(原标题:盛邦安全聂晓磊:SASE理念与工业互联网安全场景不谋而合)
2020年1月份前后,网上爆出50万台服务器、路由器和IoT设备telnet密码泄露事件,随后类似的事件频频出现,包括网络摄像头的信息泄露等,这些事件反映出一个真实的现状,那就是大量的工业OT设备在互联网中处于一种“裸奔”状态,而对于黑客而言,在弱口令存在的情况下其攻击成本极其低廉。
工业互联网相对缺乏安全防护经验
不幸的是,以上这种安全事件恰恰就是目前工业互联网安全所面临的一种尴尬现实。盛邦安全技术总监聂晓磊表示,“相对于通用行业的网络安全而言,工业互联网的安全经验相对欠缺,通用行业的网络安全已经经历过多年的攻防锤炼,不同领域不同层面的安全建设思路已有一定的基础,而工业互联网当中引入的新场景则缺乏这样的经验,实际问题包括专有协议的兼容、特定系统环境的适配、OT资产的识别和安全检测,以及大量未知安全漏洞爆发后的应急响应等等。”
盛邦安全技术总监 聂晓磊
另外,对于工业互联网而言,安全所带来的影响将会更大。聂晓磊指出,“工业互联网当中的系统一旦出现安全问题,可能影响倒监控层、控制层,甚至直接破坏生产系统,带来的是直接的经济损失,影响的是关键基础设施的稳定性,相对于通用行业的网络安全而言所造成的影响会更大。”
同时,聂晓磊指出,随着IT与OT的不断融合,工业互联网将面临几种典型风险:
第一,暴露面安全风险。一方面,大量的控制系统和OT设备直接暴露在互联网当中,存在安全隐患;另一方面,随着智能制造等新举措的实施,原本封闭在内部网络当中的控制系统会逐渐开放更多的调用接口给外部程序,这就加大了暴露面风险。
第二,漏洞利用攻击。工业互联网当中各种系统和程序也不可避免的存在安全漏洞,而工业系统的漏洞直接影响到生产安全,如果被黑客利用将直接造成核心系统被接管或关键设施遭到破坏。
第三,勒索病毒。基于工业互联网安全隔离和访问控制上可能存在的弱点,各类生产制造企业遭受勒索病毒的案例越来越多,且影响范围广,生产损失大,是工业互联网面临的严重威胁之一。
如何转变工业互联网的安全窘境
在聂晓磊看来,网络空间资产测绘体系和SASE(即“安全访问服务边缘”)将是未来工业互联网应用的两大基石,而零信任会成为工业互联网末端接入SASE云服务采用的重要安全接入技术。同时AI也会成为工业互联网智能化发展不可或缺的技术,以及态势感知也将为工业互联网发展提供必要的态势分析。
据聂晓磊介绍,网络空间资产测绘体系是通过主动探测的方式对网络内各类软硬件资产进行发现、识别和安全检测,并基于探测结果进行资产画像、信息检索、问题定位和分析研判的一套大数据资产测绘平台。基于DPDK的无状态探测引擎、IPv4、IPv6双栈探测和协议深度检测等核心技术,网络空间资产测绘体系可以对工业互联网当中的工控设备、物联网设备、专用系统,以及网络设备、安全设备、终端设备、应用系统、操作系统、组件、Web系统和云平台基础设施等各类资产数据进行发现和深度识别,并利用针对性的漏洞PoC来实现安全检测,从而形成对工业互联网暴露面的有效监测,在安全事件爆发时进行快速的问题定位、综合研判和影响分析,从而做出准确的响应决策。
而SASE架构将网络和安全服务融合到一个以用户、设备和应用身份为中心的基于云的平台中。SASE基于SD-WAN技术,集成了敏捷、自动化、CARTA(持续自适应风险与信任评估)、ZTNA(零信任网络访问)、Advance APT防护等技术,为企业建成一个无中心平面化的全程加密,并融合诸多安全功能的安全“私有云”,使得任何用户(员工、供应商、第三方),在任何位置(公司、远程、WIFI),用任何设备(公司设备、个人设备、物联网),可安全访问部署在任何地方的应用(内网应用、云应用、SaaS服务、云基础设施)。而当安全接入到这一“私有云”时,则需要采用零信任的技术。
聂晓磊认为,“SASE的理念,与工业互联网应用场景,可以说是不谋而合。”
此外,聂晓磊还特别强调,“通用的安全产品和解决方案不能直接套用在工业互联网环境当中,针对工业互联网独有的安全需求和特点,安全技术和产品必须先做到对该领域网络架构和专有协议的理解和兼容,在此基础上设计合理的解决方案。例如资产探测或漏洞检测等能力,必须做到对特定协议的深度解析,并同步积累OT资产指纹信息及对应的漏洞规则,这样才能真正发挥出安全产品及方案的有效作用。”
总之,针对工业互联网安全,聂晓磊认为,在做好5G、云计算等新技术应用的同时也要做好相应暴露面资产和风险的监测,并积极拥抱新兴安全技术,加快资产测绘、零信任和SASE等应用的理解和落地,以便结合工业互联网安全标准和要求来同步构建行业的最佳实践。
最后,聂晓磊讲到:“未来已来,在新基建的浪潮下,我们必须加快脚步,同步推进工业互联网领域相关政策、标准、技术试点和应用方案的构建,确保工业互联网能够安全、稳步的前行。”
相关新闻: