嘶吼专访 | 威努特技术总监郭洋:三分技术,七分管理,是做好工控安全的箴言
2022-9-27 12:0:0 Author: www.4hou.com(查看原文) 阅读量:24 收藏

威努特作为国内工控网络安全领军者,自成立以来深度研究工业行业,精准对标用户不同需求,八年来坚持高比例研发投入与技术创新,以工业网络“白环境”为核心技术理念,自主研发了五大类33款工控安全产品,成功为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业的4000余家用户提供全生命周期纵深防御解决方案。

郭洋2016年加入威努特,现任技术服务部总监,一路走来,是工控安全技术体系最有力的建设者之一,为此,嘶吼对他进行了人物专访。

1662601881256805.jpeg

威努特技术服务部总监  郭洋

做工控安全,必然提到工业网络“白名单”技术理念

威努特2014年率先独创了工业网络“白环境”核心技术理念。从网络边界、通信网络和计算环境三个层面,将工业生产网络所涉及的全部合规进程纳入白名单,通过机器学习、对比模型,进行合法性校验。经历了8年多的市场实践,“白环境”已成为了我国工控安全行业的主流技术路线。

工业网络“白名单”为工业企业找到了一个适用于业务场景的技术体系或者技术方向。从市场的前端产品标准来看,现在行业内只要做工控安全,必然要提到“白名单”技术理念。

郭洋说到,信息安全标准是我国信息安全保障体系的重要组成部分。国内最早做工控安全的时候,都绕不开一个话题,就是工业主机安全。威努特很早就作为主要技术支撑单位,配合公安部第三研究所编制了国内首个主机白名单产品标准《信息安全技术 文件加载执行控制产品安全检测条件》,值得一提的是,该标准成为了检验主机类安全产品的必要标准。

做好工控安全,是一个协同作战的过程

各行业要做好工控安全,有共性的地方,都需要监管部门、集团、企业和安全厂商几方共同合力完成。

首先,监管部门和工业行业的头部企业对工控安全的关注必不可少以电力为例,作为国内最早做工控安全的行业,其头部集团或是第三方机构早期针对工控安全就出台了很多行业性标准,到现在可以追溯的政策条款有很多。相关企业很早就开始以这些标准为参考依据,进行工控安全建设。这也是电力在所有工业行业里面,工控安全建设做得最好的原因。

在工业企业层面,做好工控安全要有专业的人才和具有工业属性的安全产品,并且需要加大安全投入。现阶段,很多工业客户侧负责OT安全板块的人员,仍然是来自它原有的IT部门,这就会导致工业生产与信息安全之间的断层,虽然做信息化的人也在学习生产系统相关知识,会慢慢成熟,但是目前工业企业仍然需要进一步落实工控安全专业人才。行业有标准,企业有专人来执行,才能把工控安全真真正正做起来。

与此同时,工业企业进行工控安全建设需要具有工业属性的安全产品。就整个大环境而言,目前绝大部分工业企业还在使用传统的通用安全产品,但这些安全产品由于缺乏工业属性,不能与工业场景很好地结合,工业企业不敢轻易进行应用和部署。这也意味着企业虽然采购了安全产品,但结果是根本没有办法应用。除此之外,工业企业还需要加大安全建设的投入,才能形成一个良性的工控安全产业发展。

而对于安全厂商,做好工控安全,是一个协同作战的过程,安全系统要能够与业务系统相结合、工业安全厂家要和工业企业相协同。工业安全厂家需要走进工厂,深入到每一个工业现场,与工业企业专家进行学习、探讨与合作,深度了解工业场景,才能研发出真正对标工业企业用户实际需求的安全产品与解决方案。

构建“1246”网络安全防护体系

郭洋认为,三分技术、七分管理,是做好工控安全的箴言。目前工业企业工控安全面临着网络结构风险、防护能力风险、业务软件风险、实施运维风险、工业协议风险、安全预警风险6大风险问题。威努特在风险评估的基础上,从整体上为工业企业客户构建“1246”网络安全防护大体系。

“1”指的是以风险管理为核心目标,风险是消除不掉的,只能是将风险降低到可接受的状态下。

“2”是以国内“两个要求”体系合规、与国际“技术体系”接轨为两个视角,不单单是要做到等保合规,还需要充分结合国际技术体系。

“4”是形成可防御、可检测、可响应、可预测的全生命周期的四大体系,其中,安全防御,可以利用“一个中心和三重防护”的指导思想把基本能力搭建起来。其次,现在整个网络里充斥着各种不同的正常流量、异常流量,甚至还有攻击流量,一定要能够清晰地知道这些流量的来源和危害程度,这就需要我们具备深度检测能力。再者,一旦出现一些安全攻击风险,要有及时响应的运维能力。制订和完善各种流程规范,开展网络安全风险评估、规范产品与服务采购流程,同时还要去做好日常的维护管理以及应急响应。

最后,评估预测体系更多的体现在态势感知和安全运营两大方面,包含了一些对于数据的关联分析,对于危机的预测等。实际上,评估预测体系把静态防御转换成了积极的动态防御。

以上四个方面是构成全生命周期体系的一个大的框架,除了这个体系以外,还有很多需要去投入,包括风险管理、供应商管理等。

“6”是动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的六大安全能力。

整体上,“1246”大体系涵盖工业安全技术和管理,能够覆盖现在所有的安全能力落地。但由于体系比较庞大,要结合工业企业的实际特点,在不同的发展阶段去做不同的规划。

未来工控安全技术的六大趋势

从最初负责铁道领域的网络安全建设到工控安全,郭洋拥有十余年的行业经验以及心得,结合工业场景,他认为,工控安全未来几年的技术趋势有以下几个方面:

第一,目前工业领域基于Oday漏洞或未知漏洞的攻击在不断变多,由于很多工业企业都属于国家关键信息基础设施的范围之内,所以面临的安全风险也在逐步提高,未来工控网络中APT攻击检测会越来越多。

第二,工业EDR本身很厚重,但工业企业安全系统比较脆弱。所以对于工业企业而言,应该结合工业控制系统特点研发轻量级的高级别检测技术。

第三,工业企业需要研发高交互高仿真的蜜罐技术。但由于仿真度非常高,能够让攻击者误认为是工业系统的不同场景,具有一定的难度。

第四,人工智能在工业里面的应用现在还处于起步阶段,没有真正和工业产品做结合,尤其是机器学习、深度学习、过程自动化和用户算法方面,在工业安全未来有很长的路要走。

第五,现在工业场景很大,控制器特别多,而且厂家也特别杂,很多工业企业自身并不知道究竟用了多少个品牌的控制设备。但由于工业企业要保证生产,被动的资产测绘更适用于工业企业。

第六,未来构建具有内生安全能力的工控系统,也是很重要的一个技术方向。

人物简介

郭洋,北京威努特技术有限公司技术服务部总监,2016年加入威努特,主要负责为工业企业、关键信息基础设施提供整体安全解决方案和技术服务工作。近年来一直深耕电力、石油石化、轨道交通、智能制造等行业领域,已成功为数千家工业企业提供网络安全咨询、安全评估、安全建设、安全应急等安全服务工作。曾在 《当代工人》、《中国信息安全》等杂志发表多篇技术见解文章。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/q85r
如有侵权请联系:admin#unsafe.sh