isia(电网攻击等安全事件频发,“新基建”下如何保证工业互联网安全?)
2024年01月11日 靓嘟嘟 浏览量:次
记者 | 周小飏
编辑 |
中国“新基建”已按下了快进键,该如何保证其中的工业互联网安全?
5月14日,在工业控制系统信息安全产业联盟主办的2020工业安全大会(ICSISIA青年科技论坛)上,360工业互联网安全实验室主任、工业互联网产业联盟安全组轮值主席张建新表示,建立全局感知,是实现工业互联网安全的先决条件。
4月20日,国家发改委明确了新型基础设施的范围,主要包括三个方面内容,分别为信息基础设施、融合基础设施、创新基础设施。
其中,信息基础设施,主要是指基于新一代信息技术演化生成的基础设施,比如,以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等。
对于新基建中的工业互联网,张建新认为,它是新一代信息技术与工业深度融合的全新生态和应用模式,通过人、机、物的全面互联,实现全要素、全产业链、全价值链的全面连接。
“设备互联可让制造商从车间、供应链获得持续的数据流,以提升整体运营效率。但如果没有有效防护,就会带来很大隐患。”张建新说。
据工业互联网产业联盟预计,2020年,中国工业互联网产业经济总体规模分将达3.1万亿元,同比增长47.9%。
张建新称,工业互联网连接着如此庞大的人员、设备机器和网络,安全问题牵一发而动全身,广泛涉及到能源、制造、交通、电子、通信等诸多重要的行业和领域。
张建新认为,日前发生的委内瑞拉电网事件,说明工业互联网已成为恶意软件攻击的重要目标,安全形势不容乐观。
5月5日,委内瑞拉国家电网干线遭到严重攻击,除首都加拉加斯之外,11州府发生大规模停电。
类似的网络安全事件近年来时有发生。
去年12月4日,IBM发布的 X-Force威胁情报指数报告,披露了伊朗黑客针对工业领域开发的新型恶意软件ZeroCleare。这个软件以最大限度删除感染设备的数据为目标,主要瞄准中东的能源和工业部门。报告披露时,已有1400台设备遭感染。
“这个事件很容易让大家想起,2012年首现、2018年才活跃的同类软件Shamoon。“张建新说,这一软件主要攻击沙特国家石油公司(下称沙特阿美)。
Shamoon曾在2012年破坏性清除了沙特阿美3.5万台计算机数据,致其石油业务停摆数周。它也被业界公认是最危险的恶意软件之一。
2019年3月22日,全球铝业巨头挪威海德鲁(Norsk Hydro)发布公告称,旗下多家工厂受到一款名为Locker Goga勒索病毒的攻击,数条自动化生产线被迫停运。
Locker Goga先是感染了海德鲁美国分公司的部分办公终端,随后快速传染到全球的内部业务网络中,导致该公司业务网络宕机,损失超过4000万美元。
张建新称,2019年,破坏性网络的攻击数量激增200%以上,说明破坏性软件处于急速爆发阶段。
“低廉的攻击代价和高危的攻击结果,让破坏性的攻击逐渐泛化,越来越多拥有国家支持背景的黑客和组织,开始利用破坏性攻击,袭击能源、工业控制、金融等重要关键领域。”张建新说。
张建新认为,由上述案例可以看出,工业互联网的安全生态发生了很大变化,攻击者越来越专业化、组织化,攻击行为也在不断升级。
“互联网和工业的深度融合,导致针对互联网的威胁也渗透到了工业领域,网络攻击可以达到生产一线。”张建新称,互联互通的实现,在提升了传统制造转型升级的同时,也打破了传统工业相对封闭的生产环境,导致攻击路径大大增加,网络安全已经从“信息安全”进入“大安全”时代。
他认为,以封堵为主的常规防御,已无法适应数据在多个系统、产品、业务环节中频繁快速地流转,以及为了业务协同在不同组织间流转的安全需求,也无法应对越来越复杂的安全形势。
张建新称,工业互联网领域处于完全不对等的攻防对抗状态,攻击者只要找到整体中的一个突破口,整个防御体系都会受到很大威胁。
随着工业互联网的发展,接入工业互联网的终端、平台、应用、数据会巨量增长,架构在数据技术上的工业互联网漏洞也呈几何级增长。
封堵的方式不可能做到完全防护。就像接种疫苗,只能起到针对性防护,面对新型威胁则无能为力,甚至无法做到及时探测,只有在大规模爆发后才能被发现。
张建新称,比如上述海德鲁铝厂遇到问题时,采取了隔离传染设备的方式,来抑制病毒进一步爆发,很像新冠病毒疫情期间,要求人们居家隔离和戴口罩。
但由于不清楚病毒的传播途径和整体感染情况,在恢复生产时,海德鲁铝厂面临巨大困难。“他们甚至不确定,是否完全清除了所有的感染源、是否还有病毒在机器里潜伏。”张建新说。
“在常规防御里,我们必须依托全局感知。”张建新称,建立全局感知,通过大数据分析,和历史数据作对比,可以在安全问题没有完全爆发时,及早发现问题,并进行应急响应。
张建新称,在应急响应的流程,全局感知也是必不可少的环节。
传统的思路是碎片化解决问题,从各个设备中收集日志(log),从而发现并解决问题。
“但在很多log中,很难看出恶意攻击事件的本身,收集到的log也不完整。”张建新说,这种用规则对抗APT的做法,是完全看不到APT发生的。
APT,指的是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为。
“一个APT在企业网络横向移动和进攻时,往往只暴露一部分,无法用已有的数据进行溯源。”张建新说。
因此,收集日志变成了产品层面的堆砌。“就像盲人摸象,看到的东西是片面的,很可能无法判断攻击行为的发生。”张建新称,很多企业在本地部署云平台时,设置了一个本地化“大脑”,以用于采集全企业数据。
“即使该企业的数据全部采集到了,分析能力还是极为有限,因为企业有可能只是整个攻击链条中的一个环节。”张建新说。
用大数据加人工智能和专家体系的方式,则完全不一样。
张建新称,这就好比某公安局本地数据库里存有通缉犯名单,如果和整个公安部的犯罪记录库连在一起,那侦破能力就能得到极大加强。
“这不是否定常规防护的必要性,而是要在其之上建立更高更全的防控方案。”张建新指出,最重要的突破是建立云端“大脑”,通过云端“大脑”向下赋能,使本地分析能力能够得以加强,并将信息输送到云端,和云端进行对比。
- 贵州天岛湖(这里是天岛湖,不是千岛湖,来这里居住据说会长寿。)
- 丰泽电器(金融面皮下的暗规则,把金融投机的窍门说透了,值得去看)
- 澳大利亚珀斯(我在澳洲珀斯砌砖,这里对女性很友好,老太太头发五颜六色没人说)
- 佐餐(有一道佐餐小菜,味似芥末,又比芥末爽口,它就是远安冲菜)
- 七盛角(传承大宋中原民风民俗内涵的七盛角)
- 美则(刘慈欣:科幻文学之美体现在科学美和技术美)
- 巴黎塞纳河(“塞纳河不能游泳”将成历史法媒:迎奥运,巴黎加快治理塞纳河步伐)
- 固始县(固始县城市管理局开展健康巡讲“五进”活动)
- 威海神雕山动物园(从日本刚回来的大熊猫“香香”有望与在山东的“舅舅”认亲)
- 天津西站属于哪个区(天津西站附近景点,天津西站行李寄存位置)