您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)互聯(lián)網(wǎng)安全能力指南(安全管理平臺)
當(dāng)組織或者機構(gòu)的工控防護(hù)能力以及工控檢測/審計能力具有一定規(guī)模后,如何管理,甚至更大限度地利用這些安全能力就成為了新的課題。無論是管理,還是進(jìn)一步利用安全管理平臺能力,都需要將安全能力進(jìn)行統(tǒng)一,同時對保護(hù)對象有完整可視化的能力——因此對安全管理平臺的需求就開始增加。
統(tǒng)一安全能力。在采集大量的數(shù)據(jù)后,安全管理平臺需要能夠基于大數(shù)據(jù)的分析能力,將采集到的數(shù)據(jù)進(jìn)一步分析,形成威脅管理和態(tài)勢感知的能力。在本報告中,工業(yè)互聯(lián)網(wǎng)安全管理平臺特指:
在工業(yè)互聯(lián)網(wǎng)安全場景中,能夠?qū)Π琌T環(huán)境中的安全產(chǎn)品在內(nèi)的安全能力進(jìn)行管理;并能基于采集到的數(shù)據(jù)進(jìn)行分析,擁有一定威脅管理、態(tài)勢感知能力的安全平臺。
關(guān)鍵發(fā)現(xiàn)
? 工業(yè)互聯(lián)網(wǎng)安全管理平臺根據(jù)使用需求可以分為兩類:運營類與監(jiān)管類。運營類需求偏向于將現(xiàn)有的工業(yè)互聯(lián)網(wǎng)安全能力進(jìn)行整合管理,監(jiān)管類需求則側(cè)重于對范圍內(nèi)的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢進(jìn)行感知。
? 工業(yè)互聯(lián)網(wǎng)安全管理平臺當(dāng)下的落地切入點有三個:“自下而上”從對工控安全能力管理切入、“自上而下”從態(tài)勢感知需求切入、“一體化解決方案”從整體實現(xiàn)角度切入。
? 工業(yè)互聯(lián)網(wǎng)安全管理平臺總體市場收入在2020年有極大增長,主要原因在于運營需求、監(jiān)管需求、整體化解決方案的需求點爆發(fā)。但是,隨著需求點相對穩(wěn)定,工業(yè)互聯(lián)網(wǎng)安全管理平臺的市場規(guī)模增長速率也會相對平穩(wěn)。
工業(yè)互聯(lián)網(wǎng)安全管理平臺能力點陣圖
本次參與工業(yè)互聯(lián)網(wǎng)安全管理平臺能力點陣圖的廠商共有19家,分別為:360政企安全、安帝科技、安盟信息、長揚科技、國泰網(wǎng)信、恒安嘉新、惠而特、立思辰安科、六方云、珞安科技、綠盟科技、木鏈、齊安科技、啟明星辰、天地和興、天融信、網(wǎng)藤科技、威努特、英賽克。
工業(yè)互聯(lián)網(wǎng)安全管理平臺價值
安全能力的統(tǒng)一只是工業(yè)互聯(lián)網(wǎng)安全管理平臺的基礎(chǔ)價值。事實上,如果能夠?qū)φw的工業(yè)互聯(lián)網(wǎng)安全能力進(jìn)行管理,那就能從多維度來分析工業(yè)互聯(lián)網(wǎng)安全——這時,僅僅將安全管理平臺作為安全能力的統(tǒng)一就顯得有所不足。需要在統(tǒng)一的安全能力之上分析工業(yè)互聯(lián)網(wǎng)的安全狀況,才能最大化安全管理平臺的能力。
環(huán)境資產(chǎn)管理
工業(yè)互聯(lián)網(wǎng)總體化管理的第一關(guān)鍵點在于厘清工業(yè)互聯(lián)網(wǎng)環(huán)境中的資產(chǎn):不僅僅是工控環(huán)境中的工控資產(chǎn),也包括了與工控環(huán)境相關(guān)的IT資產(chǎn),以及其他工業(yè)互聯(lián)網(wǎng)安全資產(chǎn)。
厘清整體工業(yè)互聯(lián)網(wǎng)環(huán)境資產(chǎn)后,還需要對環(huán)境資產(chǎn)進(jìn)行進(jìn)一步的梳理,將工控資產(chǎn)、IT自資產(chǎn)、安全能力與自身業(yè)務(wù)進(jìn)行對應(yīng),從而對自身當(dāng)前的安全狀態(tài)有一個全局的可視化能力,了解自身的攻擊面以及防護(hù)情況。同時,將生產(chǎn)業(yè)務(wù)與不同資產(chǎn)與安全能力進(jìn)行對應(yīng),還能清晰化不同資產(chǎn)對業(yè)務(wù)的影響性,以及相關(guān)的安全能力對業(yè)務(wù)的影響性。
環(huán)境中所有資產(chǎn)的發(fā)現(xiàn)只是第一步,更重要的是通過發(fā)現(xiàn)資產(chǎn),梳理業(yè)務(wù)的關(guān)聯(lián)性。工業(yè)互聯(lián)網(wǎng)是一個強業(yè)務(wù)可持續(xù)性的場景,但業(yè)務(wù)的重要性不同,對整體環(huán)境的影響程度各有不同。通過對業(yè)務(wù)的重要性以及對其他業(yè)務(wù)的關(guān)聯(lián)性進(jìn)行分析,再基于業(yè)務(wù)和資產(chǎn)之間的關(guān)系,將環(huán)境資產(chǎn)最終的重要程度進(jìn)行分類和管理,是管理平臺需要做到的最終價值。
安全能力管理
工業(yè)互聯(lián)網(wǎng)安全管理平臺的另一個基礎(chǔ)能力是對工業(yè)互聯(lián)網(wǎng)環(huán)境中的安全能力,尤其是OT相關(guān)的安全能力進(jìn)行管理。
當(dāng)工業(yè)相關(guān)企業(yè)有大量的工控安全產(chǎn)品后,必然需要對大量的安全能力進(jìn)行統(tǒng)一的管控。第一要確掌握自己環(huán)境中所有安全能力的狀態(tài),確保各個安全能力都在正常運作,同時安全能力都在適當(dāng)?shù)奈恢蒙掀鹬踩Ч?。其次,需要將環(huán)境內(nèi)各類檢測、審計類產(chǎn)品進(jìn)行整體管理,統(tǒng)一這一類安全能力采集到的信息,避免單獨的安全能力點成為安全孤島。最后,安全管理平臺需要至少有對自身工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品有策略下發(fā)的能力,擁有能夠進(jìn)行統(tǒng)一響應(yīng)的能力。
威脅管理
在基于資產(chǎn)進(jìn)行的環(huán)境資產(chǎn)管理,以及安全能力管理之上,企業(yè)就能對自身當(dāng)下的安全狀態(tài)有一個更為清晰的認(rèn)知。安全的目的是防范威脅,而威脅又是基于自身的業(yè)務(wù)、資產(chǎn)、整體安全能力。因此,工業(yè)互聯(lián)網(wǎng)安全管理平臺的另一個價值就是幫助企業(yè)對自己面臨的威脅進(jìn)行管理。
根據(jù)已經(jīng)確定的資產(chǎn)與安全能力關(guān)聯(lián)狀態(tài)與能力現(xiàn)狀,梳理出當(dāng)下各類業(yè)務(wù)、資產(chǎn)所面臨的風(fēng)險,以及安全能力的不足之處,總結(jié)出企業(yè)當(dāng)前所面臨的威脅,以及潛在的威脅來源,并進(jìn)一步將威脅與具體的業(yè)務(wù)和資產(chǎn)進(jìn)行關(guān)聯(lián),將資產(chǎn)管理能力更緊密地貼合安全需求。
另一方面,企業(yè)面臨的威脅是不斷變化的。隨著業(yè)務(wù)的變化、新漏洞的產(chǎn)生、特定攻擊活動的興起,都會給企業(yè)產(chǎn)生新的威脅。集成了威脅情報能力的工業(yè)互聯(lián)網(wǎng)安全管理平臺,可以基于環(huán)境資產(chǎn)、業(yè)務(wù)需求、安全能力現(xiàn)狀,以及外部威脅動態(tài)的信息,追蹤企業(yè)面臨的威脅變化,給企業(yè)提供最適用于當(dāng)前狀況的威脅防范策略。
態(tài)勢感知
以現(xiàn)在的需求與能力來看,態(tài)勢感知是工業(yè)互聯(lián)網(wǎng)安全管理平臺最終的價值點。
威脅管理關(guān)注于當(dāng)前企業(yè)各個環(huán)節(jié)面臨的威脅,但是態(tài)勢感知則首先要從時間維度上延展,通過分析過去到現(xiàn)在環(huán)境中發(fā)生的事件,呈現(xiàn)企業(yè)安全態(tài)勢的變化趨勢。另一方面,態(tài)勢感知需要對環(huán)境中實際正在發(fā)生,以及已經(jīng)發(fā)生的安全事件進(jìn)行調(diào)查與響應(yīng)——而不只是可能面臨的威脅。
態(tài)勢感知價值能最終幫助企業(yè)把握自身環(huán)境中的安全情況,在工業(yè)互聯(lián)網(wǎng)場景當(dāng)中,最終需要實現(xiàn)IT與OT的結(jié)合。因此,工業(yè)互聯(lián)網(wǎng)安全管理平臺的最終形態(tài)也應(yīng)該是能夠統(tǒng)一管理IT與OT環(huán)境中的安全問題,并且發(fā)現(xiàn)潛在的跨環(huán)境攻擊。但是,當(dāng)前環(huán)境下,IT與OT本身的融合總體來看依然處于初期階段,因而工業(yè)互聯(lián)網(wǎng)安全管理平臺的側(cè)重點依然在OT側(cè),需要能夠?qū)崿F(xiàn)對企業(yè)OT環(huán)境整體安全態(tài)勢的把握,并對安全事件進(jìn)行響應(yīng)。
工業(yè)互聯(lián)網(wǎng)安全管理平臺要點
從工業(yè)互聯(lián)網(wǎng)安全管理平臺的價值出發(fā),工業(yè)互聯(lián)網(wǎng)安全管理平臺的能力可以從以下三個方面來衡量。
工業(yè)互聯(lián)網(wǎng)安全能力完整性
工業(yè)互聯(lián)網(wǎng)安全管理平臺需要對整體工業(yè)互聯(lián)網(wǎng)安全的把控與管理,這本身就對工業(yè)互聯(lián)網(wǎng)安全管理平臺供應(yīng)商的產(chǎn)線多樣性提出了要求。
根據(jù)本次調(diào)研的情況來看,由于工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品本身沒有統(tǒng)一的標(biāo)準(zhǔn),大部分工業(yè)互聯(lián)網(wǎng)安全管理平臺一般情況下只能對接自身企業(yè)的其他安全產(chǎn)品。因此,如果工業(yè)互聯(lián)網(wǎng)安全管理平臺供應(yīng)商自身能夠提供豐富、完整的安全能力,在當(dāng)前環(huán)境下,由于能夠從各方面幫助客戶解決安全問題,會有更大的優(yōu)勢。
工業(yè)互聯(lián)網(wǎng)安全能力的完整性不局限于防護(hù)類、檢測和審計類產(chǎn)品,還需要包括安全服務(wù)的能力,才能達(dá)成整體的解決方案,實現(xiàn)態(tài)勢感知的最終價值。另一方面,工業(yè)靶場在未來,也會成為工業(yè)互聯(lián)網(wǎng)安全管理平臺整體解決方案中的一部分。安全廠商在其他不同工業(yè)互聯(lián)網(wǎng)安全能力領(lǐng)域的積累也會直接影響到其在工業(yè)互聯(lián)網(wǎng)安全管理平臺的實際效果。
第三方兼容能力
盡管當(dāng)前的主流是單個安全廠商基于自身的工業(yè)互聯(lián)網(wǎng)安全管理平臺統(tǒng)一管理自身的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品,但是未來的理想形態(tài)是安全管理平臺能夠管理環(huán)境內(nèi)所有工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品——包括第三方廠商的安全產(chǎn)品。
從客戶需求來看,在環(huán)境內(nèi)有多家安全廠商產(chǎn)品雖然從當(dāng)前來看,會相當(dāng)不便于整體管理,但是同樣可以規(guī)避一家安全在自己企業(yè)內(nèi)獨大的問題。同時,由于不同廠商在不同安全能力各有所長,選取多家安全廠商的安全能力也可以幫助企業(yè)更好地平衡成本、安全能力之間的關(guān)系。
因此,從客戶需求來看,能夠?qū)崿F(xiàn)第三方兼容的能力也是體現(xiàn)廠商技術(shù)能力的一面。在本次調(diào)研中發(fā)現(xiàn),當(dāng)前第三方對接最多的能力為威脅情報能力,大部分廠商都會與友商進(jìn)行威脅情報的對接能力,實現(xiàn)主動防御的效果。但是,僅有少部分廠商與第三方友商建立了除威脅情報以外的合作,能夠直接兼容友商的相關(guān)工業(yè)互聯(lián)網(wǎng)安全能力。第三方兼容能力當(dāng)前依然處于能夠獲取第三方設(shè)備采集的環(huán)境信息為主,在統(tǒng)一管理上依然需要通過定制化的模式,實現(xiàn)工業(yè)互聯(lián)網(wǎng)管理平臺與其他安全廠商能力的打通。
態(tài)勢分析能力
工業(yè)互聯(lián)網(wǎng)安全管理在集中管理環(huán)境中安全能力的同時,會獲取大量的環(huán)境信息數(shù)據(jù),合理利用就能夠?qū)崿F(xiàn)自身的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知。
態(tài)勢分析的核心在于對于安全信息的處理,其關(guān)鍵是安全管理平臺的大數(shù)據(jù)引擎。安全管理平臺需要能夠?qū)W習(xí)并生成正常的業(yè)務(wù)運作模型,并且當(dāng)業(yè)務(wù)變更時,快速調(diào)整新的安全模型,從而能夠出現(xiàn)異常行為時,發(fā)現(xiàn)可疑事件;基于關(guān)聯(lián)分析,幫助安全人員把握整個事件過程。同時,對全環(huán)境內(nèi)的安全事件進(jìn)行分析,形成可視化的態(tài)勢感知。
另外,態(tài)勢分析能力不僅需要依靠強大的大數(shù)據(jù)引擎作為核心,威脅情報、威脅管理等能力同樣可以進(jìn)一步提升企業(yè)應(yīng)對潛在外部威脅的水平,通過主動防御,提前針對性地部署防御策略。
工業(yè)互聯(lián)網(wǎng)安全管理平臺主要促進(jìn)因素
從當(dāng)前的工業(yè)互聯(lián)網(wǎng)安全管理平臺類型來看,主要分為運營類安全管理平臺與監(jiān)管類安全管理平臺兩類。而這兩類分別代表了工業(yè)互聯(lián)網(wǎng)安全管理平臺兩種不同的促進(jìn)因素。
安全運營需求
對于一般工業(yè)企業(yè)而言,當(dāng)擁有了大量的工業(yè)互聯(lián)網(wǎng)安全能力以后,首先需要的是能夠?qū)⑦@些安全能力進(jìn)行統(tǒng)一的管理,知道不同具體的安全設(shè)備、系統(tǒng)的運行情況,以及其發(fā)現(xiàn)的威脅;也需要明確自身環(huán)境中現(xiàn)有的安全能力,梳理清楚自己環(huán)境中的安全資產(chǎn)。安全資產(chǎn)與其他IT資產(chǎn)、OT資產(chǎn)一樣,同樣也是工業(yè)企業(yè)整體技術(shù)環(huán)境的重要組成部分;企業(yè)如果不清楚自身所具有的安全能力,或者無法對其進(jìn)行相對應(yīng)的管理,不僅無法讓安全能力真正保護(hù)好企業(yè),甚至可能反而成為僵尸資產(chǎn),被攻擊者作為跳板進(jìn)行利用。
因此,對大部分工業(yè)企業(yè)而言,購買工業(yè)互聯(lián)網(wǎng)安全管理平臺的主要需求在于通過一個平臺整體化管理安全能力,從而實現(xiàn)對自身環(huán)境的安全運營能力。工業(yè)企業(yè)注重安全以后,必然會逐漸擁有各種安全能力,覆蓋大量攻擊面,但是對于多種安全能力的使用又會成為痛點。尤其對于當(dāng)下單點防御已經(jīng)無法完全發(fā)現(xiàn)、防范威脅的時候,更需要多種安全能力之間的協(xié)同,安全能力的統(tǒng)一管理是安全運營的第一步,也是運營類安全管理平臺的主要推動因素。
監(jiān)管需要
隨著國內(nèi)外針對工業(yè)企業(yè)的攻擊增多,而工業(yè)企業(yè)的安全又與國家安全直接相關(guān),監(jiān)管機構(gòu)對把握自身管理范圍內(nèi)企業(yè)的安全態(tài)勢也已經(jīng)成為了剛需。監(jiān)管類安全管理平臺就自然而然成為了關(guān)鍵解決方案。
相比于運營類安全管理平臺,需要能夠?qū)Νh(huán)境中的威脅做出及時的響應(yīng)。監(jiān)管類安全管理平臺更側(cè)重于對某一行業(yè)或者區(qū)域內(nèi)工業(yè)企業(yè)面臨的風(fēng)險進(jìn)行洞察。監(jiān)管類安全管理平臺不僅需要發(fā)現(xiàn)管理范圍內(nèi)每個企業(yè)的潛在問題并進(jìn)行通知、修復(fù)指導(dǎo),也需要能夠從整體角度理解當(dāng)前的安全態(tài)勢,明確優(yōu)勢、劣勢,以及威脅來源,做好自上而下的安全監(jiān)管機制。
工業(yè)互聯(lián)網(wǎng)安全管理平臺的三個落地切入點
從工業(yè)互聯(lián)網(wǎng)安全管理平臺的切入點來看,可以將當(dāng)前提供工業(yè)互聯(lián)網(wǎng)安全平臺的廠商分為三類。
自下而上的全能力型廠商
最為典型的切入點是從企業(yè)的安全運營需求直接出發(fā)。當(dāng)企業(yè)擁有大量工業(yè)互聯(lián)網(wǎng)安全能力的時候,管理這些能力是最迫切的第一需求,也直接轉(zhuǎn)化成了企業(yè)對工業(yè)互聯(lián)網(wǎng)能力供應(yīng)商的需求,尤其是當(dāng)環(huán)境中存在某一供應(yīng)商多類產(chǎn)品的時候。
從安全廠商自身角度來看,管理平臺不僅是客戶在安全落地過程中的必然需求,當(dāng)自身產(chǎn)線豐富的時候,也會著手將自身產(chǎn)品之間的安全能力進(jìn)行協(xié)同,避免因單點防御形成的安全孤島。
全能力型廠商由于其在工業(yè)互聯(lián)網(wǎng)領(lǐng)域,尤其是工業(yè)控制系統(tǒng)安全領(lǐng)域的積累,往往會有豐富的自研安全產(chǎn)線與能力。其本身對安全平臺的開發(fā),也是由安全能力的管理與運營需求出發(fā),因此安全管理平臺會更貼近實際的工業(yè)互聯(lián)網(wǎng)環(huán)境運營的能力。
自上而下的分析型廠商
工業(yè)互聯(lián)網(wǎng)安全平臺的第二個切入點則相反,自上而下,直接從管理平臺的“分析”需求出發(fā),進(jìn)行建設(shè)。相比于底層的安全建設(shè)更關(guān)注對具體安全事件的檢測與響應(yīng),上層的安全建設(shè)更關(guān)注整體環(huán)境中的安全態(tài)勢。因此,自上而下的切入點在于能夠?qū)φw工業(yè)互聯(lián)網(wǎng)安全態(tài)勢進(jìn)行分析和感知。
對于擁有強大數(shù)據(jù)采集和分析能力的非工業(yè)互聯(lián)網(wǎng)專注的安全廠商而言,從工業(yè)互聯(lián)網(wǎng)安全平臺切入工業(yè)互聯(lián)網(wǎng)安全是一個最能體現(xiàn)其價值的選擇。通過自身原本的采集能力,同時可以從其他設(shè)備、安全能力處導(dǎo)入相關(guān)日志、數(shù)據(jù),這一類廠商能夠最大化自己安全分析能力的價值,滿足工業(yè)互聯(lián)網(wǎng)環(huán)境中的態(tài)勢感知需求。對于監(jiān)管類安全管理平臺,這一類廠商的安全分析能力能夠更好滿足對安全態(tài)勢的整體把控和整治需求。
但是,這一類管理平臺也存在其局限性:由于其在工業(yè)互聯(lián)網(wǎng)中的積累相對較少,自身可能無法提供多樣的綜合性工業(yè)互聯(lián)網(wǎng)安全能力,因此在運營能力的角度會有缺乏。這一類自上而下的工業(yè)互聯(lián)網(wǎng)安全平臺可以通過進(jìn)一步研發(fā)自身工業(yè)互聯(lián)網(wǎng)安全能力來逐漸滿足客戶需求;或者,從未來趨勢的角度來看,這一類廠商也可以對接更多的第三方安全能力,從而滿足客戶全面管理各個廠商安全能力的需求。
基于平臺的整體解決方案
另一類切入點也是從平臺出發(fā),但是相比于自上而下的切入點從態(tài)勢感知的需求入手,整體解決方案的切入點會偏向于平衡運營和分析:如何通過一個安全管理平臺,最大化自身工業(yè)互聯(lián)網(wǎng)安全的能力。這一類廠商自身會具有一定的工業(yè)互聯(lián)網(wǎng)安全能力,基于整體化解決方案的目標(biāo)建設(shè)自己的工業(yè)互聯(lián)網(wǎng)安全管理平臺,最終再通過工業(yè)互聯(lián)網(wǎng)安全管理平臺作為核心,進(jìn)一步提升自身其他的工業(yè)互聯(lián)網(wǎng)安全能力。
相比于其他兩種切入點,整體解決方案更適合于需要從平臺到各類工業(yè)互聯(lián)網(wǎng)安全能力的企業(yè),能夠基于安全管理平臺,幫助客戶提供整體化的統(tǒng)一解決方案。
工業(yè)互聯(lián)網(wǎng)安全管理平臺市場情況
根據(jù)本次調(diào)研的方向,2019年我國工業(yè)互聯(lián)網(wǎng)安全管理平臺收入總體約為3.44億元,2020年總體收入約為10.46億元,預(yù)計2021年收入為15.69億元,2022年有望達(dá)到23.21億元。工業(yè)互聯(lián)網(wǎng)安全管理平臺的收入在2020年有極大的增長,原因主要有三點:之前對工業(yè)互聯(lián)網(wǎng)安全有一定投入的企業(yè)開始需要對自身擁有的工業(yè)互聯(lián)網(wǎng)安全能力進(jìn)行統(tǒng)一的管理與運營;同時,受全球關(guān)鍵基礎(chǔ)設(shè)施安全事件影響,監(jiān)管機構(gòu)對工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知的需求增大;另外,一體化解決方案的需求增多,使得包含檢測、審計、防護(hù)類能力的整體化工業(yè)互聯(lián)網(wǎng)安全平臺收入大大提升。但是,隨著需求點逐漸穩(wěn)定,工業(yè)互聯(lián)網(wǎng)安全管理平臺的市場規(guī)模增長速率,將趨于穩(wěn)定。
工業(yè)互聯(lián)網(wǎng)安全管理平臺能力當(dāng)前以單一標(biāo)準(zhǔn)化產(chǎn)品化交付為主,占59%。單一標(biāo)準(zhǔn)化的服務(wù)交付占26%,作為功能交付及其他模式占16%。
從銷售方式來看,工業(yè)互聯(lián)網(wǎng)安全管理平臺能力以渠道銷售偏多,占52%;直銷模式略低,占44%;OEM占4%。
工業(yè)互聯(lián)網(wǎng)安全管理平臺當(dāng)前最大市場領(lǐng)域為電力企業(yè),占45%。由于電力企業(yè)對工業(yè)互聯(lián)網(wǎng)安全的起步較早,無論是安全積累,還是原本的IT技術(shù)能力都會比較強,因此會更先建設(shè)有統(tǒng)一能力的工業(yè)互聯(lián)網(wǎng)安全管理平臺。而投入第二位的則是監(jiān)管機構(gòu),占18%。監(jiān)管需求對工業(yè)互聯(lián)網(wǎng)安全管理平臺的推動有著極大的促進(jìn)作用。
案例五:某省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺(本案例由360政企安全提供)
場景介紹
某大型城市A印發(fā)《A市工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃》通知,明確A市對于工業(yè)互聯(lián)網(wǎng)安全相關(guān)態(tài)勢感知平臺建設(shè)的必要性和重要性。圍繞A市工業(yè)互聯(lián)網(wǎng)設(shè)備、控制、網(wǎng)絡(luò)、平臺和數(shù)據(jù)等多層次要素,建成A市省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺。
客戶需求
1、豐富的工業(yè)互聯(lián)網(wǎng)資產(chǎn)識別
平臺需要能夠識別工業(yè)互聯(lián)網(wǎng)在網(wǎng)資產(chǎn),建立資產(chǎn)信息庫。平臺能夠識別的資產(chǎn)種類包括但不限于工業(yè)互聯(lián)網(wǎng)平臺、聯(lián)網(wǎng)設(shè)備及系統(tǒng)、工業(yè) APP、工業(yè)數(shù)據(jù)等。
2、全面的安全風(fēng)險識別
平臺需要具備隱患識別和風(fēng)險識別能力。其中安全隱患識別主要指發(fā)現(xiàn)未修復(fù)安全漏洞,風(fēng)險識別主要指監(jiān)測發(fā)生的網(wǎng)絡(luò)攻擊等安全事件。
3、連接各方面的監(jiān)測預(yù)警聯(lián)動
平臺需要面向工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè),建立線上或線下對接,實現(xiàn)定向監(jiān)測、風(fēng)險預(yù)警通報。
4、多樣的風(fēng)險處置協(xié)同
平臺會面向基礎(chǔ)電信企業(yè),針對經(jīng)過專業(yè)機構(gòu)驗證的影響工業(yè)互聯(lián)網(wǎng)的惡意資源,包括用于實施網(wǎng)絡(luò)攻擊的惡意 IP 地址、惡意域名,基于通信網(wǎng)絡(luò)開展網(wǎng)絡(luò)處置和阻斷。
5、安全態(tài)勢分析
基于監(jiān)測數(shù)據(jù),平臺能夠進(jìn)行交叉關(guān)聯(lián)和大數(shù)據(jù)分析,從區(qū)域、行業(yè)等維度分析工業(yè)互聯(lián)網(wǎng)安全風(fēng)險態(tài)勢、產(chǎn)業(yè)態(tài)勢。
6、信息資源共享
建立協(xié)同聯(lián)動信息共享體系,實現(xiàn)平臺間的安全數(shù)據(jù)上報和風(fēng)險信息共享。
解決方案
該省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺分為5個子系統(tǒng):包括數(shù)據(jù)采集子系統(tǒng)、基礎(chǔ)庫管理子系統(tǒng)、監(jiān)測分析子系統(tǒng)、業(yè)務(wù)支撐子系統(tǒng)、安全保障子系統(tǒng)。
■ 數(shù)據(jù)采集子系統(tǒng):對省通信管理局信安和網(wǎng)安數(shù)據(jù)、基礎(chǔ)電信企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)企業(yè)、主動探測的各類相關(guān)數(shù)據(jù)進(jìn)行統(tǒng)一接入、過濾、匯聚、存儲,通過接口匯入與手工導(dǎo)入方式將清洗、規(guī)整后的數(shù)據(jù)入庫至平臺進(jìn)行存儲,存儲、管理平臺數(shù)據(jù),匯總數(shù)據(jù)采集子系統(tǒng)的安全監(jiān)測數(shù)據(jù)、國家平臺下發(fā)的資產(chǎn)數(shù)據(jù)和預(yù)警信息。
■ 基礎(chǔ)庫管理子系統(tǒng):梳理形成工業(yè)互聯(lián)網(wǎng)平臺基礎(chǔ)資源信息、聯(lián)網(wǎng)設(shè)備及系統(tǒng)資產(chǎn)信息,形成省工業(yè)互聯(lián)網(wǎng)基本基礎(chǔ)資源庫,并建設(shè)安全監(jiān)測所需信息庫,為上層安全監(jiān)測分析提供數(shù)據(jù)支撐。
■ 監(jiān)測分析子系統(tǒng):監(jiān)測發(fā)現(xiàn)安全隱患,通過與基礎(chǔ)信息庫對比,開展工業(yè)互聯(lián)網(wǎng)資產(chǎn)、安全漏洞和安全事件識別工作,識別工業(yè)互聯(lián)網(wǎng)協(xié)議、工業(yè)互聯(lián)網(wǎng)平臺、聯(lián)網(wǎng)設(shè)備及系統(tǒng)、工業(yè)APP、工業(yè)數(shù)據(jù),監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)暴露的安全漏洞、存在的安全攻擊事件監(jiān)測。
■ 業(yè)務(wù)支撐子系統(tǒng):提供工業(yè)互聯(lián)網(wǎng)工業(yè)資源、監(jiān)測預(yù)警、安全事件、事件處置、數(shù)據(jù)分析、安全態(tài)勢的業(yè)務(wù)呈現(xiàn)、信息共享等業(yè)務(wù)支撐能力,為工業(yè)互聯(lián)網(wǎng)安全監(jiān)測提供分析及應(yīng)用服務(wù)。
■ 安全保障子系統(tǒng):提供安全保障、權(quán)限管理、運維支撐、系統(tǒng)維護(hù)管理功能,主要實現(xiàn)系統(tǒng)日志管理、操作權(quán)限管理、接口監(jiān)測、數(shù)據(jù)加工狀態(tài)及傳輸狀態(tài)監(jiān)測、系統(tǒng)運維管理能力,保障整個工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺安全、高效、穩(wěn)定運行。
平臺部署
A市省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺部署架構(gòu)圖如下圖所示:
如上圖所示,數(shù)據(jù)來源分為三個部分,分別是第三方系統(tǒng)數(shù)據(jù)接入、企業(yè)級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺、運營商專線數(shù)據(jù)。
第三方系統(tǒng)數(shù)據(jù)接入包括:
? IDC/ISP信安管理系統(tǒng)數(shù)據(jù),采用FTP方式,推送到數(shù)據(jù)匯聚管理系統(tǒng)中,再按需將數(shù)據(jù)推送到省級平臺中進(jìn)行存儲分析。上報數(shù)據(jù)類型包括:基礎(chǔ)數(shù)據(jù)記錄、基礎(chǔ)數(shù)據(jù)監(jiān)測異常記錄、訪問日志查詢記錄、違法信息監(jiān)測記錄、違法信息過濾記錄、ISMS 活動狀態(tài)、活躍資源監(jiān)測記錄、違法違規(guī)網(wǎng)站監(jiān)測記錄。
? DNS信安管理系統(tǒng)數(shù)據(jù),采用FTP方式,推送到數(shù)據(jù)匯聚管理系統(tǒng)中,再按需將數(shù)據(jù)推送到省級平臺中進(jìn)行存儲分析。上報數(shù)據(jù)類型包括:基礎(chǔ)數(shù)據(jù)記錄、域名解析量記錄、權(quán)威解析記錄維護(hù)日志記錄、黑名單網(wǎng)站監(jiān)測記錄、特定域名監(jiān)測記錄、特定域名過濾記錄、域名注冊信息記錄、權(quán)威解析服務(wù)機構(gòu)托管域名信息記錄、域名遞歸解析信息查詢結(jié)果記錄。
? ICP備案數(shù)據(jù),通過FTP方式,推送到數(shù)據(jù)匯聚管理系統(tǒng)中,再按需將數(shù)據(jù)推送到省級平臺中進(jìn)行存儲分析,包括省內(nèi)企業(yè)備案地址、備案IP、備案號、企業(yè)名稱等備案信息。
企業(yè)級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺架構(gòu)如下:
360工業(yè)一體化安全運營平臺
通過對工業(yè)現(xiàn)場網(wǎng)絡(luò)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、生產(chǎn)設(shè)備進(jìn)行安全信息數(shù)據(jù)采集、匯總和分析,實現(xiàn)工業(yè)企業(yè)對工業(yè)現(xiàn)場網(wǎng)絡(luò)安全狀態(tài)的實時態(tài)勢感知以及安全事件的相應(yīng)處理。以提升改善工業(yè)企業(yè)的信息安全狀態(tài)。其核心功能包括:
? 主被動資產(chǎn)以及漏洞發(fā)現(xiàn):通過對工業(yè)現(xiàn)場網(wǎng)絡(luò)全網(wǎng)資產(chǎn)掃描,全面探測工控企業(yè)內(nèi)網(wǎng)資產(chǎn)在網(wǎng)絡(luò)上的暴露情況及存在的漏洞;通過探針設(shè)備基于網(wǎng)絡(luò)流量的被動資產(chǎn)發(fā)現(xiàn),識別工業(yè)資產(chǎn);
? 可分組的資產(chǎn)管理:不同于傳統(tǒng)信息網(wǎng)絡(luò),工業(yè)網(wǎng)絡(luò)存在多廠區(qū)、多安全域場景,在資產(chǎn)管理中引入分組邏輯,可適應(yīng)工業(yè)現(xiàn)場網(wǎng)絡(luò)的資產(chǎn)管理需求;
? 手動自動結(jié)合資產(chǎn)拓?fù)淅L制:通過SNMP等方式對網(wǎng)絡(luò)設(shè)備的IP地址、MAC地址、接口綁定情況進(jìn)行獲取和分析,自動繪制網(wǎng)絡(luò)拓?fù)溥壿媹D形,再通過運維人員手動細(xì)化,繪制出能反映出指導(dǎo)安全運營的工業(yè)現(xiàn)場網(wǎng)絡(luò)拓?fù)鋱D。并基于整網(wǎng)資產(chǎn)拓?fù)溥M(jìn)行流量走向、資產(chǎn)風(fēng)險、安全威脅、資產(chǎn)可用性等維度的安全展示;
? 全面的威脅發(fā)現(xiàn)能力:通過流量探針威脅檢測,惡意代碼文件檢測,威脅情報檢測以及關(guān)聯(lián)規(guī)則引擎發(fā)現(xiàn)的威脅全面檢測企業(yè)的安全威脅事件,提升企業(yè)的高級安全威脅,隱蔽安全事件的發(fā)現(xiàn)能力,通過可視化感知技術(shù),為安全分析人員提供直觀、強大、清晰的安全威脅預(yù)警能力,為安全決策人員提供可靠的數(shù)據(jù)支撐。
360云端基礎(chǔ)設(shè)施體系
360基于“實戰(zhàn)化、體系化、常態(tài)化”的三化理念,結(jié)合360多年黑客對抗的經(jīng)驗積累,建立基于實戰(zhàn)的常態(tài)化專家運營體系,保障平時高效運營和戰(zhàn)時快速響應(yīng);
云端專家運營服務(wù)依托360云端全球獨有的安全樣本庫、規(guī)模最大的安全大數(shù)據(jù)和多年積累的基于實戰(zhàn)的攻防戰(zhàn)法、技術(shù)、程序和大量獨有知識庫,形成了基于攻防戰(zhàn)法的安全運營知識圖譜,幫助企業(yè)側(cè)全面排查存在的安全隱患,實現(xiàn)主動防御式的安全能力體系化運營;
依托于360云端專家運營服務(wù),監(jiān)管機構(gòu)人員可以:
管理多源情報:訂閱、接入、運營多類型的異構(gòu)情報數(shù)據(jù)以提供全面的情報數(shù)據(jù)支撐能力;
賦能安全設(shè)備:以多類型情報以及云端查殺引擎為基礎(chǔ),提供查詢API,數(shù)據(jù)推送等多種集成方式,增強既有安全體系威脅檢測分析能力;
支撐運營團(tuán)隊:提供豐富的云端安全能力使用方式,不僅能緩解安全團(tuán)隊告警疲憊的困境,而且提供了戰(zhàn)略情報協(xié)助預(yù)測組織風(fēng)險,還能通過詳實的上下文參考信息和智能分析模型優(yōu)化分析師效能,最終提升整體運營效率和決策把握。
運營商專線數(shù)據(jù)包括:
■ 重點工業(yè)企業(yè)互聯(lián)網(wǎng)專線流量及安全事件數(shù)據(jù),通過接入A市內(nèi)重點工業(yè)企業(yè)專線流量,通過分光或者流量牽引模式接入相應(yīng)流量數(shù)據(jù),以及通過工業(yè)專用的大流量DPI分析集群,對接入流量進(jìn)行安全檢測,實現(xiàn)對重點工業(yè)企業(yè)專線的流量數(shù)據(jù)采集和安全事件數(shù)據(jù)采集。
其中采集的數(shù)據(jù)類型包括但不限于:僵尸網(wǎng)絡(luò)、WEB攻擊、勒索病毒、挖礦事件、垃圾郵件、DDOS攻擊等。
利用最新的數(shù)據(jù)分析流程和威脅監(jiān)測結(jié)果,可以形成典型的工業(yè)互聯(lián)網(wǎng)安全威脅場景。繪制出威脅態(tài)勢圖,可以通過視覺快速的定位威脅源、攻擊的態(tài)勢和程度等:
? 企業(yè)安全分析:按照事件威脅程度對所有企業(yè)進(jìn)行排名分析,準(zhǔn)確定位高危企業(yè);
? 區(qū)安全分析:以區(qū)為維度,分析本市威脅事件爆發(fā)整體情況;
? 行業(yè)安全分析:分析本市威脅事件最多的工業(yè)行業(yè);
? 安全類型分析:分析各類安全事件的占比情況;
? 威脅程度分析:分析各類威脅程度安全事件的占比情況;
? 攻擊鏈分析:分析各類攻擊鏈的事件數(shù)量及趨勢。
■ 運營商僵木蠕系統(tǒng),接入運營商僵木蠕系統(tǒng)數(shù)據(jù),省級平臺需對接入數(shù)據(jù)進(jìn)行清洗、去重、研判、匹配、多維度分析等操作,以實現(xiàn)對僵木蠕方面全面的安全分析、關(guān)聯(lián)分析、數(shù)據(jù)挖掘、數(shù)據(jù)判定等功能。
■ 運營商惡意程序系統(tǒng),接入運營商移動惡意程序系統(tǒng)數(shù)據(jù),獲取運營商對惡意程序事件的判定結(jié)果以及樣本數(shù)據(jù),用于對工業(yè)互聯(lián)網(wǎng)移動APP進(jìn)行網(wǎng)絡(luò)安全分析。
省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺在獲取這三個維度的安全數(shù)據(jù)之后,通過多源異構(gòu)數(shù)據(jù)匯聚平臺對接入數(shù)據(jù)進(jìn)行清洗、去重、研判、富化后,進(jìn)行多場景化的關(guān)聯(lián)分析、數(shù)據(jù)挖掘,并梳理形成基礎(chǔ)庫資源與安全庫資源。
省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺通過FTP與國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺進(jìn)行通信,上報基礎(chǔ)資源庫與安全資源庫,以支撐國家平臺進(jìn)行安全分析的數(shù)據(jù)來源。同時拉取國家平臺下達(dá)的安全預(yù)警通告與安全處置指令。整個通信過程由VPN隧道提供數(shù)據(jù)安全保障。
客戶價值
1、工業(yè)互聯(lián)網(wǎng)資產(chǎn)地圖
以A市地圖的方式,按區(qū)直觀呈現(xiàn)市內(nèi)工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況,包括(需顯示字段為推薦顯示):
A市內(nèi)重點企業(yè)分布,包括工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)企業(yè)、標(biāo)識解析企業(yè)。企業(yè)包含的需顯示字段信息應(yīng)包括企業(yè)名稱、分類、所在地、所屬行業(yè)、工商信息、IP信息等。
A市內(nèi)平臺分布,包括工業(yè)互聯(lián)網(wǎng)平臺、物聯(lián)網(wǎng)平臺、車聯(lián)網(wǎng)平臺。平臺包含的需顯示字段信息應(yīng)包括平臺名稱、所在地、接入方式等。
工控設(shè)備及系統(tǒng)分布,包括聯(lián)網(wǎng)工控設(shè)備及系統(tǒng)、暴露工控設(shè)備與系統(tǒng)。需顯示字段信息應(yīng)包括IP信息、設(shè)備/系統(tǒng)類型、協(xié)議類型、地域等。
漏洞分布,需顯示字段信息應(yīng)包括類型、等級、涉及產(chǎn)品、IP信息、地域、廠商等。
安全事件分布,需顯示字段信息應(yīng)包括類型、發(fā)生時間、IP信息、企業(yè)信息、地域等。
2、威脅信息監(jiān)測與報送
省級平臺通過部省接口向國家平臺報送各類安全事件和安全漏洞信息數(shù)據(jù),實現(xiàn)惡意網(wǎng)絡(luò)資源報送、惡意程序信息報送、安全隱患報送、安全事件信息報送、其他消息報送和報送響應(yīng)消息等功能。
惡意網(wǎng)絡(luò)資源報送:省級平臺通過部省接口向國家平臺報送惡意IP地址信息、惡意電子信息、惡意即時通信等。
惡意程序信息報送:省級平臺應(yīng)對工業(yè)互聯(lián)網(wǎng)惡意程序進(jìn)行識別和檢測并通過部省接口向國家平臺進(jìn)行惡意程序信息報送。
安全隱患報送:省級平臺應(yīng)能對以下安全隱患進(jìn)行監(jiān)測識別并通過部省接口進(jìn)行報送。安全隱患報送包括但不限于:安全漏洞報送、弱口令報送、非法授權(quán)報送等。
安全事件信息報送:省級平臺應(yīng)能對各類安全事件進(jìn)行監(jiān)測并通過部省接口對國家平臺進(jìn)行消息報送,安全事件信息包括但不限于:主機受控事件、勒索病毒事件、數(shù)據(jù)泄露事件、安全隱患事件、拒絕服務(wù)攻擊事件、隱患利用事件、有害程序事件、信息篡改事件、信息仿冒事件、訪問異常事件、高級威脅事件等。
威脅信息與IP、設(shè)備、企業(yè)、區(qū)分布做信息關(guān)聯(lián),便于國家平臺的研判與通報。同時,由國家平臺下發(fā)系統(tǒng)發(fā)現(xiàn)的威脅信息進(jìn)行通告預(yù)警,省級平臺可針對指令反饋預(yù)警效果。
3、攻擊者與受攻擊者畫像刻畫
從IP信息、攻擊方式、攻擊次數(shù)、利用漏洞情況、攻擊時間分布、攻擊地域分布、所屬企業(yè)等維度,對攻擊者與受攻擊者進(jìn)行畫像分析。也可重點分析某一事件,例如分析主控端與被控端的各類關(guān)聯(lián)信息,目的是在今后的報告撰寫中可從更豐富的角度提出更獨特的觀點。
4、持續(xù)提升安全防護(hù)能力
通過云端安全能力的安全情報、知識、專家能力賦能,幫助企業(yè)融合安全系統(tǒng),提高態(tài)勢感知、威脅分析、自動化處置水平,整體及時發(fā)現(xiàn)、阻斷、響應(yīng)大規(guī)模、高級別網(wǎng)絡(luò)攻擊威脅,統(tǒng)一感知,整體協(xié)防,系統(tǒng)性持續(xù)提升安全防護(hù)能力。
客戶評價
該項目通過部署安全監(jiān)測平臺,可實時監(jiān)測企業(yè)安全態(tài)勢,有效減少因為網(wǎng)絡(luò)安全問題導(dǎo)致企業(yè)停工停產(chǎn)帶來的經(jīng)濟(jì)損失,提升工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)的應(yīng)用和推廣價值,最終實現(xiàn)產(chǎn)業(yè)及企業(yè)的數(shù)字化在有效的安全保障下可以有更多的創(chuàng)新,可以更快速的發(fā)展。
來源:數(shù)世咨詢