未來已來，在新基建的浪潮下，我們必須加快腳步，同步推進工業(yè)互聯(lián)網(wǎng)領域相關(guān)政策、標準、技術(shù)試點和應用方案的構(gòu)建，確保工業(yè)互聯(lián)網(wǎng)能夠安全、穩(wěn)步的前行。

2020年1月份前后，網(wǎng)上爆出50萬臺服務器、路由器和IoT設備telnet密碼泄露事件，隨后類似的事件頻頻出現(xiàn)，包括網(wǎng)絡攝像頭的信息泄露等，這些事件反映出一個真實的現(xiàn)狀，那就是大量的工業(yè)OT設備在互聯(lián)網(wǎng)中處于一種“裸奔”狀態(tài)，而對于黑客而言，在弱口令存在的情況下其攻擊成本很低廉。

工業(yè)互聯(lián)網(wǎng)相對缺乏安全防護經(jīng)驗

不幸的是，以上這種安全事件恰恰就是目前工業(yè)互聯(lián)網(wǎng)安全所面臨的一種尷尬現(xiàn)實。盛邦安全技術(shù)總監(jiān)聶曉磊表示，“相對于通用行業(yè)的網(wǎng)絡安全而言，工業(yè)互聯(lián)網(wǎng)的安全經(jīng)驗相對欠缺，通用行業(yè)的網(wǎng)絡安全已經(jīng)經(jīng)歷過多年的攻防錘煉，不同領域不同層面的安全建設思路已有一定的基礎，而工業(yè)互聯(lián)網(wǎng)當中引入的新場景則缺乏這樣的經(jīng)驗，實際問題包括專有協(xié)議的兼容、特定系統(tǒng)環(huán)境的適配、OT資產(chǎn)的識別和安全檢測，以及大量未知安全漏洞爆發(fā)后的應急響應等等。”

另外，對于工業(yè)互聯(lián)網(wǎng)而言，安全所帶來的影響將會更大。聶曉磊指出，“工業(yè)互聯(lián)網(wǎng)當中的系統(tǒng)一旦出現(xiàn)安全問題，可能影響倒監(jiān)控層、控制層，甚至直接破壞生產(chǎn)系統(tǒng)，帶來的是直接的經(jīng)濟損失，影響的是關(guān)鍵基礎設施的穩(wěn)定性，相對于通用行業(yè)的網(wǎng)絡安全而言所造成的影響會更大。”

同時，聶曉磊指出，隨著IT與OT的不斷融合，工業(yè)互聯(lián)網(wǎng)將面臨幾種典型風險：

第一，暴露面安全風險。一方面，大量的控制系統(tǒng)和OT設備直接暴露在互聯(lián)網(wǎng)當中，存在安全隱患；另一方面，隨著智能制造等新舉措的實施，原本封閉在內(nèi)部網(wǎng)絡當中的控制系統(tǒng)會逐漸開放更多的調(diào)用接口給外部程序，這就加大了暴露面風險。

第二，漏洞利用攻擊。工業(yè)互聯(lián)網(wǎng)當中各種系統(tǒng)和程序也不可避免的存在安全漏洞，而工業(yè)系統(tǒng)的漏洞直接影響到生產(chǎn)安全，如果被黑客利用將直接造成核心系統(tǒng)被接管或關(guān)鍵設施遭到破壞。

第三，勒索病毒?；诠I(yè)互聯(lián)網(wǎng)安全隔離和訪問控制上可能存在的弱點，各類生產(chǎn)制造企業(yè)遭受勒索病毒的案例越來越多，且影響范圍廣，生產(chǎn)損失大，是工業(yè)互聯(lián)網(wǎng)面臨的嚴重威脅之一。

如何轉(zhuǎn)變工業(yè)互聯(lián)網(wǎng)的安全窘境

在聶曉磊看來，網(wǎng)絡空間資產(chǎn)測繪體系和SASE（即“安全訪問服務邊緣”）將是未來工業(yè)互聯(lián)網(wǎng)應用的兩大基石，而零信任會成為工業(yè)互聯(lián)網(wǎng)末端接入SASE云服務采用的重要安全接入技術(shù)。同時AI也會成為工業(yè)互聯(lián)網(wǎng)智能化發(fā)展不可或缺的技術(shù)，以及態(tài)勢感知也將為工業(yè)互聯(lián)網(wǎng)發(fā)展提供必要的態(tài)勢分析。

據(jù)聶曉磊介紹，網(wǎng)絡空間資產(chǎn)測繪體系是通過主動探測的方式對網(wǎng)絡內(nèi)各類軟硬件資產(chǎn)進行發(fā)現(xiàn)、識別和安全檢測，并基于探測結(jié)果進行資產(chǎn)畫像、信息檢索、問題定位和分析研判的一套大數(shù)據(jù)資產(chǎn)測繪平臺。基于DPDK的無狀態(tài)探測引擎、IPv4、IPv6雙棧探測和協(xié)議深度檢測等核心技術(shù)，網(wǎng)絡空間資產(chǎn)測繪體系可以對工業(yè)互聯(lián)網(wǎng)當中的工控設備、物聯(lián)網(wǎng)設備、專用系統(tǒng)，以及網(wǎng)絡設備、安全設備、終端設備、應用系統(tǒng)、操作系統(tǒng)、組件、Web系統(tǒng)和云平臺基礎設施等各類資產(chǎn)數(shù)據(jù)進行發(fā)現(xiàn)和深度識別，并利用針對性的漏洞PoC來實現(xiàn)安全檢測，從而形成對工業(yè)互聯(lián)網(wǎng)暴露面的有效監(jiān)測，在安全事件爆發(fā)時進行快速的問題定位、綜合研判和影響分析，從而做出準確的響應決策。

而SASE架構(gòu)將網(wǎng)絡和安全服務融合到一個以用戶、設備和應用身份為中心的基于云的平臺中。SASE基于SD-WAN技術(shù)，集成了敏捷、自動化、CARTA（持續(xù)自適應風險與信任評估）、ZTNA（零信任網(wǎng)絡訪問）、Advance APT防護等技術(shù)，為企業(yè)建成一個無中心平面化的全程加密，并融合諸多安全功能的安全“私有云”，使得任何用戶（員工、供應商、第三方），在任何位置（公司、遠程、WIFI），用任何設備（公司設備、個人設備、物聯(lián)網(wǎng)），可安全訪問部署在任何地方的應用（內(nèi)網(wǎng)應用、云應用、SaaS服務、云基礎設施）。而當安全接入到這一“私有云”時，則需要采用零信任的技術(shù)。

聶曉磊認為，“SASE的理念，與工業(yè)互聯(lián)網(wǎng)應用場景，可以說是不謀而合。”

此外，聶曉磊還特別強調(diào)，“通用的安全產(chǎn)品和解決方案不能直接套用在工業(yè)互聯(lián)網(wǎng)環(huán)境當中，針對工業(yè)互聯(lián)網(wǎng)獨有的安全需求和特點，安全技術(shù)和產(chǎn)品必須先做到對該領域網(wǎng)絡架構(gòu)和專有協(xié)議的理解和兼容，在此基礎上設計合理的解決方案。例如資產(chǎn)探測或漏洞檢測等能力，必須做到對特定協(xié)議的深度解析，并同步積累OT資產(chǎn)指紋信息及對應的漏洞規(guī)則，這樣才能真正發(fā)揮出安全產(chǎn)品及方案的有效作用。”

總之，針對工業(yè)互聯(lián)網(wǎng)安全，聶曉磊認為，在做好5G、云計算等新技術(shù)應用的同時也要做好相應暴露面資產(chǎn)和風險的監(jiān)測，并積極擁抱新興安全技術(shù)，加快資產(chǎn)測繪、零信任和SASE等應用的理解和落地，以便結(jié)合工業(yè)互聯(lián)網(wǎng)安全標準和要求來同步構(gòu)建行業(yè)的優(yōu)秀實踐。

最后，聶曉磊講到：“未來已來，在新基建的浪潮下，我們必須加快腳步，同步推進工業(yè)互聯(lián)網(wǎng)領域相關(guān)政策、標準、技術(shù)試點和應用方案的構(gòu)建，確保工業(yè)互聯(lián)網(wǎng)能夠安全、穩(wěn)步的前行。”

原文鏈接