用体系解决供应链安全 将工业互联网被攻击的概率降低到万分之一
一段代码就能瘫痪一座智能工厂;平均每个智能工厂就有52.5个安全漏洞……随着数字话转型的加速,工业互联网应用场景在快速落地的同时,安全风险成了最大挑战。
在第四届数字中国建设峰会上,如何解决工业互联网安全成了一大焦点话题。奇安信集团董事长齐向东在演讲时表示,传统的安全技术手段已经过时,无法解决工业互联网面临的安全问题。需要创新网络安全技术,将安全和工业生产深度融合,提高工控系统的免疫力。从网络、身份、应用、数据和行为五个层面,将威胁层层过滤,把网络攻击的概率降低到万分之一,真正实现内生安全。
一段代码就能瘫痪一座智能工厂数据异常、设备损坏、工厂停产……
工业互联网企业遇到的这一系列问题背后,可能只是电脑另一端的几行代码或几个指令,但却能给工业企业带来无法承受的经济损失甚至更加严重的后果。随着工业互联网时代的到来,网络安全形势日趋严峻。
在第四届数字中国峰会现场,奇安信复现了工业互联网攻防的全过程。一套生产有机农药的化工装置,在网络攻击发生之前,指标一切正常。但随着一条条攻击指令传输到了工业自动化系统中,大屏幕也不断弹出了网络安全告警。
受到攻击后,这套化工装置的控制器逻辑和参数被篡改,改变了原料配比产生废品,且使得有毒原料罐液位不断上升,超出阀值大量溢出,不但造成了浪费更造成了环境污染。随后,安全工程师开启了相应的防护策略,所有攻击指令随即被拦截下来,工业自动化系统也恢复正常运行。
奇安信集团董事长齐向东表示,工业互联网是高安全、弱开放的工业生产系统,与弱安全、高开放的互联网系统,两大系统的融合,这直接打破了传统工业相对封闭可信的生产环境,导致攻击路径大大增加,攻击者可以从研发端、管理端、消费端、生产端都有可能实现对工业互联网的攻击或病毒传播。如果没有做好安全防护,那么价值巨大、牵连过广的工业互联网,就成了黑客唾手可得的“香饽饽”,尤其是智能工厂将是黑客勒索攻击的头号目标。
今年以来,就有多家智能工厂遭遇勒索攻击。在3月,电脑巨头宏碁遭到勒索软件攻击,财务电子表格、银行往来邮件等敏感数据被盗,黑客开出了迄今为止最高数额的赎金,约合3.25亿元。根据全球网络安全软件公司趋势科技数据显示,仅2020年第三季度就有150家制造企业牵涉勒索软件,多于其他任何行业。这个数字只是冰山一角,九成以上的企业因为害怕对自己的品牌造成伤害,都在支付赎金以后选择了静默。
供应链安全是工业互联网躲不开的挑战
“在网络攻击面前,没有哪个机构可以幸免。身处数字化转型中的智能工厂,需要投入更多资源,避免自己成为下一次网络攻击的受害者。”齐向东认为,工业互联网时代,供应链环环相扣,牵扯到的上下游企业众多一个点遭受攻击,很可能会把整个产业链拖下水。供应链安全注定是工业互联网逃不开的挑战。
齐向东表示,工业互联网供应链安全挑战来自两大方向,一是开源软件代码存在巨大隐患,二是源代码天然存在缺陷,也给供应链安全埋下隐患。
根据公开信息显示,此前奇安信开源卫士对2188个软件开发项目进行了调研,100%的项目都用了开源软件,其中有1695个项目都存在开源软件漏洞,占比高达77.5%,平均每个项目有52.5个漏洞。而奇安信代码卫士对1838个软件项目的源代码进行分析时,总计发现330万个安全缺陷,其中高危安全缺陷36万个。统计显示,程序员每敲一千行原始代码,会出现10.13个缺陷,其中有1.08个高危缺陷。用安全体系将网络攻击的概率降到万分之一。
齐向东表示,传统的杀毒、木马检测、防火墙等技术,解决是通用的系统和软件安全,常常用误报率和漏报率来衡量,这种方式无法解决工业互联网面临的安全问题。所以,要创新网络安全技术,将安全和工业生产深度融合,提高工控系统的免疫力。从网络、身份、应用、数据和行为五个层面,将威胁层层过滤,把网络攻击的概率降低到万分之一,真正实现内生安全。
如何在具体的业务场景下,实现工业互联网的内生安全,尤其是解决供应链安全问题?在数字中国峰会上,奇安信集团总裁吴云坤给出了具体的方案,即“依托内生安全框架,从系统观念出发考虑供应链安全问题,从工业软件、工业互联网视角,以系统工程方法论结合内生安全理念,构建包括工业软件在内的工业信息系统整体防护体系。”
吴云坤表示,奇安信基于长期的网络安全实践提出了内生安全框架,以系统工程方法论结合内生安全理念,用“十大工程五大任务”建动态综合的网络安全防御体系,让网络安全从局部整改外挂式建设模式转向安全与工业信息系统深度融合体系化建设模式。
其中,针对工业互联网安全解构了九大重点任务,可全面覆盖工业生产网络的各层面,包括:调整优化工控网络架构、增强工控主机安全防护、建立工业互联网平台防护体系、建立工控网络安全监测体系、建立工控网络纵深防御体系、建设工控远程访问安全接入点、建设工业安全态势感知平台、建设工业互联网安全接入点、建设工控安全仿真验证平台。
吴云坤表示,在九大重点任务基础上,奇安信融合软件空间测绘能力、源代码成分风险分析技术能力、源代码安全缺陷及后门分析能力以及联网设备成分风险分析,设计开发可一个软件供应链生命周期安全解决方案,在整个软件生命周期融入安全培训、安全需求评估、安全设计、安全开发、安全测试、安全部署运行、安全使用等八大流程和措施,来保障软件从开发、交付到应用的全过程、全生命周期安全,在监管侧和企业侧同步实现供应链安全。
据悉,奇安信不仅承担了工信部工业互联网创新发展工程中的工业软件源代码漏洞检测工具项目,同时已为北京冬奥会整个应用系统进行全生命周期的安全管理。此外,在重庆早已布局奇安信工业互联网网络安全西部中心总部,并协助比亚迪、航天云网等多家工业企业和工业互联网平台进行安全护航