西门子唐文: 工业信息安全——从检测到防护

唐文:大家下午好!非常荣幸今天有机会跟大家共同探讨工业信息安全,大家都知道公众信息安全成为全球关注重点,包括国内关注的重点,从2010年,病毒攻击伊朗核的设施,去年最早2004年出了公共安全白皮书,到2010年开始从事工业信息安全研究,今天跟大家探讨工业信息安全和过去选择的技术课题,和为什么选择?

2  唐文

一、工业信息安全

我们西门子内部叫工业信息安全,我们看到工业信息安全意识到重要性。比如今天开会涉及的空调、照明、声光电都统一的控制,日常大家驾车来会场开会,在路途中走过红绿灯和道路控制系统,在西门子内部就是工业控制系统。现代文明基础就是工业控制系统,生活用到任何东西都是工厂生产出来,而这些工厂绝大多数自动化工厂。

因此,当工业基础设施受到信息安全的威胁,有些黑客有意、无意攻击的时候,对人类生活产生根本的影响,财产损失、甚至危机人的生命安全。导致工业信息安全越来越脆弱原因?就是技术进步,15年以前工业信息系统像IT系统,我们今天有机会看工业信息系统,惊奇的发现以太网在工业信息系统得到广泛的应用,目前PC机也得到广泛的应用,操作人员都是基于Windows的PC机。标准的通讯协议越来越多用在工业信息系统。

2010年事件出现以后,IT领域黑客技术也可以用于工业信息系统攻击,比如偷取生产配方、工艺,以及植入软件对控制软件的影响,去年底发生乌克兰电网受到杀虫组织的攻击,导致断电几个小时非常严重的后果。在这里我们可以看一下,工业信息安全事件,这个图表来自火眼,火眼这几年也是非常著名的美国公司,火眼他统计2014年之前所有公共安全事件,信息源主要来自于USS、SCB等数据源。

我们可以看到在过去,尤其2010年以后公共安全事件出现急剧上升,而这里边大多数漏洞,迄今为止出现949个漏洞。西门子这几年曝出很多的漏洞,这是大实话。如果我们看CND等,西门子漏洞在公共体系中排名第一,但是西门子采取的策略不会隐藏漏洞,如果有人通报漏洞、我们发现漏洞发布之后自动公开,西门子采取IT企业同样的公开和客户公开对话的处理,内部统计的时候,发现西门子漏洞呈现一个特点,外面人报的漏洞越来越少,而自己发现漏洞越来越多。

不仅仅存在漏洞、存在潜在的风险,有的人利用漏洞控制工业控制系统,真正攻击工业控制系统到目前为止只有三个,从这里边可以看出工业控制系统一个趋势,目前工业控制系统里头专用的恶意软件攻击工业控制系统只看到三个案例,绝大多数出现的问题IT病毒感染控制系统,导致控制系统出现故障,这是非常多,我们在烟草、石化都见到很多案例。

二、工业控制系统典型应用

今天我简单给一个工业控制系统图,大家可能看表面看起来跟IT系统没有太大区别,在上面也是有很多PC服务器,它构成CMR、工作站、各种各样服务器,工程站有时候笔记本或者PC机,真正有特色的地方在下边,它有嵌入系统构成的各个控制系统,PRC由嵌入系统构成的,不像PC强大的计算能力,也不会随意编成。然后通过电线控制现场的仪表构成完整的系统。如果IT系统会认为办公最重要,比如我关心数据泄密、敏感的数据或者财务数据是不是泄露?工业控制系统重点不是上面,而是下面,在控制单元,因为控制单元用来控制物理世界。

比如说我们所在会场,实际上在这里可以看到至少有几个系统:空调新风系统、照明控制等,如果正常工作自动进入安全状态,保证大家发生事故有足够时间逃生,所以工业控制系统跟普通的IT安全非常不同。咱们做信息安全可能了解,最开始了解CAI,在工业系统首先安全性,最后才是完整性,最后是机密性。我可能采集电信号,这些信号拦截之后对你没有太大价值。

我们看典型的工业控制系统之后,我们看一下,这是来自卡巴斯基2014年白皮书,我们从2005年做公共安全,这么多年遇到最大的问题客户不理解,为什么公共安全重要?我们遇到很多工业客户,有的拜访他们,有的时候是会议遇到他们,当讲起信息安全,他们认为觉得我系统没有安全?卡巴斯基白皮书列出五个神话:

1、第一我没有与互联网互联,从右边图大家可以看到,大量系统都跟互联网互联,现在绝对没有跟互联网互联系统很少了,可能核电、军事系统没有互联,但是民事领域间接通过企业网、或者远程运维定期和不定期互联。比如电力很早维护条例,生产工业区和网闸割断,所有电力人跟大家都是这样介绍的,但是这几年有机会接触传统和新发电企业,我们发现这个是神话。新能源发电企业,所有安装发电设备,发电企业和运维人员自己维护不了,当出现故障需要厂商运维,厂商运维一种是驻厂运维成本很大,还有远程运维,绝大多数新能源汽车使用的远程运维,Windows主机作为跳板机连到设备上进行调试,尽管不是持续的连接,但是控制层开放一个口子到互联网上。

2、我们有防火墙因此安全的。当然我们做IT安全都知道,防火墙作用多大?即便这样的话,工业控制领域大多数被防火墙控制,他配制允许外部主机对防火墙进行运维。

3、黑客不了解工业信息安全,这已经是以前的情况。

4、我的设施不是目标,事实上在公共领头,大量工业设施被感染IT病毒,像石化、烟草、钢铁行业见过典型的案例,通过乱插U盘或者上网感染病毒,导致工业控制系统不能正常运转。

5、我的安全系统可以抵御攻击。

这样工业神话存在普通性,网络缺乏边界,任何主机接进网络里,立刻访问PRC,这个非常危险,任意人可以窃听、重放,目前病毒感染虽然只出现三个专用的公共病毒,但是对IT病毒缺乏免疫力。缺乏严重的共享账户,对恶意操纵缺乏认识,一个用户上去恶意操作改变我参数,往往不知道谁改变、也没有回溯他为什么这么做?

潜在的安全威胁包含了:

1、未经授权的访问,比如来自互联网、办公网通过感染PC机,攻击他的跳板机。比如乌克兰电网攻击,通过钓鱼邮件感染PC机,操控乌克兰电网误操作,还把硬盘弄坏了,阻止你公共网恢复。

2、恶意代码的攻击,都是通过U盘操作、网络操作操控你的PC机。

3、拒绝服务攻击,我上位机感染病毒,但是感染IT病毒,会控制网发送大量的垃圾报网,发送PRC,不断处理垃圾报网,计算资源被消耗掉,就会出现断断续续,这个我们在烟草行业有具体的案例。

4、对控制和主态通讯的攻击,任何攻击者窃听曝文,目前对所有攻击都是有效的。

5、恶意操作,可能攻击者他对攻击系统非常了解,不需要借助专门的IT手段破坏网络设施,通过操控上位机直接改变控制流程。在我们去介绍研究思路之前,我先简单介绍一下,目前安全圈在研究公共安全的一个误区,当我们谈公共安全两个圈:一个公共圈,前面介绍针对他们存在的误区谈论的,随着这几年公共安全变着越来越火,越来越安全人进入公共行业,他们也产生一个误区,对工业系统错误的认识,一般进入工业系统PRC控制物理环境,如果发现漏洞肯定非常重要,所以大家都奔PRC去,以至于这几年不停曝PRC漏洞。

工业控制系统通常来说分成若干层次,大型的工业系统最高ERP,通过ERP做企业生产规划,ERP导入MES,MES进行排班做各种各样制造规划,然后才进入监控层、现场设备层,但是很多研究人员认为,一般我们都是这样划分层次,每个层次单独拎出来做安全,这个对下面三个层次不成立的。正常情况下监控层、控制层、现场设备层是完整的,我工作的时候必须有PRC控制现场仪表,现场仪表控制过程,这个分不开,PRC必须和上位机合作,所以这三者构成一个整体。一旦脱离这个整体出现荒唐的结果,大家都研究PRC,但是中国有上千万PRC工作,多少曝光互联网上?可以告诉大家,不超过300个。其他PRC都是部署内网,对它发动攻击,必须先攻击上位机,从上位机攻击PRC,我单纯把PRC研究,攻击路径怎么样?如何发生?

就会出现这个问题,我经常跟安全圈同事交流。举一个例子,智能家居越来越进入普通的家庭,冰箱就智能、空调有智能、甚至插线板也有智能,也面临网络安全问题,有没有远程黑客控制我家电,非常不安全。应该家庭边界部署安全网关,这个安全网关保证所有家电安全运转,而不是要求每一个家电都像PC,必须CIA必须最高要求。比如我冰箱,保证安全必须加装一个硬盘,我们所有人必须有一个密码,如果输错三次冰箱锁死。近年来标准化领域,要求PRC和智能仪表达到PC水平,智能仪表里边只有一个单片机,甚至有的智能仪表通过电瓶线进行连接,我们正在制定协议,要求PRC和仪表加装防火墙。

大家可以看到照片是目前在北京工业安全设施,是西门子全球最好的实验室,西门子主流的PRC、工业交换器等都有,这个实验室仿真完整的工厂,在工厂进行各种各样试验,包括攻击和防御实验。我们研究思路从2005年到现在形成一整套研究思路,我们称之为从检测到防护,正在向第三步检测响应,在检测研发相应的工具,防护方面也有相应的技术。

三、产品

2007—2008年研制Styx安全工具,它的目的自动化产生各种各样严酷测试、包括机器测试,编码位的错误甚至各种各样攻击都会集成进来,用它对PRC测试,一旦发现漏洞通知德国总部修复它,把新的补丁发布出来。而且这个遵循SCADA要求,覆盖风暴测试、测试暴露各种各样需求。目前我们支持50多种协议,国内应当最多的,因为我们这个工具只是内部用,并没有国外销售。支持的协议工业领域广泛利用的协议,也包括工业交换协议OPC,包括电信通讯协议,包括楼宇控制、交通控制,只要西门子从事的行业我们都会支持,所以在医疗通信领域两个协议,其他协议是IT协议,目前在公共领域应用非常广,所以现在也支持。

配置管理,我们研制一个工具称之为ISBC,自动化对工业系统配置进行检查,上位机有Windows安全配置、数据库安全配置,它重点对工业控制网络、工业的PRC和工业交换机是不是安全进行自动化检测。

西门子最著名基于纵深防御的安全控制系统,就像刚才提到智能家居例子,保证家庭智能设备安全,应该加装网端,实际建立防御圈。西门子提倡通过物理安全、安全单元、用户账户管理、补丁账户防护等构成完整的防护圈,PRC没有认证机制、安全机制,只要部署防护圈周边,可以受到保护。目前中石化部署我们一套解决方案,并且2010年获得石化工业协会科技进步一等奖。这个是具体的防御措施,前面就讲到从检测到防护的步骤,今天为止在中国开始建立西门子工业信息安全运营中心,落在苏州,北京有专家队伍提供支持。

运营中心说到根由,2015年开始大讲威胁情报,并且开始转变安全防御的重心,从原来的静态防御转向动态防御,防御过程中熟知系统所处的状态,就是现在强调的情景感知,而且强调通过行为识别异常,而不是通过指纹识别异常。西门子公共领域推动技术进步,在苏州建立运营中心,可以将一个个自动化部署探针,对原来公共系统不会产生影响,只是取数据,取来数据用传统的MSN技术和大数据进行分析,对威胁情报的关联,异常分析,然后告诉这些工厂,你的工厂面临最大的安全威胁是什么?如何提升安全?如果面临危机如何应对它?提高系统的可见性,今年9月20号会开幕,我们建两个仿真厂,一个北京、一个苏州达到中型工厂规模,2017年初首先把西门子工厂介入进来。

西门子在全中国有70多个分公司,其中40个多自动化工厂,陆陆续续接进来,也会邀请核心用户。我们监控分成两个层面,PC用传统的监控安全日志,大数据进行分析。由于时间关系,今天讲到这里,谢谢大家!

上一篇:陆立新:美国威胁情报发展及实践

下一篇:对话腾讯马斌 解读互联网+安全战略