第3章 哪些不属于下一代工业防火墙下列产品不属于下一代工业防火墙:1、增加工控安全防护功能模块的网络安全网关下一代工业防火墙要求实现OT/IT防护引擎一体化、OT/IT知识库一体化和OT/IT防护功能一体化,在传统网络防火墙如NGFW上面增加工控安全防护模块,无法适应OT/IT融合场景,也无法满足融合系统XIoT对防护措施的四高要求,因此不应当属于下一代工业防火墙。2、上一代工业防火墙上一代工业防火墙具有如下特性:(1)以工控指令白名单作为主要的网络安全防护手段(2)包过滤防火墙,更不是状态检测防火墙由于工控协议大多是四层通信协议,缺少会话层和传输层,简单包过滤就能够做到访问控制。因此上一代工业防火墙无法满足OT/IT融合场景下的网络安全防护要求。第4章 关联主题01. 工业互联网三大融合机制 工业互联网在推动工业数字化转型过程中,有3个企业主体、7类互联主体和9种互联类型,如图4-1所示,它们分别是:3个企业主体:工业制造企业、工业服务企业、互联网企业;7类互联主体:在制品、智能机器、工业控制系统、工业信息系统、智能产品、协作企业和用户;9种互联类型:机器与控制系统垂直互联、在制品与机器、在制品与工业信息系统/云平台、机器与机器之间横向互联、控制系统与信息系统/云平台、信息系统/云平台与用户、信息系统/云平台与外部协作企业、控制系统与外部协作企业、智能产品与工厂。 图4-1 工业互联网的3个企业主体、7类互联主体和9种互联类型示意图同时,工业互联网在推动工业数字化转型过程中呈现出三大融合机制:1、工业化与信息化深度融合;2、工业生产与互联网模式有机融合; 工业生产与互联网业务模式的融合体现为四大类:IT系统与互联网的融合、OT系统与互联网的融合、企业专网与互联网的融合、产品服务与互联网的融合。IT系统与互联网融合从网络层面来看是工厂内部IT网络向外网的延伸。企业将其IT系统(如企业资源计划(ERP)、客户关系管理系统(CRM)等)托管在互联网的云服务平台中,或利用软件即服务(SaaS)服务商提供的企业IT软件服务。目前美国的Autodesk、法国的达索,以及中国的数码大方等企业已经开始面向中小企业提供这类云服务。OT系统与互联网融合从网络层面看是OT系统网络向外网的延伸。在一些人力较难达到,且又需要实现生产过程调整和维护的场景下,需要通过可靠的互联网连接,实现远程的OT系统控制。目前沈阳机床厂的“i5”平台可以初步实现对不同地理位置机床的远程监测控制,就是这类服务的雏形,但不同的OT业务流对网络要求不同。目前互联网的质量对于时延、抖动、可靠性等有着极高要求的实时控制和同步实时控制还很难承载。企业专网与互联网融合是将在公众网络中为企业生成独立的网络平面,并可对带宽、服务质量等进行定制。这类业务场景不仅需要为企业提供独立的链路资源,还需要提供独立的网络资源控制能力,开放的网络可编程能力,以及定制化的网络资源(如带宽、服务质量等)。目前的互联网尚不支持此类业务场景,需要网络虚拟化及软件定义技术的进一步发展与部署。产品服务与互联网融合将通过智能工业产品的信息采集和联网能力为工业企业提供新的产品服务模式。目前IBM、微软、GE等公司纷纷推出各自的工业互联网数据分析平台,工业企业基于这些平台可以为用户提供产品监测、预测性维护等延伸服务,从而延长了工业生产的价值链。这类业务的基础是对海量产品的数据采集与监测,需要通过无线等技术实现工业产品的泛在接入。3、OT系统与IT系统主动融合 信息化与工业化的深度融合是实现工业数字化转型成功的前提条件,工业互联网是实现工业数字化转型成功的重要基础设施。工业互联网就是工业制造业与信息通信技术(ICT)产业的交叉领域,综合了工业制造、互联网、物联网的技术创新。 02. OT/IT融合趋势与融合安全 1、三类OT/IT融合 技术融合的想法并不新鲜。通过允许不同的技术作为单个内聚系统进行有效集成和互操作,企业通常可以提高效率、减少错误、降低成本、增强工作流并获得竞争优势。在IT领域的融合一直都在进行,比如IT融合基础设施的出现——后来演变为超融合基础设施。将传统上独立的服务器、存储、网络和管理工具合并为一个统一的、有凝聚力的集中管理产品。OT/IT融合的理念旨在将物理(OT)设备和设备带入数字(IT)领域。这是可能的,因为机器对机器通信技术在不断发展,安装在物理设备上的物联网传感器和执行器可以通过标准化网络协议进行无线通信,将每个物理系统的相关数据传回中央服务器进行监控和分析。然后,该分析的结果可以传回物理系统,以允许更自主的操作提高准确性,有利于维护并改善正常运行时间。流程融合:也叫工作流融合。IT和OT部门必须改革其流程,以相互适应,并确保重要信息得到同步,沟通和协作效率得到提升。系统融合:涉及业务网络架构的技术融合,比如需要实施新的工具来收集OT数据,并将OT和IT数据结合起来进行分析。物理融合:包括使用较新硬件进行融合或改装的物理设备,以适应在传统OT中添加IT。2、OT/IT融合优势 OT/IT融合可以在下列领域获得好处:(1)制造业:OT/IT融合使企业能够通过使用销售和库存数据来推动生产运营,从而提高成本和资源效率,优化设备和电力使用,同时最大限度地减少维护和未售出库存。(2)公用事业和能源:IT技术使OT团队能够远程访问操作数据,帮助石油、天然气和电力等行业优化工业设备检查,进行损坏评估,并处理库存监控和分配。(3)运输:资产管理是运输业的优先事项。将IT与OT集成可以帮助铁路、公共汽车、运输和其他运输组织更好地了解资产的协调、状况和使用情况,以指导短期维修、路线优化以及资产更换和安全的长期规划。(4)军事和执法:OT/IT融合可以帮助协调和快速部署资源,同时提供对关键设备状况和维护的更多了解。(5)通信和媒体:区域和全球通信提供商可以利用OT/IT融合来监督设备的性能和运行以及服务质量,从而更快地排除故障并提高用户满意度。(6)零售:使用物联网设备以及其他OT设备(如摄像头和POS设备),可以向IT提供更多数据进行分析,从而优化库存和销售场地,以节约成本,创造更好的收入和购物者体验。(7)医疗和制药:OT/IT集成允许更多医疗设备交换和共享患者信息以实现实时可见性,从而实现更好的患者分析和结果;同时,融合可以改善药品生产,提高和确保产品质量。如果从技术角度,OT/IT融合实现了更直接的控制和更全面的监控,更容易分析来自世界各地这些复杂系统的数据。这使员工能够更高效地完成工作并改进决策。相对独立的IT和OT来说, OT/IT融合带来如下好处:(1)IT部门和OT部门可以共享各自专业知识和技能,从而提高决策的质量;(2)物联网设备实现了预测性维护,降低了开发、运营和支持成本,减少计划外停机时间;(3)提高了对监管标准的遵从性,因为将IT添加到OT中可以实现更好的可见性、管理和审计;(4)提高分布式OT的自动化程度和可见性,因为OT能够传输实时维护数据;(5)更有效地利用能源和资源,因为OT系统可以更符合实际产品需求;(6)更高效的资产管理,因为所有IT和OT系统都是通过一种通用的方法来查看和管理。3、OT/IT融合途径 连接IT和OT的灰色地带是物联网设备。物联网设备包括各种传感器,用于收集真实世界的条件,如温度、压力和化学成分。物联网设备还包括一系列执行器,可将数字命令和指令转换为物理动作,如控制阀门和移动机构。每个物联网设备设计用于通过标准网络进行通信,允许它们与IT资源(服务器和存储)交换OT数据,有时甚至可以跨越相当长的距离。物联网,尤其是与边缘计算相结合时,能够实现OT/IT融合的IT部分。物联网设备是能够收集、传输和分析数据的网络计算设备。传统的OT设备(例如传感器)可以收集数据,但不能通过大型网络传输数据或对数据进行任何类型的深入分析。较新的智能传感器将能够从源(如工厂)收集数据,并将其传输到物联网中心或网关,然后将该信息传输到分析应用程序或企业资源规划软件平台,以集成到组织的统一业务运营系统中。当联网时,OT设备起到物联网设备的作用。如图4-2所示,将边缘计算能力添加到工业物联网(IIoT)设备中,可以实现更接近源的实时数据处理。物联网设备无需通过网络将数据发送到集中位置进行处理,而是可以分析对时间敏感的制造过程数据,并快速返回结果,以便在工业条件过时之前对其进行直接监控。这一点很重要,因为物联网和OT设备通常是分布式网络体系结构的一部分,使传输到中央处理位置变得困难或不可能——物联网是分布式或边缘计算背后的一项重要技术。 图4-2 边缘计算能力添加到工业物联网(IIoT)设备的示意图OT/IT融合可能会给物联网安全带来挑战。融合不仅仅是技术的融合,也是团队和流程的融合。OT的加入为安全环境带来了新的利益相关者。IT安全团队和流程必须结合工业环境的各种实时需求。例如,关闭智能电网几个小时以应用补丁或更改配置是不可能的。在其他情况下,OT系统可能比IT系统存在的时间长几十年,这就带来了需要考虑和缓解的额外安全风险。但OT系统不是为互联网连接而构建的,必须用物联网设备和适当的安全控制进行改装。4、OT/IT融合面临的挑战(1)技术层面的网络安全:许多操作技术系统从未为标准化通信或远程访问而设计,因此,没有考虑连接的风险。此类系统可能不会定期更新。此外,OT系统通常分布在户外,并且通常被用来维护关键基础设施。它们的分布式特性使得攻击面更大。OT系统的漏洞会使组织和关键基础设施面临工业间谍和破坏的风险。(2)管理层面的网络安全:人员在IT/OT安全中起着至关重要的作用。IT和OT团队的平行、有时相互冲突的角色和优先级为安全监督和漏洞留下了充足的机会,这可能会使适当的治理变得复杂。人们需要改变企业文化以支持OT/IT融合,建立实现融合所需的沟通和协作,并调整业务策略和工作流,以建立必要的安全配置和指导方针。通常,物联网计划不属于任何一个部门,新项目的沟通可能不会到达所有部门,尤其是在一个更加孤立的组织中。通常,OT部门对安全性的了解有限,对目前正在进行的项目的了解也有限。这可能会与物联网部署造成危险的安全差距。(3)流程融合:组织可能难以重组以前孤立的IT和OT部门,以管理和操作新的融合技术。(4)缺乏OT/IT复合型人才:OT人对IT技术和网络技术了解较少,而且跨OT与IT的学习课程、标准都较少。(5)与现有系统集成:可能不用IT技术使现有OT现代化,这就享受不了融合所带来的成本效率。5、OT/IT融合系统四大特征OT系统与IT系统走向融合,体现为四化:IP化、扁平化、无线化和软件定义化。(1)IP化:指OT网络的IP化,以实现从机器设备到IT系统的端到端IP互联,进而实现整个制造系统更大范围、更深层次的数据交互与协同。IP网络是目前互联网和企业信息系统普遍采用的网络技术,通过“IP到底”实现工业生产全过程信息采集是合理的技术选择。目前以PROFINET、Ethernet/IP等为代表的工业以太网协议已经支持为现场设备分配IP地址,并可以实现IP流量与控制信息的共线传送。(2)扁平化:是减少工厂内数据传送的层级,实现工业数据在生产现场和IT系统间的快速流通,并支持实时或准实时的数据分析与决策反馈,从而实现智能化生产。扁平化有两层含义:一是OT层面的扁平化,将传统上现场级、车间级、控制级等复杂分层的OT网络统一为扁平化的二层网络;二是IT、OT的融合化,通过业务网关类设备实现IT层和OT层的数据融合互通。(3)无线化:是利用各种无线技术支持工厂内更加广泛的信息采集与传送,消除工厂内的“信息死角”。目前传统的2G/3G/LTE、WiFi及zigbee等无线技术已经逐步在工业互联中获得一定规模的应用;同时针对于工业场景的工业无线技术也开始出现,如WIA-PA、WirelessHART及ISA100.11a等。但工业无线的应用总体还处于初期阶段,实际应用部署较少,且主要在流程工业领域。随着工业互联网的发展,工业无线技术将逐步成为有线网络的重要补充,但还需要解决电磁信道干扰、低功耗、可靠性等关键问题。5G技术在场景设计中已经考虑到低功耗、大连接、高可靠的物联网应用场景,未来可能在工业无线领域发挥更大作用。(4)软件定义化:是面向柔性生产的需要,通过网络资源的动态调整,实现生产过程的灵活组织及生产设备的“即插即用”。目前的工业生产(主要指离散工业)基本上都是“刚性生产”模式,其互联网络也是“刚性网络”,制造环节中机器、设备、辅助工具等需要按照预先的设定进行互联。未来工业生产大规模定制化的特点需要资源组织更加灵活,更加智能,以软件定义网络(SDN)为基础的新型网络技术可实现网络资源的动态调整,打破工厂内部网络刚性组织的局限,适应智能机器自组织和生产线敏捷部署的要求。6、OT/IT融合安全OT/IT融合安全包括两方面,一方面是OT/IT融合后的系统XIoT所面临的安全风险如何解决,另一方面是OT/IT融合后对安全解决方案提出的新要求。OT/IT融合面临四大主要安全威胁:(1)缺乏协作:IT和OT团队很少合作,这可能导致安全疏忽,从而增加复杂性、重复工作、增加运营成本并暴露攻击者可以利用的安全漏洞。为了确保安全,不同的团队必须以过去几年中可能不必要甚至不可能的方式进行协作和沟通。(2)遗留OT系统:当IT系统的使用寿命很少超过五年时,OT系统的生命周期可能长达几十年。此类遗留系统通常很少(如果有的话)包含安全功能,并且由于专有设计或协议而无法升级。必须评估每个融合系统的安全性,不能支持安全需求的系统可能需要新的或更新的OT设备。(3)可视化不足:它通常依赖于资产发现和配置来提供所管理环境的清晰和完整图片。OT系统必须能够共享此环境,并提供可发现性、远程配置和管理。如果管理员看不到OT设备,则无法保护和管理该设备。这种差距可能导致安全漏洞。(4)生产优先:OT生产系统通常需要全天候运行,如果没有重大的收入损失或物理风险,就不能暂停或关闭以进行升级或更新。想象一下关闭医疗生命支持设备进行更新。组织可能会忽视潜在的安全漏洞,因为他们无法承担修复风险所需的停机成本。 03. 四类工控网络入侵攻击技术 在工控ATT&CK矩阵里面总结了各种针对工控网络入侵攻击的技术,如图4-3所示,可以分为四类:侦查攻击、响应和测量注入、命令注入和拒绝服务。 图4-3 工控网络入侵攻击的技术分类图1、侦查攻击 侦查攻击:收集控制系统网络信息,映射网络架构,并识别设备特征,如制造商、型号、支持的网络协议、系统地址和系统内存映射。2、响应和测量注入响应和测量注入:许多工业控制系统网络协议缺乏验证数据包来源的身份验证功能。这使得攻击者能够捕获、修改和转发包含传感器读取值的响应数据包。工业控制系统协议通常也会将第一个响应数据包带到查询,并将后续响应视为错误而拒绝。这使得能够精心设计响应数据包,并在客户端预期响应时使用定时攻击将响应注入网络。响应注入攻击有3种形式。首先,响应注入攻击可能源于对可编程逻辑控制器或远程终端单元的控制,网络端点是响应网络客户端查询的服务器。其次,响应注入攻击可以捕获网络数据包并在从服务器到客户端的传输过程中更改内容。最后,响应注入可以由网络中的第三方设备制作和传输。在这种情况下,响应可能有多个对客户端查询的响应,而无效响应可能由于利用竞争条件或二次攻击(如阻止真正服务器响应的拒绝服务攻击)而被采用。3、命令注入攻击命令注入攻击:将错误的控制和配置命令注入控制系统。攻击者可能试图向控制系统网络中注入虚假的监控操作。远程终端和智能电子设备通常被编程为直接在远程站点自动监控物理过程。该编程采用梯形逻辑、C代码和寄存器的形式,这些寄存器保存关键控制参数,如高限和低限阈值。攻击者可以使用命令注入攻击来覆盖梯形图逻辑、C代码和远程终端寄存器设置。恶意命令注入的潜在影响包括中断过程控制、中断设备通信、未经授权修改设备配置和未经授权修改过程设定值。由于许多工业控制系统网络协议缺乏验证数据包来源的身份验证功能。这使攻击者能够捕获和更改命令包。此外,攻击者可以手工制作原始命令包,并将其直接注入控制系统网络。命令注入攻击分为三类;恶意状态命令注入(MSCI)攻击、恶意参数命令注入(MPCI)和恶意功能代码注入(MFCI)。4、拒绝服务拒绝服务:针对工业控制系统的拒绝服务(DOS)攻击试图停止网络物理系统某些部分的正常功能,以有效禁用整个系统。因此,DOS攻击可能以网络系统或物理系统为目标。针对网络系统的DOS攻击以通信链路为目标,或试图禁用在控制系统、系统端点上运行的程序。针对物理系统的DOS攻击从手动打开或关闭阀门、破坏、阻止操作的物理过程。