是巨大的安全隱患。

　　2)很多工控設(shè)備缺乏安全設(shè)計

　　主要來自各類機床數(shù)控系統(tǒng)、PLC、運動控制器等所使用的控制協(xié)議、控制平臺、控制軟件等方面，其在設(shè)計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權(quán)與訪問控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密算法過時等安全挑戰(zhàn)。例如：國產(chǎn)數(shù)控系統(tǒng)所采用的操作系統(tǒng)可能是基于某一版本Linux進行裁剪的，所使用的內(nèi)核、文件系統(tǒng)、對外提供服務、一旦穩(wěn)定均不再修改，可能持續(xù)使用多年，有的甚至超過十年，而這些內(nèi)核、文件系統(tǒng)、服務多年所爆出的漏洞并未得到更新，安全隱患長期保留。

　　3)設(shè)備聯(lián)網(wǎng)機制缺乏安全保障

　　工業(yè)控制系統(tǒng)中越來也讀的設(shè)備與網(wǎng)絡相連。如各類數(shù)控系統(tǒng)、PLC、應用服務器通過有線網(wǎng)絡或無線網(wǎng)絡連接，形成工業(yè)網(wǎng)絡;工業(yè)網(wǎng)絡與辦公網(wǎng)絡連接形成企業(yè)內(nèi)部網(wǎng)絡;企業(yè)內(nèi)部網(wǎng)絡與外面的云平臺連接、第三方供應鏈連接、客戶的網(wǎng)絡連接。由此產(chǎn)生的主要安全挑戰(zhàn)包括：網(wǎng)絡數(shù)據(jù)傳遞過程的常見網(wǎng)絡威脅(如：拒絕服務、中間人攻擊等)，網(wǎng)絡傳輸鏈路上的硬件和軟件安全(如：軟件漏洞、配置不合理等)，無線網(wǎng)絡技術(shù)使用帶來的網(wǎng)絡防護邊界模糊等。

　　4)IT和OT系統(tǒng)安全管理相互獨立互操作困難

　　隨著智能制造的網(wǎng)絡化和數(shù)字化發(fā)展，工業(yè)與IT的高度融合，企業(yè)內(nèi)部人員，如：工程師、管理人員、現(xiàn)場操作員、企業(yè)高層管理人員等，其“有意識”或“無意識”的行為，可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等，因為網(wǎng)絡的廣泛使用，這些挑戰(zhàn)的影響將會急劇放大;而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，在智能制造+互聯(lián)網(wǎng)中，人員管理也面臨巨大的安全挑戰(zhàn)。

　　5)生產(chǎn)數(shù)據(jù)面臨丟失、泄露、篡改等安全威脅

　　智能制造工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外部數(shù)據(jù)等各類數(shù)據(jù)的安全問題，不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設(shè)計服務器等多種設(shè)備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

　　該怎樣提升工控系統(tǒng)安全防護等級?

　　認識到問題，當然要解決問題，李航給出了六步提升安全防護等級建議：

　　1、資產(chǎn)發(fā)現(xiàn)及梳理：對工控網(wǎng)絡中的IT資產(chǎn)和OT資產(chǎn)進行發(fā)現(xiàn)、識別和梳理，定位資產(chǎn)類型、數(shù)量、位置等信息，摸清互聯(lián)關(guān)系、網(wǎng)絡拓撲和數(shù)據(jù)流向。

　　2、通過流量分析確定感染面：根據(jù)工控網(wǎng)絡拓撲，在關(guān)鍵或核心交換節(jié)點上，部署采用最新威脅情報驅(qū)動的非侵入式被動流量監(jiān)測手段，掌握工業(yè)網(wǎng)絡運行現(xiàn)狀、進行實時流量檢測，發(fā)現(xiàn)威脅進行實時告警并生成攻擊事件。對于DNS管理相對集中的企業(yè)，還可以對DNS的流量進行更精準的監(jiān)測分析。通過對流量以及DNS流量的分析，確認威脅事件的感染面。

　　3、隔離感染面，防止威脅擴散：對于通過技術(shù)手段確認威脅的感染面，盡快采取應急的隔離手段。根據(jù)工業(yè)網(wǎng)絡的業(yè)務特點，對網(wǎng)絡進行分區(qū)分域，在區(qū)域之間部署具有工業(yè)協(xié)議解析能力和入侵監(jiān)測能力的網(wǎng)關(guān)設(shè)備，針對特殊的工控通信協(xié)議進行解析，識別并防御其中的安全事件，布置相關(guān)防御策略，保障網(wǎng)絡安全。對工業(yè)網(wǎng)絡上的工業(yè)主機升級可用補丁，部署基于白名單的工業(yè)主機防護軟件，保障端點安全。針對工業(yè)網(wǎng)絡中應用的虛擬化主機進行統(tǒng)一管理，部署針對虛擬化技術(shù)特殊風險的虛擬主機防護軟件。

　　4、采取應急措施盡快恢復業(yè)務：在確定了威脅的感染面或威脅終端后，要采取應急措施盡快保證業(yè)務的恢復。可以在工控機上部署安全產(chǎn)品進行威脅的處置，對于無法部署安全產(chǎn)品的終端，可以通過恢復備份的方式盡快恢復業(yè)務。

　　5、通過網(wǎng)絡監(jiān)測設(shè)備進行存量病毒和漏洞處置：一般情況下可以通過流量分析和漏洞掃描對工控網(wǎng)絡中的存量病毒和漏洞進行發(fā)現(xiàn)，進而通過安裝工控主機安全防護系統(tǒng)等手段進行病毒和漏洞問題的處理。對于一些運行著重要業(yè)務的工控機，應盡量避免漏洞掃描可能引發(fā)的業(yè)務中斷的風險，可以通過威脅評估系統(tǒng)對工控主機進行全面的安全評估。

　　6、建立或完善安全組織機構(gòu)，實現(xiàn)安全運營：在一把手授權(quán)下，建立主管工業(yè)網(wǎng)絡安全的組織機構(gòu)、權(quán)責范圍、配合安全服務建立事前檢測，事中響應，事后分析的安全運營體系。通過對單次威脅事件的溯源分析設(shè)計整改方案和檢查標準，進一步推進整改方案和檢查標準的落地并不斷完善、持續(xù)監(jiān)測，形成安全運營的閉環(huán)。

　　小結(jié)

　　整體來說，采用工業(yè)互聯(lián)網(wǎng)或智能制造戰(zhàn)略帶來的效益是巨大的，英飛凌曾介紹稱，得益于工業(yè)4.0的部署，其目前已收獲生產(chǎn)周期縮短50%、生產(chǎn)效率提升10%、能源成本每年降低100萬歐元。

　　尤其在政策的推動下，IT/OT融合正在加速，但隨之帶來的安全風險也是巨大的。公安部一所、三所原所長嚴明曾說的一句話雖然簡單直接，但相信很多人特別認同：“做應用的認為自己在飛奔，做安全的其實看他們在裸奔?！?/p>

　　同理，在享受工業(yè)互聯(lián)網(wǎng)“紅利”的同時，您又是否為安全做好準備了呢?