如今,工业互联网已进入发展快车道,但安全问题却给工业互联网原本晴朗的天空蒙上了一层乌云。
上个月,美国最大成品油管道运营商Colonial Pipeline因一次勒索软件攻击,致使燃油管道系统被迫关闭,并且让美国17个州及华盛顿特区一度进入紧急状态,被迫支付440万美元的赎金以恢复系统正常;
日本相机大厂富士胶片遭勒索软件攻击,使部分系统受到影响。有些据点的所有通信,包括电子邮件和经由网络系统打入的电话都受到了不同程度的影响...
而国内,许多企业也受到了不同程度的安全威胁。
轰动一时的三一重工泵车失踪案,因无法传递设备工况数据与正常锁机,导致三一重工技术研发和售后服务大受影响,更有大量客户恶意拖欠该公司货款,失联泵车价值高达10亿元;
台积电三大制造厂区因电脑大规模勒索病毒现象,造成约17.6亿元的营收损失...
在华为安全架构师王雨晨看来,无论国内企业还是国外企业,勒索软件,蠕虫,挖矿、APT等是最主要的高级安全攻击且是威胁最大的。其中,勒索软件是目前最常见的安全威胁手段。
显然,工业互联网安全问题已成为工业企业发展过程中必要的考虑因素。
安全或成工业互联网最大“绊脚石”
网络是基础,安全是保障,平台是核心。
工业互联网是新一代信息通信技术与制造业深度融合所形成的新兴业态与新模式。
自2018年,工业互联网被首次写入政府工作报告,到2020年被划定为新基建的重要组成部分,经过三年时间,工业互联网已进入发展快车道。据赛迪顾问数据显示,2020年,中国工业互联网市场规模总量达到6712.7亿元,同比增长10.4%。
新技术带来新机遇的同时,往往也会带来新问题。由于工业互联网中各种设备互联,设备种类多,漏洞后门资源多,攻击路径多,攻击性强,所以新问题主要聚焦在安全方面。
这与工业互联网与生俱来的特性相关,在浪潮工业互联网副总经理宋志刚看来,工业互联网先天具有的专业性、复杂性和技术起点高的特点,以及开放性和异构性的特性,加剧了其面临的安全风险。
图源:《2020年工业信息安全态势报告》
在工业互联网专有特点的基础上,百度相关负责人认为,工业互联网安全威胁事件频发是由于云计算、人工智能、大数据等技术仍处于不断创新和高速迭代阶段,工业互联网仍处于摸索阶段,诸如工业互联网安全等许多难题有待进一步攻克。
目前,工业领域的网络攻击事件、工业设备、系统安全漏洞数量呈现逐年递增之势。
据《2020年工业信息安全态势报告》显示,工业领域因运营成本大、数据价值达、社会影响广成为了首要攻击目标,仅2020年工业相关勒索软件攻击事件就有33起,远超2017年至2019年两年的总合。
除去工业互联网专有特性和发展速度来看,华为安全架构师王雨晨认为,工业互联网安全和传统IT安全的差异也是安全威胁事件频发的重要原因。
首先,补丁、杀毒软件等侵入式安全技术不可实施,终端安全不可接受,漏洞处于开放状态;
其次,互联网是统一架构,而工业系统架构、业务类型、设备组合千差万别,通用的威胁情报作用很小;
再者,工业互联网系统是高度自动化,低交互的,基于安全专家的人工运维不可实施。
而且,工业互联网中一旦发生事情就是大事,事后处置的损失不可接受,安全手段也绝对不能在业务系统中造成新增故障点,不能引入“安全悖论”。
所以说,对于工业互联网安全来说,传统IT安全架构早已不适用,亟需构建新型的工业互联网安全架构。
百度相关负责人也表示,传统互联网时代,人们对网络安全习惯于采取“事后补救”的措施,而这些措施往往是“头痛医头、脚痛医脚”,不能彻底、全面地解决问题,也无法满足新型工业互联网的安全需求。
工业互联网不止网络和平台,安全也是重要的一环。
停留在口头上的安全,也只是空中楼阁
虽然,安全威胁事件频发,但工业互联网的热度仍吸引了不少企业的入局。
根据IDC中国工业互联网调研数据显示,80.3%的受访用户表示已经部署或计划在未来1~3年内部署工业互联网,包括传统制造企业海尔、美的等,互联网巨头BAT,新兴独角兽企业AI四小龙等,还有一些不起眼的小型企业。
据不完全统计,标识解析体系方面,我国已拥有5个国家顶级节点,90多个二级节点平台已上线,成为三级节点的企业超一万家;
工业互联网平台方面,我国多层级工业互联网平台体系初步形成,国内已涌现出100余个工业互联网平台,其中跨行业跨领域平台达到15个;
工业APP方面,截至3月底,工业互联网平台连接工业设备总数达7300万台,工业App突破59万个。
虽然,目前在工业互联网领域我国已经取得了显著的成就。但是,三一重工泵车失踪案、台积电工厂大面积勒索病毒等事件也说明了企业在安全方面的严重缺失。
据相关调研数据显示,仅有36.5%的工业企业认为自己的工控系统遭受网络攻击的可能性很大,57.4%的企业认为基本不会,甚至有6.1%的受调研企业认为,自己完全不会遭到工控网络攻击。
六方云总裁李江力表示,这主要是源于各企业对工业互联网安全的认知水平不一,有的企业是经历了安全威胁之后才引起重视,有的企业是根据工信部下发的文件进行着安全实践,还有一批没有接入网络的小型企业并没有工业互联网安全方面的考虑。
李江力坦言,国内的工业互联网平台企业超过500家,这些平台企业在设计时都会有安全因素的考虑,但不同的平台对安全的理解、设计实现与投入都不一样,整体看,工业互联网平台的安全防护能力还需要提高。
虽然做的工业安全的企业多越来越多,但是参差不齐的安全认知水平现象愈发严重。现如今,从事工业互联网安全的企业,大部分只重视信息安全,侧重于政府、金融行业等传统领域,但是关于工业领域的生产保护,却很少有企业专注。
奇安信工业互联网安全事业部产品总监王弢这样说,从调研结果可以看出,表示非常重视工业互联网安全的企业,仅为40.9%。近六成的企业表示较少重视或完全不关心。这也成为了国内工业互联网安全建设始终发展较慢的重要原因之一。
“软”安全里的“硬”实力
目前,工业互联网安全究竟做的怎么样?
经综合研判,数据显示,预计2020年我国工业信息安全市场增长率将达23.12%,市场整体规模将增长至122.81亿元。
图源:《2020-2021年度工业信息安全形势分析》
反观去年工业安全事件发生情况,据数据显示,我国2020年公开报道的工业信息安全事件约70件,装备制造、能源等行业为遭受网络攻击最严重领域,占比分别达到27%、22%;2020年新增工业控制系统安全漏洞数达682个,增长率为20%。其中高危漏洞272个,中危漏洞364个,中高危漏洞占比高达93.3%。
一般来说,工业信息安全产业规模和工业安全事件频呈反比,但是从实际数据上来看,在工业信息安全产业规模增长的同时,工业信息安全事件并没有减少反倒增加。
2020年3月,某大型化工集团发现多台服务器和主机文件被加密,遭受勒索病毒攻击;
8月,某大型煤矿集团一服务器发现感染挖矿蠕虫病毒,往同段其它服务器445以及6379端口发送大量感染数据包;严重影响正常业务的使用;
10月,某大型汽车制造企业重要服务器感染勒索病毒,导致业务系统无法正常运行;
华为安全架构师王雨晨坦言,“对于工业互联网安全来说,防不住是正常的,防住是偶然的。”
无论是传统IT安全还是工业互联网安全主要分为攻防两个方面,二者如同硬币的两面,哪一方面都不可或缺,因此才出现了“以攻促防”,“未知攻,焉知防”之类的金句。
但现实往往不尽如人意,实际上我们也只做到了前面一半,后一半则明显薄弱,最终成了“虎头蛇尾”,“强弩之末”。归根结底,安全问题本质是一场人才的较量。
有专业人士曾透露,目前,网络安全人才短缺问题日益突出,2020年缺口突破232%,缺口达140万,2021年缺口飙升至285%...现在安全人才在总数不够的前提下,防守人才更是极度匮乏,比例严重失调。
据奇安信发布的《2020工业互联网安全发展与实践分析报告》显示,仅有40.3%的企业设置了专职的工业网络安全部门或岗位;21.0%的企业表示正在规划,但现在没有专职负责人员;38.7%的企业即没有专职人员,也没有相关的安全规划。
华为安全架构师王雨晨认为,一方面,我国网络安全从业人员也就几万人,极度匮乏,而且他们都在重复做防火墙,态势感知,很少有人能掌握关键技术,都在做安全方面的应用。
另一方面,在人散小而全的安全人才架构下,安全防御理论和技术手段均处于初级阶段,在对抗威胁时,存在严重的攻防不对称现象。产业、产品的能力都远远不能应对威胁挑战的要求,在此种条件下,防不住是必然的。
工业数字化转型,缺少“主角”的光辉
失去工业互联网安全,工业数字化转型就失去了金钟罩。
“通过互联网就可以导致工业生产瘫痪,而且,当我们未来实现更深度的数字化转型,会更容易被攻击。”360集团首席安全官杜跃进博士这样说。
如今,工业互联网已成为工业制造业自动化、数字化、智能化转型的重要载体。在工业互联网与5G、大数据、人工智能等新一代信息技术的共同作用下,大量企业开始了数字化转型的探索。
工业数字化转型主要是通过IT与OT的充分融合来创造更大的价值,但正是二者的深度融合使工业的产业结构和体系建设发生了巨变,由此而来的“勒索事件”等安全“黑天鹅”情况在工业领域频发。
对于工业数字化转型面对的安全威胁,奇安信工业互联网安全事业部产品总监王弢这样解释,工业数字化转型中,个性化定制、网络化协同以及服务化延伸,生产连续性、可靠性以及核心数据都将面临更为严重的网络安全威胁。例如有制造企业生产系统联网后,大量计算机病毒涌入系统,导致大规模停产。
不言而喻,工业互联网安全建设的好坏,将直接影响工业数字化转型的快慢。
如果工业互联网安全没有建设好,一方面,遭受网络攻击不仅单个企业受损,还可延伸至全产业链、全价值链,引发大规模物理设备损坏、生产停滞,影响经济社会的稳定运行。另一方面,工业生产、设计、工艺、经营管理等敏感信息保护不当将损害企业核心利益、影响行业发展,重要工业数据泄露还将导致国家利益受损。
对此,六方云总裁李江力表示,工业互联网的本质与核心是利用信息化数字化手段提高工业生产效率,但信息化手段提升效率的同时也带来了安全隐患,保障信息安全是工业互联网业务发展的前提,没有安全就没有发展。
其实,国家早就认识到了工业互联网安全对工业数字化转型的重要性。近年来,相继下发了多部政策文件,以推进工业互联网安全综合保障能力提升工程,完善网络安全分类分级管理制度,提升工业企业本质安全水平。
任何一项产业的出现和发展,都少不了国家政策的支持,但是产业发展的好坏直接关乎着企业的经济效益,所以主体还是企业,在工业互联网安全领域亦是如此。
在奇安信工业互联网安全事业部产品总监王弢看来,工业互联网安全事件频发表明工业互联网领域的威胁越来越严重,黑产和黑客组织越来越多的关注到工业领域,主要原因在于企业工业互联网安全投入不足,不能有效面对威胁。
调研数据显示,国内相关企业在工业互联网安全方面的投入总体规模仍然较小。在工业互联网安全方面的年投入超过100万元的企业,不足被调研企业的三成,仅为27.6%。
华为安全架构师王雨晨认为,除了国家的政策引导和规范要求外,更重要的是企业要跟根据自身面临的安全威胁切实重视安全,加大安全投入,加强企业自身安全建设。
“工业互联网安全是工业化的基础,‘没有网络安全就没有国家安全’这句话对于工业数字化转型尤其重要。没有安全保障的工业数字化转型就是把万丈高楼建立在沙滩上,对整个工业化都是非常危险的。”
(雷锋网 雷锋网雷锋网)