1、 項目概況
1. 項目背景
該電子制造企業(yè)既有自己的工廠又有眾多的外協(xié)工廠,且外協(xié)工廠分布式在全世界多個國家。目前該企業(yè)已經(jīng)實現(xiàn)“云上辦公”和“生產(chǎn)管理系統(tǒng)上云”,企業(yè)各園區(qū)之間采用企業(yè)專網(wǎng)進行通信,生產(chǎn)基地和外協(xié)廠基本上通過租借的專網(wǎng)進行通信,部分供應(yīng)商采用TLS VPN進行通信,廠區(qū)內(nèi)部還根據(jù)不同的應(yīng)用場景采用不同的通信方式,除了有線通信之外,還有WiFi 和eLTE等無線通信方式,工廠和外協(xié)工廠之間通過該企業(yè)的云平臺實現(xiàn)生產(chǎn)協(xié)同
正是企業(yè)制造智能化和管理IT化的水平比較高, 使其制造業(yè)務(wù)的面臨安全挑戰(zhàn)非常大,且制造業(yè)務(wù)的安全要求和公司的通用IT安全要求有所不同,前者重點是保障業(yè)務(wù)的連續(xù)性和可靠性,后者重點是確保數(shù)據(jù)的安全性和可控性。因此制造業(yè)務(wù)部門在基于公司通用的IT安全部署和安全管理之上,提出制造基地獨立的安全防護體系和安全管理機制。
2. 項目簡介
該電子制造基地的安全實施,以保證業(yè)務(wù)連續(xù)性為目標,采取管理約束和技術(shù)保證雙管齊下的策略,根據(jù)生產(chǎn)實際述求,本著先改造IT后增強OT的安全實施理念,提出了被動的靜態(tài)防御和主動防御相結(jié)合的安全部署方式, 通過嚴格的安全隔離和訪問控制機制等傳統(tǒng)的靜態(tài)防御手段,為生產(chǎn)基地構(gòu)建獨立的網(wǎng)絡(luò)安全防護圍墻;在此基礎(chǔ)上,引入主動防御的安全工具,通過先進的安全防御工具,來彌補攻防的不對稱問題,提高應(yīng)對未知威脅的反應(yīng)能力和預警能力,確保工控系統(tǒng)運行環(huán)境的安全性。
3. 項目目標
項目的安全目標是確保業(yè)務(wù)的連續(xù)性,避免因攻擊事件造成生產(chǎn)線的停機。項目安全方案的前提條件是不對工控系統(tǒng)的可用性、實時性和可靠性產(chǎn)生任何影響,制造基地的數(shù)據(jù)安全保護已經(jīng)由公司的云平臺安全保護體系進行保護,不在本項目考慮之內(nèi)。
目在增強傳統(tǒng)的靜態(tài)防御手段基礎(chǔ)上,采用“先提高IT免疫力,后增強OT安全”的思想,分兩期部署主動安全防御系統(tǒng):第一期主要給制造基地IT網(wǎng)絡(luò)和OT邊緣區(qū)增加主動防御,建立數(shù)據(jù)交換區(qū)來隔離安全風險,車間內(nèi)的數(shù)據(jù)以安全監(jiān)控為主;第二期,將主動防御系統(tǒng)的行為建模能力擴展到OT網(wǎng)絡(luò)和工業(yè)協(xié)議,實現(xiàn)OT、IT和CT網(wǎng)絡(luò)的全方位監(jiān)控。通過這兩期的安全方案部署,加強了網(wǎng)絡(luò)安全縱深防御和聯(lián)動協(xié)防能力,建立有效應(yīng)對APT攻擊防御的全網(wǎng)協(xié)同的智能“自我免疫”的安全防御體系,實現(xiàn)對全網(wǎng)威脅的態(tài)勢感知。實現(xiàn)網(wǎng)絡(luò)安全“智能檢測”、“智能處置”和“智能運維”,從被動、單點防御到主動、整網(wǎng)防御,從人工運維到智能運維。
二、項目實施概況
1.項目的面臨的挑戰(zhàn)和對策
? 主要挑戰(zhàn)
終端安全手段難以部署,停機維護不可接受;生產(chǎn)線無人值守,工控設(shè)備高自動低智能;生產(chǎn)網(wǎng)絡(luò)是專用的封閉系統(tǒng),與外部情報共享不方便;另外面對APT高級持續(xù)威脅和WannaCry等這種新型勒索病毒,傳統(tǒng)單點和靜態(tài)防護手段常常束手無策,等到攻擊事件爆發(fā)時才知道已經(jīng)為時已。
? 應(yīng)對策略
采用不依賴終端的網(wǎng)絡(luò)旁路部署方案;威脅檢測不依賴威脅情報,而是基于AI和業(yè)務(wù)環(huán)境自適應(yīng)的智能檢測與響應(yīng)技術(shù);通過建立數(shù)據(jù)交換區(qū),最大限度避免外部攻擊和威脅直接進入生產(chǎn)網(wǎng),部署誘捕網(wǎng)絡(luò),與智能檢測與響應(yīng)系統(tǒng)進行聯(lián)動,提高對未知威脅的攻擊意圖分析能力和全網(wǎng)的動態(tài)安全響應(yīng)能力。
2. 項目總體架構(gòu)和主要安全部署策略
項目采用靜態(tài)安全防護和主動安全防御相結(jié)合的方案,安全解決總體解決方案示意圖如圖1所示,項目采取下面的安全部署策略:
? 多層次的安全隔離措施:在企業(yè)的大專網(wǎng)中,劃分一個生產(chǎn)專網(wǎng),將辦公網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)區(qū)分開,在生產(chǎn)網(wǎng)絡(luò)中再進一步劃分若干個子網(wǎng);生產(chǎn)區(qū)根據(jù)設(shè)備和業(yè)務(wù)特點,劃分不同安全區(qū)域,每個區(qū)域?qū)?yīng)一個網(wǎng)絡(luò)子網(wǎng)。通過嚴格的安全隔離措施,來彌補工控系統(tǒng)自身防護能力弱的問題。
? 嚴格的網(wǎng)絡(luò)訪問控制:每個子網(wǎng)分配私有IP地址段,子網(wǎng)之間通信需要通過網(wǎng)關(guān)進行訪問控制;設(shè)備接入生產(chǎn)大專網(wǎng)時,采用設(shè)備和用戶的雙因子鑒權(quán)機制,設(shè)備需要先通過云的合規(guī)性和殺毒檢測等常規(guī)性健康檢查之外,進入生產(chǎn)區(qū)還需要進行未知威脅的檢測;各生產(chǎn)子網(wǎng)的訪問權(quán)限由云平臺統(tǒng)一管理,實現(xiàn)全局訪問監(jiān)控。
? 定義數(shù)據(jù)交換的專門安全隔離區(qū)域:在生產(chǎn)大網(wǎng)前面,專門設(shè)計一個安全隔離區(qū),作為OT網(wǎng)絡(luò)和IT網(wǎng)絡(luò)之間的數(shù)據(jù)交換的唯一場所,也是新來的設(shè)備和文件進入OT網(wǎng)絡(luò)前的健康檢查區(qū)域,設(shè)立該安全隔離區(qū)目的是盡量將外部攻擊阻止在該隔離區(qū),避免其進入OT網(wǎng)絡(luò)。
? 部署主動防御系統(tǒng):在保留原有的防火墻和IDS的安全能力上,疊加一個動態(tài)的安全防護系統(tǒng),來提高安全檢測和響應(yīng)能力,并在安全隔離區(qū)專門設(shè)立一個誘捕網(wǎng)絡(luò),通過誘捕網(wǎng)絡(luò)來分析攻擊意圖
?
圖1 主動防御系統(tǒng)的部署總體示意圖
3方案的關(guān)鍵組件
該項目的主動安全防御方案均采用華為的安全產(chǎn)品進行部署,關(guān)鍵組件之間的關(guān)系如圖2所示:
圖1 主動防御系統(tǒng)各組件之間關(guān)系圖
? CIS:基于AI技術(shù)的智能安全分析器,通過檢測探針上報的流量特征和日志、終端行為等數(shù)據(jù)分析,識別未知威脅,并聯(lián)動安全控制器下發(fā)安全策略
? SecoManager:智能的安全控制,實現(xiàn)安全設(shè)備和網(wǎng)絡(luò)設(shè)備的統(tǒng)一調(diào)度,提高全網(wǎng)聯(lián)動能力,安全控制器接受安全分析器的安全處置措施,編排成為設(shè)備可執(zhí)行的策略,并自動下發(fā)給安全執(zhí)行器進行執(zhí)行,是全網(wǎng)的主動防御系統(tǒng)的安全資源調(diào)配中心。
? 安全執(zhí)行器,包含防火墻和IPS,一方面向分析器提供安全分析的數(shù)據(jù)輸入,另一方面接收控制器下發(fā)的具體指令,執(zhí)行安全策略的實施,實現(xiàn)安全處置閉環(huán),同時對接CIS,實現(xiàn)本地信譽升級。
? 探針:流量探針部署在各子網(wǎng)關(guān)口處和網(wǎng)絡(luò)邊界處,探測流量的行為特征和用戶行為,日志探針采集交換機、防火墻和IPS的安全日志,并上報CIS。
? 沙箱:檢測未知的惡意代碼,與防火墻和IPS具備聯(lián)動功能,防火墻和IPS從流量中提取可疑文件,送到沙箱檢測。 所有新文件和新設(shè)備都需要進行沙箱檢測。
? 網(wǎng)絡(luò)誘捕系統(tǒng):向攻擊者呈現(xiàn)虛假資源,誘導攻擊,把攻擊引入蜜罐,與攻擊者交互,通過某些技術(shù)手段,確認攻擊意圖,以便采取對應(yīng)措施。
? 堡壘機:對各種資源的帳號、認證、授權(quán)和審計的集中管理和控制,部署在安全隔離區(qū),所有對生產(chǎn)區(qū)的設(shè)備運維,都需要堡壘機進行集中管控。
4.方案部署的關(guān)鍵要點
1.對原有的防火墻和IPS進行升級,在保留原有的安全防護能力基礎(chǔ)上,使其能支持與安全分析器、安全控制器和沙箱等進行聯(lián)動,成為安全執(zhí)行器。
2、所有子網(wǎng)的邊界處部署流量探針,防火墻、IPS、路由器和交換機部署日志探針。
3. 在安全隔離區(qū)安全部署一臺CIS和SecoManager,CIS和生產(chǎn)區(qū)內(nèi)外的探針進行對接,并和SecoManager進行聯(lián)動,由SecoManager來統(tǒng)一調(diào)配安全隔離區(qū)和邊界處的安全資源。
4.在安全隔離區(qū)部署專門的誘捕網(wǎng)絡(luò),禁止在生產(chǎn)網(wǎng)絡(luò)的系統(tǒng)中安裝TeamViewer等遠程控制軟件,所有生產(chǎn)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的數(shù)據(jù)和文件都需要經(jīng)過誘捕網(wǎng)絡(luò)。
4.在安全隔離區(qū)專門部署文件交換服務(wù)器,同時部署沙箱,所有文件進入生產(chǎn)網(wǎng)絡(luò)之前,需要先經(jīng)過常規(guī)IT檢測、誘捕網(wǎng)絡(luò)和沙箱的檢測,然后才能上載在文件交換服務(wù)器,只有經(jīng)過安全檢測的設(shè)備才能在文件交換服務(wù)器進行下載。
5. 在安全隔離區(qū)部署堡壘機和跳板機,通過跳板實現(xiàn),外部的運維方對生產(chǎn)區(qū)進行運維時,需要先經(jīng)過跳板機,登錄到堡壘機進行用戶行為審計,然后才能運維生產(chǎn)設(shè)備。
5.方案的應(yīng)用
? 場景1:U盤管理/文件傳輸時的安全保障
如圖3所示,U盤拷入文件服務(wù)器的文件需經(jīng)過主機病毒掃描,網(wǎng)絡(luò)防火墻病毒掃描,沙箱未知病毒、木馬程序掃描,同時經(jīng)過漏洞掃描系統(tǒng)漏掃測試。在文件傳輸過程還要經(jīng)過誘捕系統(tǒng)進行誘捕異常掃描、嗅探偵測網(wǎng)絡(luò)行為的檢測。
圖3 U盤和文件的傳輸管理時的安全保障
? 場景2:外來供應(yīng)商運維管理或者外來電腦管理
如圖4所示,外來廠家的運維管理,首先要登錄到數(shù)據(jù)交互區(qū)的跳板機,通過跳板機再登錄堡壘機,運維人員行為經(jīng)過堡壘機審計,對于非法遠程控制軟件行為進行禁止。
圖4 設(shè)備運維時的安全保障
? 場景3,新機臺接入網(wǎng)絡(luò)的安全保障
如圖5所示,新機臺接入生產(chǎn)區(qū)之前需要先接入數(shù)據(jù)交互區(qū),機臺潛伏的病毒經(jīng)過數(shù)據(jù)交換區(qū)的異常流量檢測模型,誘捕系統(tǒng)識別并控制在數(shù)據(jù)交換區(qū);在數(shù)據(jù)交互區(qū)48小時后,檢測異常或者學習到正常基線,無風險的機臺正式接入生產(chǎn)網(wǎng)絡(luò)區(qū)。
圖5,新設(shè)備加入生產(chǎn)區(qū)的安全保障
? 場景4,機臺和設(shè)備的準入控制
為了防止假冒機臺和設(shè)備接入網(wǎng)絡(luò),或者為經(jīng)過健康檢查的設(shè)備和機臺非法接入網(wǎng)絡(luò),需要進行準入控制,新設(shè)備在數(shù)據(jù)隔離區(qū)48小時后,需要經(jīng)過準入控制檢查后才能接入生產(chǎn)區(qū)。
如圖6所示,部署網(wǎng)絡(luò)安全準入系統(tǒng)做終端和機臺的準入控制,終端、機臺接入前的健康度檢查、補丁安裝巡檢、合規(guī)檢測等。各設(shè)備接入準入系統(tǒng)時,需要強制進行漏洞修復,對于特定終端,如啞終端,無法進行正常的健康檢查,由準入系統(tǒng)進行白名單檢查。
圖6,設(shè)備的準入安全控制。
? 場景5,生產(chǎn)區(qū)間的行為檢查和隔離措施
新機臺之間有相互感染風險,一臺機臺感染病毒,會傳播到其他機臺,攻擊者會利用機臺已知漏洞進行攻擊。
如圖7所示,機臺之間通過交換機Muxvlan技術(shù)進行隔離,不需要傳輸數(shù)據(jù)的機臺之間進行隔離;需要進行交互的機臺交互數(shù)據(jù)通過防火墻進行隔離,通過漏洞檢測和防護,過濾已知漏洞。
圖7,生產(chǎn)區(qū)的設(shè)備的隔離措施
三、下一步實施計劃
1. 將主動防御系統(tǒng)進一步延伸到OT網(wǎng)絡(luò)中,主動防御系統(tǒng)的行為建模能力擴展到OT網(wǎng)絡(luò)和工業(yè)協(xié)議。
2.推廣該安全實踐經(jīng)驗和解決方案,將方案推廣到其他行業(yè)的制造基地,目前已經(jīng)和某芯片先進制造企業(yè)進行聯(lián)合研究,將方案部署到其芯片制造基地
四、項目創(chuàng)新點和實施效果
1. 項目先進性及創(chuàng)新點
? 首創(chuàng)提出安全隔離區(qū)是新文件和新設(shè)備進入生產(chǎn)區(qū)OT網(wǎng)絡(luò)的唯一通道。
? 基于AI建立行為基線,檢測未知攻擊,通過構(gòu)建安全威脅態(tài)勢感知、安全策略智能管理和網(wǎng)絡(luò)誘捕系統(tǒng),形成“三位一體”的主動防御體系,提高未知威脅感知能力和響應(yīng)能力;
? 無需對現(xiàn)有網(wǎng)絡(luò)和設(shè)備進行大規(guī)模改造,主動防御體系不影響現(xiàn)有生產(chǎn)網(wǎng)數(shù)據(jù)通信,項目方案可以復制性強,可以復制到其他行業(yè)的生產(chǎn)基地。
2. 實施效果
安全方案全面覆蓋了工業(yè)互聯(lián)網(wǎng)TOP10安全風險,具體風險處置應(yīng)對措施如下:
No. | 安全風險 | 應(yīng)對方案 | 殘余風險 | |
1 | 外來U盤帶入病毒風險,供應(yīng)商或者員工使用U盤拷貝文件,容易遭受病毒或擺渡攻擊,將威脅帶入IT或OT網(wǎng)絡(luò)。 | 所有U盤數(shù)據(jù)只能先拷貝到安全隔離區(qū),通過沙箱對已知和未知威脅檢測通過后才能傳入IT或OT網(wǎng)絡(luò) | 有病毒漏報風險,如有漏報,還有事中檢測的方案 | |
2 | 外來電腦帶入病毒風險,供應(yīng)商或者第三方運維人員通過外來便攜電腦直接接入網(wǎng)絡(luò),將威脅帶入IT或OT網(wǎng)絡(luò)。 | 所有外來電腦只能接入安全隔離區(qū),通過安全健康檢查后才能使用 | 有病毒漏報風險,如有漏報,還有事中檢測的方案 | |
3 | 新機臺帶入病毒風險,供應(yīng)商新機臺存在病毒,接入OT網(wǎng)絡(luò)后擴散到整個網(wǎng)絡(luò)。 | 供應(yīng)商的新機臺需要接入安全隔離區(qū)運行規(guī)定時間(通常建議三個月),確認安全無毒之后才能正式切換到直接接入OT網(wǎng)絡(luò) | 可能存在長時間潛伏的威脅,還有事中檢測的方案 | |
4 | 雙網(wǎng)卡辦公電腦風險,辦公人員為了方便,同一臺電腦同時接入IT和OT網(wǎng)絡(luò),容易成為跳板攻擊OT網(wǎng)絡(luò)。 | 禁止采用雙網(wǎng)卡同時接入IT和OT網(wǎng)絡(luò),應(yīng)通過遠程桌面連接到部署在IT網(wǎng)絡(luò)的桌面云進行日常辦公操作 | 可能存在漏網(wǎng)之魚,還有事中檢測的方案 | |
5 | 工控操作系統(tǒng)老舊風險,工控計算機所使用的系統(tǒng)多為Windows或Linux的早期版本,存在漏洞容易被攻擊。 | 在網(wǎng)關(guān)防火墻處針對OS已知漏洞部署IPS規(guī)則(虛擬補丁),防范跨防火墻針對已知漏洞發(fā)動的網(wǎng)絡(luò)攻擊 | 可能IPS規(guī)則庫更新不及時,如條件允許可考慮及時升級補丁 | |
6 | 工控軟件系統(tǒng)老舊風險,現(xiàn)網(wǎng)多數(shù)工控軟件系統(tǒng)版本老舊,存在漏洞容易被攻擊 | 在網(wǎng)關(guān)防火墻處針對OS已知漏洞部署IPS規(guī)則(虛擬補丁),防范跨防火墻針對已知漏洞發(fā)動的網(wǎng)絡(luò)攻擊 | 可能IPS規(guī)則庫更新不及時,如條件允許可考慮及時升級補丁 | |
7 | 運維人員特權(quán)操作風險,運維人員誤操作、違規(guī)操作或惡意操作易導致系統(tǒng)異常或敏感信息泄露等問題,難回溯。 | 在特定區(qū)域接入安全隔離區(qū),通過登錄部署在安全隔離區(qū)的堡壘機對OT網(wǎng)絡(luò)設(shè)備進行運維操作 | 可能存在無需登錄堡壘機也能運維的情況,如果存在需要優(yōu)化安全策略 | |
8 | 裝遠程控制軟件風險,在系統(tǒng)中安裝TeamViewer等遠程控制軟件,容易繞過邊界安全防護措施,帶來安全風險。 | 原則上禁止在OT網(wǎng)絡(luò)的系統(tǒng)中安裝TeamViewer等遠程控制軟件,避免繞過邊界安全防護措施,帶來安全風險;如需遠程運維,建議采用VPN接入安全隔離區(qū),通過登錄堡壘機對網(wǎng)內(nèi)設(shè)備進行運維操作 | 可能存在漏網(wǎng)之魚,可以可考慮在相應(yīng)邊界防火墻設(shè)置策略阻斷相關(guān)遠程連接端口 | |
9 | 缺乏合理安全區(qū)域風險,生產(chǎn)區(qū)網(wǎng)絡(luò)沒有劃分合理的安全區(qū)域并實施邊界保護,病毒一旦爆發(fā)波及整個網(wǎng)絡(luò)。 | 將安全區(qū)域劃分為最小單位(推薦以一個車間為單位),有病毒入侵時將威脅控制在特定區(qū)域,防止整網(wǎng)擴散 | 區(qū)域劃分最小顆粒但還是擴散風險,但還有事中檢測方案 | |
10 | 來自外部網(wǎng)絡(luò)攻擊風險,合作伙伴網(wǎng)絡(luò)受攻擊后,做為跳板攻擊IT或者OT網(wǎng)絡(luò)。 | 在與合作伙伴外部網(wǎng)絡(luò)互聯(lián)的邊界部署防火墻、IPS、網(wǎng)絡(luò)探針和誘捕系統(tǒng)實現(xiàn)該區(qū)域邊界保護 | 可能存在安全策略配置不到位風險,建議定期評估安全策略有效性 |