基于主動防御的電子制造基地安全方案
1、 項目概況
1. 項目背景
該電子制造企業既有自己的工廠又有眾多的外協工廠,且外協工廠分布式在全世界多個國家。目前該企業已經實現“云上辦公”和“生產管理系統上云”,企業各園區之間采用企業專網進行通信,生產基地和外協廠基本上通過租借的專網進行通信,部分供應商采用TLS VPN進行通信,廠區內部還根據不同的應用場景采用不同的通信方式,除了有線通信之外,還有WiFi 和eLTE等無線通信方式,工廠和外協工廠之間通過該企業的云平臺實現生產協同
正是企業制造智能化和管理IT化的水平比較高, 使其制造業務的面臨安全挑戰非常大,且制造業務的安全要求和公司的通用IT安全要求有所不同,前者重點是保障業務的連續性和可靠性,后者重點是確保數據的安全性和可控性。因此制造業務部門在基于公司通用的IT安全部署和安全管理之上,提出制造基地獨立的安全防護體系和安全管理機制。
2. 項目簡介
該電子制造基地的安全實施,以保證業務連續性為目標,采取管理約束和技術保證雙管齊下的策略,根據生產實際述求,本著先改造IT后增強OT的安全實施理念,提出了被動的靜態防御和主動防御相結合的安全部署方式, 通過嚴格的安全隔離和訪問控制機制等傳統的靜態防御手段,為生產基地構建獨立的網絡安全防護圍墻;在此基礎上,引入主動防御的安全工具,通過先進的安全防御工具,來彌補攻防的不對稱問題,提高應對未知威脅的反應能力和預警能力,確保工控系統運行環境的安全性。
3. 項目目標
項目的安全目標是確保業務的連續性,避免因攻擊事件造成生產線的停機。項目安全方案的前提條件是不對工控系統的可用性、實時性和可靠性產生任何影響,制造基地的數據安全保護已經由公司的云平臺安全保護體系進行保護,不在本項目考慮之內。
目在增強傳統的靜態防御手段基礎上,采用“先提高IT免疫力,后增強OT安全”的思想,分兩期部署主動安全防御系統:第一期主要給制造基地IT網絡和OT邊緣區增加主動防御,建立數據交換區來隔離安全風險,車間內的數據以安全監控為主;第二期,將主動防御系統的行為建模能力擴展到OT網絡和工業協議,實現OT、IT和CT網絡的全方位監控。通過這兩期的安全方案部署,加強了網絡安全縱深防御和聯動協防能力,建立有效應對APT攻擊防御的全網協同的智能“自我免疫”的安全防御體系,實現對全網威脅的態勢感知。實現網絡安全“智能檢測”、“智能處置”和“智能運維”,從被動、單點防御到主動、整網防御,從人工運維到智能運維。
二、項目實施概況
1.項目的面臨的挑戰和對策
? 主要挑戰
終端安全手段難以部署,停機維護不可接受;生產線無人值守,工控設備高自動低智能;生產網絡是專用的封閉系統,與外部情報共享不方便;另外面對APT高級持續威脅和WannaCry等這種新型勒索病毒,傳統單點和靜態防護手段常常束手無策,等到攻擊事件爆發時才知道已經為時已。
? 應對策略
采用不依賴終端的網絡旁路部署方案;威脅檢測不依賴威脅情報,而是基于AI和業務環境自適應的智能檢測與響應技術;通過建立數據交換區,最大限度避免外部攻擊和威脅直接進入生產網,部署誘捕網絡,與智能檢測與響應系統進行聯動,提高對未知威脅的攻擊意圖分析能力和全網的動態安全響應能力。
2. 項目總體架構和主要安全部署策略
項目采用靜態安全防護和主動安全防御相結合的方案,安全解決總體解決方案示意圖如圖1所示,項目采取下面的安全部署策略:
? 多層次的安全隔離措施:在企業的大專網中,劃分一個生產專網,將辦公網絡和生產網絡區分開,在生產網絡中再進一步劃分若干個子網;生產區根據設備和業務特點,劃分不同安全區域,每個區域對應一個網絡子網。通過嚴格的安全隔離措施,來彌補工控系統自身防護能力弱的問題。
? 嚴格的網絡訪問控制:每個子網分配私有IP地址段,子網之間通信需要通過網關進行訪問控制;設備接入生產大專網時,采用設備和用戶的雙因子鑒權機制,設備需要先通過云的合規性和殺毒檢測等常規性健康檢查之外,進入生產區還需要進行未知威脅的檢測;各生產子網的訪問權限由云平臺統一管理,實現全局訪問監控。
? 定義數據交換的專門安全隔離區域:在生產大網前面,專門設計一個安全隔離區,作為OT網絡和IT網絡之間的數據交換的唯一場所,也是新來的設備和文件進入OT網絡前的健康檢查區域,設立該安全隔離區目的是盡量將外部攻擊阻止在該隔離區,避免其進入OT網絡。
? 部署主動防御系統:在保留原有的防火墻和IDS的安全能力上,疊加一個動態的安全防護系統,來提高安全檢測和響應能力,并在安全隔離區專門設立一個誘捕網絡,通過誘捕網絡來分析攻擊意圖
?
圖1 主動防御系統的部署總體示意圖
3方案的關鍵組件
該項目的主動安全防御方案均采用華為的安全產品進行部署,關鍵組件之間的關系如圖2所示:
圖1 主動防御系統各組件之間關系圖
? CIS:基于AI技術的智能安全分析器,通過檢測探針上報的流量特征和日志、終端行為等數據分析,識別未知威脅,并聯動安全控制器下發安全策略
? SecoManager:智能的安全控制,實現安全設備和網絡設備的統一調度,提高全網聯動能力,安全控制器接受安全分析器的安全處置措施,編排成為設備可執行的策略,并自動下發給安全執行器進行執行,是全網的主動防御系統的安全資源調配中心。
? 安全執行器,包含防火墻和IPS,一方面向分析器提供安全分析的數據輸入,另一方面接收控制器下發的具體指令,執行安全策略的實施,實現安全處置閉環,同時對接CIS,實現本地信譽升級。
? 探針:流量探針部署在各子網關口處和網絡邊界處,探測流量的行為特征和用戶行為,日志探針采集交換機、防火墻和IPS的安全日志,并上報CIS。
? 沙箱:檢測未知的惡意代碼,與防火墻和IPS具備聯動功能,防火墻和IPS從流量中提取可疑文件,送到沙箱檢測。 所有新文件和新設備都需要進行沙箱檢測。
? 網絡誘捕系統:向攻擊者呈現虛假資源,誘導攻擊,把攻擊引入蜜罐,與攻擊者交互,通過某些技術手段,確認攻擊意圖,以便采取對應措施。
? 堡壘機:對各種資源的帳號、認證、授權和審計的集中管理和控制,部署在安全隔離區,所有對生產區的設備運維,都需要堡壘機進行集中管控。
4.方案部署的關鍵要點
1.對原有的防火墻和IPS進行升級,在保留原有的安全防護能力基礎上,使其能支持與安全分析器、安全控制器和沙箱等進行聯動,成為安全執行器。
2、所有子網的邊界處部署流量探針,防火墻、IPS、路由器和交換機部署日志探針。
3. 在安全隔離區安全部署一臺CIS和SecoManager,CIS和生產區內外的探針進行對接,并和SecoManager進行聯動,由SecoManager來統一調配安全隔離區和邊界處的安全資源。
4.在安全隔離區部署專門的誘捕網絡,禁止在生產網絡的系統中安裝TeamViewer等遠程控制軟件,所有生產網絡和外部網絡的數據和文件都需要經過誘捕網絡。
4.在安全隔離區專門部署文件交換服務器,同時部署沙箱,所有文件進入生產網絡之前,需要先經過常規IT檢測、誘捕網絡和沙箱的檢測,然后才能上載在文件交換服務器,只有經過安全檢測的設備才能在文件交換服務器進行下載。
5. 在安全隔離區部署堡壘機和跳板機,通過跳板實現,外部的運維方對生產區進行運維時,需要先經過跳板機,登錄到堡壘機進行用戶行為審計,然后才能運維生產設備。
5.方案的應用
? 場景1:U盤管理/文件傳輸時的安全保障
如圖3所示,U盤拷入文件服務器的文件需經過主機病毒掃描,網絡防火墻病毒掃描,沙箱未知病毒、木馬程序掃描,同時經過漏洞掃描系統漏掃測試。在文件傳輸過程還要經過誘捕系統進行誘捕異常掃描、嗅探偵測網絡行為的檢測。
圖3 U盤和文件的傳輸管理時的安全保障
? 場景2:外來供應商運維管理或者外來電腦管理
如圖4所示,外來廠家的運維管理,首先要登錄到數據交互區的跳板機,通過跳板機再登錄堡壘機,運維人員行為經過堡壘機審計,對于非法遠程控制軟件行為進行禁止。
圖4 設備運維時的安全保障
? 場景3,新機臺接入網絡的安全保障
如圖5所示,新機臺接入生產區之前需要先接入數據交互區,機臺潛伏的病毒經過數據交換區的異常流量檢測模型,誘捕系統識別并控制在數據交換區;在數據交互區48小時后,檢測異常或者學習到正常基線,無風險的機臺正式接入生產網絡區。
圖5,新設備加入生產區的安全保障
? 場景4,機臺和設備的準入控制
為了防止假冒機臺和設備接入網絡,或者為經過健康檢查的設備和機臺非法接入網絡,需要進行準入控制,新設備在數據隔離區48小時后,需要經過準入控制檢查后才能接入生產區。
如圖6所示,部署網絡安全準入系統做終端和機臺的準入控制,終端、機臺接入前的健康度檢查、補丁安裝巡檢、合規檢測等。各設備接入準入系統時,需要強制進行漏洞修復,對于特定終端,如啞終端,無法進行正常的健康檢查,由準入系統進行白名單檢查。
圖6,設備的準入安全控制。
? 場景5,生產區間的行為檢查和隔離措施
新機臺之間有相互感染風險,一臺機臺感染病毒,會傳播到其他機臺,攻擊者會利用機臺已知漏洞進行攻擊。
如圖7所示,機臺之間通過交換機Muxvlan技術進行隔離,不需要傳輸數據的機臺之間進行隔離;需要進行交互的機臺交互數據通過防火墻進行隔離,通過漏洞檢測和防護,過濾已知漏洞。
圖7,生產區的設備的隔離措施
三、下一步實施計劃
1. 將主動防御系統進一步延伸到OT網絡中,主動防御系統的行為建模能力擴展到OT網絡和工業協議。
2.推廣該安全實踐經驗和解決方案,將方案推廣到其他行業的制造基地,目前已經和某芯片先進制造企業進行聯合研究,將方案部署到其芯片制造基地
四、項目創新點和實施效果
1. 項目先進性及創新點
? 首創提出安全隔離區是新文件和新設備進入生產區OT網絡的唯一通道。
? 基于AI建立行為基線,檢測未知攻擊,通過構建安全威脅態勢感知、安全策略智能管理和網絡誘捕系統,形成“三位一體”的主動防御體系,提高未知威脅感知能力和響應能力;
? 無需對現有網絡和設備進行大規模改造,主動防御體系不影響現有生產網數據通信,項目方案可以復制性強,可以復制到其他行業的生產基地。
2. 實施效果
安全方案全面覆蓋了工業互聯網TOP10安全風險,具體風險處置應對措施如下:
No. | 安全風險 | 應對方案 | 殘余風險 | |
1 | 外來U盤帶入病毒風險,供應商或者員工使用U盤拷貝文件,容易遭受病毒或擺渡攻擊,將威脅帶入IT或OT網絡。 | 所有U盤數據只能先拷貝到安全隔離區,通過沙箱對已知和未知威脅檢測通過后才能傳入IT或OT網絡 | 有病毒漏報風險,如有漏報,還有事中檢測的方案 | |
2 | 外來電腦帶入病毒風險,供應商或者第三方運維人員通過外來便攜電腦直接接入網絡,將威脅帶入IT或OT網絡。 | 所有外來電腦只能接入安全隔離區,通過安全健康檢查后才能使用 | 有病毒漏報風險,如有漏報,還有事中檢測的方案 | |
3 | 新機臺帶入病毒風險,供應商新機臺存在病毒,接入OT網絡后擴散到整個網絡。 | 供應商的新機臺需要接入安全隔離區運行規定時間(通常建議三個月),確認安全無毒之后才能正式切換到直接接入OT網絡 | 可能存在長時間潛伏的威脅,還有事中檢測的方案 | |
4 | 雙網卡辦公電腦風險,辦公人員為了方便,同一臺電腦同時接入IT和OT網絡,容易成為跳板攻擊OT網絡。 | 禁止采用雙網卡同時接入IT和OT網絡,應通過遠程桌面連接到部署在IT網絡的桌面云進行日常辦公操作 | 可能存在漏網之魚,還有事中檢測的方案 | |
5 | 工控操作系統老舊風險,工控計算機所使用的系統多為Windows或Linux的早期版本,存在漏洞容易被攻擊。 | 在網關防火墻處針對OS已知漏洞部署IPS規則(虛擬補丁),防范跨防火墻針對已知漏洞發動的網絡攻擊 | 可能IPS規則庫更新不及時,如條件允許可考慮及時升級補丁 | |
6 | 工控軟件系統老舊風險,現網多數工控軟件系統版本老舊,存在漏洞容易被攻擊 | 在網關防火墻處針對OS已知漏洞部署IPS規則(虛擬補丁),防范跨防火墻針對已知漏洞發動的網絡攻擊 | 可能IPS規則庫更新不及時,如條件允許可考慮及時升級補丁 | |
7 | 運維人員特權操作風險,運維人員誤操作、違規操作或惡意操作易導致系統異常或敏感信息泄露等問題,難回溯。 | 在特定區域接入安全隔離區,通過登錄部署在安全隔離區的堡壘機對OT網絡設備進行運維操作 | 可能存在無需登錄堡壘機也能運維的情況,如果存在需要優化安全策略 | |
8 | 裝遠程控制軟件風險,在系統中安裝TeamViewer等遠程控制軟件,容易繞過邊界安全防護措施,帶來安全風險。 | 原則上禁止在OT網絡的系統中安裝TeamViewer等遠程控制軟件,避免繞過邊界安全防護措施,帶來安全風險;如需遠程運維,建議采用VPN接入安全隔離區,通過登錄堡壘機對網內設備進行運維操作 | 可能存在漏網之魚,可以可考慮在相應邊界防火墻設置策略阻斷相關遠程連接端口 | |
9 | 缺乏合理安全區域風險,生產區網絡沒有劃分合理的安全區域并實施邊界保護,病毒一旦爆發波及整個網絡。 | 將安全區域劃分為最小單位(推薦以一個車間為單位),有病毒入侵時將威脅控制在特定區域,防止整網擴散 | 區域劃分最小顆粒但還是擴散風險,但還有事中檢測方案 | |
10 | 來自外部網絡攻擊風險,合作伙伴網絡受攻擊后,做為跳板攻擊IT或者OT網絡。 | 在與合作伙伴外部網絡互聯的邊界部署防火墻、IPS、網絡探針和誘捕系統實現該區域邊界保護 | 可能存在安全策略配置不到位風險,建議定期評估安全策略有效性 |
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號