“监测到下属公司网络中出现了异常流量,进一步调查发现,部分设备被非法接入了外部网络,这不仅可能导致用户数据泄露,还可能被黑客利用来控制内部网络或发起更广泛的网络攻击。”
2024年5月的某天,奇安信在某大型能源企业的驻场安全团队,发现可疑攻击,最终判断是一起工业主机违规外联事件。此次事件暴露出当前很多企业OT环境存在的安全隐患,构建更全方位的工业安全防护体系已是迫在眉睫。
该能源企业是一家主要从事城市燃气分销业务的企业,其母公司是跨能源、智慧城市、互联网+等多个领域的综合性科技集团。该企业成立以来,一直专注于为居民、商业和工业用户提供天然气供应服务,致力于构建清洁能源体系,推动能源生产和消费方式的转型升级。目前公司在全国多个城市拥有燃气项目,提供包括管道天然气供应、液化天然气(LNG)销售、车用天然气加气站运营以及相关工程服务等业务。
工控系统成全球网络安全软肋,保护刻不容缓
工业主机,也称为工业控制式主要机器,是工业控制计算机的简称。工业主机上安装了大量的工业软件,这些软件控制着大量的工业控制器,影响着各个工业控制系统的工艺流程。一旦工业主机被入侵,意味着工业控制系统被暴露在攻击者视野中,不仅可能导致核心工业数据泄露,还可能为黑客提供可乘之机,因此对工业主机的保护非常重要。
据悉,全球超十万工控系统及设备暴露于互联网,已成为世界各国工业网络安全的软肋。尤其是随着云大物智移等新一代信息技术与制造技术加速融合,作为工业生产运行基础核心的工控系统从封闭走向开放、从单机走向互联、从自动化走向智能化,大量安全隐患随之产生,工控环境的网络攻击事件频发。据国家工信安全中心数据统计,仅2022年公开披露的工业信息安全事件就有312起,覆盖十几个工业细分领域。2022年,中国台湾台达电子、日本丰田主要供应商、伊朗钢铁生产商、立陶宛能源公司、美国芯片制造企业、德国建材巨头可耐福集团、意大利能源机构、法国军工巨头泰雷兹等均曾遭受信息安全风险威胁,发生勒索软件攻击、供应链攻击或数据泄露安全事件。
作为国内领先的大型能源企业,该企业网络安全负责人充分意识到,通常情况下,工业主机都在内网环境使用,但是由于工业主机的使用者网络安全意识淡薄,而且工业网络安全可用性要优先于机密性,所以工业主机的安全管理者不能时刻掌握工业主机的安全状态。所以,即使工业主机安全管理人员制定了有效的管理制度,也不能保障工业主机的安全状态,因此解决安全管理制度的落实问题已是迫在眉睫。
安全事件频发也验证了该负责人的担忧。就在2024年5月,该企业通过工业安全管理与分析系统(IMAS)运营和工业主机防护系统(IEP)检测发现了一起工业主机违规外联事件。该企业总部曾经三令五申,严禁工业主机违规外联,但一直苦于没有抓手,下属企业为了图方便经常私接热点、连接外网开展运维。经过这次事件后,企业总部能够实时监测到工业主机外联情况,各下属企业也都逐步按照安全管理制度开展运维工作,从而安全管理制度能够顺利落实,大大减少工业控制系统隐患。
违规外联敲响工控系统网络安全警钟
根据相关负责人回忆,在该企业安全团队监测到下属公司网络中出现了异常流量后,第一时间进行深入调查,发现部分工业主机非法接入了外部网络。安全部门结合IMAS平台产生的大量主机非法外联告警,发现在2024年5月22日至6月14日,源IP为10.x.x.x的工业主机持续存在外联行为。
通过进一步分析,该工业主机安装了工业主机防护系统,能够配置了非法外联告警策略。当检测到有外联行为时,IEP会将告警信息发送到IMAS平台。安全运营人员将能够实时监测到外联告警,从而实现快速溯源定位。
通过对告警IP进行资产归属查询,以及现场资产溯源分析,最终定位非法外联产生的原因是现场业务人员为方便业务调试,非法将工作主机接入外网导致。
“我们针对告警IP进行资产定位后发现,资产归属于OT侧,,IEP的安装主机均为工业主机,而在安全规定下是不允许工业主机访问互联网的。因此依托IMAS平台,第一时间能够对产生告警的主机迅速定位,极大提高了响应速率。”相关负责人表示。
摸清薄弱环节,实现精准防护
据介绍,在公司安全规定下,不允许工业主机存在访问互联网行为,可见该告警是一种违规行为。现场溯源分析后,最终发现该主机在进行业务调试时,为方便工业厂商远程操作,非法将工业主机连接互联网。正所谓“管中窥豹”,此次外联事件,暴露出该企业在网络安全方面存在的几方面缺陷与不足:
首先是审计流量范围不足。该能源企业工业侧和IT侧均部署监测探针。在办公网网线接入OT侧的工业主机设备时,该部分流量没有经过IT侧的探针。可见,IT侧的探针覆盖性不够全面。
其次是网络结构存在缺陷。各个场站人员对于网络结构不够清晰,当对外联行为回溯,确定网络出口,梳理网络拓扑时,客户无法提供准确信息。因此,重新梳理网络拓补结构,对网络负责运维人员追责变得尤为迫切。
最后是安全意识浅薄。个人安全意识浅薄在平常工作或者设备调试中没有充分意识安全的重要性,忽略了采取必要措施保护自己。极个别者在远程外联后忘记拔掉外网网线,使得工业主机长期暴露在公网中。
三管齐下,为工控系统构筑最牢固的安全防线
为了解决以上问题,该能源企业通过与奇安信的合作,在三个方面进行了安全强化。
首先是针对需要远程调试的工业主机,增加工业堡垒机,加强访问控制策略,充分依托了工业堡垒机的几大优势:
访问控制与身份认证:堡垒机作为所有外部访问内部系统资源的唯一入口点,实施严格的访问控制策略。它要求所有用户(包括管理员和技术人员)在访问受保护的资源前必须进行身份认证,如用户名密码、双因素认证或多因素认证,确保只有授权用户才能进行操作。
运维审计与记录:堡垒机记录并审计所有运维操作,包括登录、命令输入、文件传输等行为,形成完整的操作日志。这有助于追踪问题源头、进行合规审计以及事后分析,同时也对内部人员的操作行为起到监督作用,防止恶意或误操作。
权限管理:根据最小权限原则,堡垒机为不同用户分配不同的操作权限,确保每个用户只能访问和操作他们工作职责范围内所需的系统或服务,减少因权限过大而导致的安全风险。
协议代理与加密:堡垒机可以对敏感的运维协议(如SSH、RDP、SQL等)进行代理,并在传输过程中加密,以防止数据在传输过程中被截取或篡改,增强通信的安全性。
异常检测与响应:通过监控和分析用户行为模式,堡垒机能够及时发现并报告异常操作,甚至自动阻止潜在的攻击行为,提高应急响应速度。
安全策略执行:堡垒机可以执行预定义的安全策略,比如限制访问时间、访问频率、特定操作等,进一步细化安全管理。
其次是通过增加工业防火墙等安全设备提高安全性,对于外网联接实现严格把控,该部分依托了工业防火墙的以下功能:
访问控制:防火墙能够根据预设的安全策略,对进出网络的数据包进行过滤,允许合法的通信流量通过,同时阻止非法或潜在危险的流量,从而保护内部网络不受外部威胁。
网络安全隔离:通过设置不同的安全区域和规则,防火墙可以实现内外网或不同安全级别网络区域之间的有效隔离,确保敏感数据和核心业务系统的安全。 流量监控与审计:防火墙能够实时监控网络流量,记录和分析网络活动,提供详细的流量日志和统计报告,有助于网络管理员识别异常流量、评估网络性能并进行合规审计。
入侵防御:现代防火墙通常集成了入侵防御系统(IPS),能够识别并阻止已知的攻击模式,如DDoS攻击、病毒、木马等,提供主动防御机制。
应用层过滤:除了基础的IP和端口过滤,高级防火墙还支持应用层过滤,能够深入到数据包的内容进行检查,有效控制特定应用或服务的访问,例如阻止非法网站访问、限制P2P应用等。
最后是增强紧急响应能力,提升网络安全意识,具体包括:
紧急响应:一旦发现违规外联情况,需立即切断所有工业主机的互联网联接,防止进一步的数据泄露或控制权丧失。
加强隔离:需要对现有网络架构进行重新评估,增加防火墙、网关等系统,确保工业网络与其他网络的隔离。
培训与意识提升:对所有员工进行网络安全培训,强调设备管理的安全流程,提高警惕性。
建立应急计划:整个企业在网络安全部牵头下,制定详细的应急响应计划,明确在发生类似事件时的步骤和责任人,以便快速行动。
此外,该燃气集团还和奇安信共同推动了后续计划,包括定期进行网络安全审计,检查系统是否符合最新的安全标准;增强监控系统,通过IMAS、ISD、IEP等来持续检测异常活动,提前预警;并与设备制造商和网络安全专家保持紧密合作,共享情报,共同抵御未来威胁。
结束语:
得益于该燃气集团通过迅速而有效的应对,成功控制了设备非法外联事件的影响,保护了用户数据和公司资产。但此次事件也给业界很深刻的启示:工业网络安全的违规外联隐患和影响非常大,控制系统一旦被不法分子利用,后果不堪设想。因此,广大企业亟需部署一套整体的违规外联解决方案,从源头上最大程度避免此类事件发生,切实保障OT环境下的网络和设备的安全。