一、行业背景
制造业是国民经济的主体,是立国之本、兴国之器、强国之基。以工业互联网为代表的新工业革命,以数据作为创新发展的要素,以数据驱动新型生产制造和服务体系建立,使数据成为贯穿工业制造的“血液”,成为提升制造业生产力、竞争力、创新力的关键要素。因此,制造业信息系统安全关乎企业经营、核心竞争力,关乎国计民生,关系国家总体安全。
二、安全需求
制造业信息系统与其他行业(非工业、制造行业)相比更加复杂,总体而言主要涵盖以下三个层面:
1、工业控制系统(ICS),是工厂生产制造自动化系统,包括:DCS、PCS、PLC、HMI、SIS等。
2、企业管理信息系统,是企业用于生产、经营的传统信息化系统,如:MES、ERP、CRM、WMS、PLM、CAD/CAM等。
3、工业互联网,是与企业“数字化转型”相关的系统,如:工业物联网、移动互联网、工业大数据等各类应用系统。
工业领域的安全一般分为三类:网络安全(Security)、功能安全(Functional Safety)和物理安全(Physical Safety)。
在第一层面,即工业控制系统(ICS),安全多关注功能安全与物理安全,即防止工业安全相关系统或设备的功能失效,当失效或故障发生时,保证工业设备或系统仍能保持安全条件或进入到安全状态。
第二层面,即企业管理信息系统层面,是以网络安全为主,也包括企业知识产权保护(IP)相关的数据安全等安全体系。
不过近年来,随着工业控制系统IT和OT的融合不断加深,工业控制系统也面临严重的网络安全威胁,如何抵御工业控制系统面临的安全威胁则成为一个紧迫的安全需求。
在第三个层面,即工业互联网的安全挑战更为艰巨:
1、工业互联网以“云计算、移动互联网、大数据、物联网”等新技术为基础,导致工业控制网络、企业管理信息系统网络边界模糊甚至消失,数据和指令在工业控制网络、企业管理信息网络和“云”之间,行业内部或者行业间流动,因而面临的安全威胁的范围、复杂度、风险等级前所未有。
2、工业互联网数据同时具备的“工业”和“互联网”属性,数据种类、结构、归属、用途繁多;数据处理过程复杂;数据使用者范围广、权属复杂;数据价值、重要程度高等一系列特性,决定了工业互联网数据安全治理的重大挑战。
3、工业互联网平台、物联网设备(系统)成为主要的安全威胁攻击目标,但是很多企业也还没有意识到相应的安全体系建设(安全技术、安全管理、安全策略)的必要性与紧迫性。
总体而言,制造业的安全需求主要体现在以下几个方面:
首先,在网络安全方面,面临着APT、“0”DAY、社交工程、软件供应链等各种层出不穷的新型安全威胁(技术、战术组合)。例如:传统的特征匹配和威胁情报依赖已知威胁,无法检测0DAY等未知威胁攻击;沙箱与真实环境始终存在差异,容易被逃避和欺骗;入侵防御,漏洞扫描,终端安全等安全产品各自为战,其产生的异常告警无法实现关联分析,误报漏报严重;针对恶意样本行为进行学习的AI技术,依赖于作为样本的已知攻击手法,无法检测未曾学习过的未知威胁等。制造业客户急需解决现有安全产品在威胁检测环节存在的问题,尤其对于物联网设备、平台和系统,需要有更有效的风险预警、威胁检测手段。
其次,在数据安全方面,制造业不仅仅需要知识产权(IP)方面数据防泄漏解决方案,更需要进行有效的数据安全治理,特别是那些部署了工业物联网,工业互联网的制造业企业,迫切需要按照数据安全治理的理念和方法实现数据安全保护。
最后,在安全管理和运维方面,制造业推进以新一代信息技术为驱动新工业革命的过程中,数据和应用贯穿“IT”和“OT”系统,覆盖业务流程的深度和广度(设计、生产、制造、销售、运输、售后服务等环节)都大大超过了传统企业信息系统运维管理的范畴,迫切需要一个可视化平台,实现企业安全运维管理可视化。
三、解决方案
面向制造业,全息网御主要提供以下3个解决方案:
1、提供工业互联网数据安全治理工具,以DCAP的技术和方法,实现数据发现、分级、分类;覆盖数据生命周期的工业互联网数据监控和审计;对内部威胁导致的数据泄漏、盗取威胁实现预警和告警;数据防违规审计、追溯、取证等功能。
2、实现 “用户、设备、应用、数据”四个维度资产画像、关联以及可视化,以制造/控制过程和工业数据为核心刻画用户、设备和应用,提供企业业务运营、安全运营情报平台,实现安全管理运维可视化。
3、采用UEBA技术的预警和检测方案,完善当前网络安全体系:采用机器学习技术,构建企业安全基线,通过用户和设备行为分析(UEBA),检测和发现的安全威胁突破边界后的横向移动、权限提升、损害制造/控制过程、数据盗取等异常行为,从而实现不依赖于特征匹配、威胁情报的新型安全威胁预警和检测。
部署和实现方式:
1、在工业控制网络,企业信息管理网络,以及工业互联网云平台部署HolFlow数据采集器,实现工控数据、企业管理数据、工业大数据等多元基础数据的采集。
2、数据分析平台HoloVision采用集群模式部署在运维管理区,采用机器学习技术,自动发现、学习、刻画“用户、设备、应用、数据”四个维度资产,并对客户资产实现精确描述,对四个维度进行关联分析。
3、通过数据分析平台提供网络安全和数据安全监控、审计、预警等功能。
a.数据分类和发现:根据用户策略以及合规要求,如:《工业数据分类分级指南(试行)》, 对工业数据进行发现、分级、分类。
b.用户的数据访问活动的监测:针对所有应用程序用户和管理员访问特定数据集的权限,制定安全策略来管理和监视。
c.多维度关联数据访问行为审计:支持6个月以上的用户、设备和应用的数据访问行为审计,例如:数据访问追溯、取证,数据合规审计等。
d.异常行为分析、告警,未知威胁预警:根据预先选定的监测标准创建安全预警、告警。包括:违反安全策略行为,数据泄漏、盗取、违规等的可疑的异常行为,发现内部威胁和未知(新型)威胁。
e.工业大数据安全防护:数据脱敏违规审计、数据溯源、数据泄漏保护等。
f.安全运维管理可视化。
四、方案价值
1、动态数据资产发现和分级、分类:对于工业互联网数据的实时发现、动态数据分级、分类和权属标记,专注于关键、核心资产,是数据安全治理的重要工具。
2、数据资产的全面精确描述:在数据资产发现、分级、分类的同时,提取与数据关联的用户、设备和应用(业务系统),全面、精确描述数据资产,实现数据内容、业务属性、安全属性的关联。
3、抵御内、外部安全威胁:采用UEBA技术发现内部威胁,实现数据安全预警、阻止数据盗取,保证数据安全。
4、贯穿工业控制系统、企业管理信息系统、工业互联网,IT系统和OT系统融合,实现安全可视化。
五、特点和优势
1、无感知、按需部署:全息数据采集器支持TAP模式(镜像模式)部署,根据用户数据发现需求按需部署,对网络、业务系统无感知。
2、轻量化数据采集,实时处理:全息数据采集器即时处理网络流量,形成日志上送分析平台,对网络带宽、数据存储要求低,适用于大数据环境,扩展性好。
3、无监督学习:支持无监督机器学习,自动关联数据资产、用户、设备和应用,自动画像,自动刻画基线,构成企业数据安全情报系统。
4、智能异常检测,并通过资产关联、威胁情报等手段进行定位、跟踪。
5、内部威胁告警取证和追溯,支持6个月以上的用户、设备、应用和数据的追溯,取证,行为还原。
关于全息网御:全息网御是行为数据驱动信息安全的领航者,通过其特有的专利技术系统性融合了NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台。为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。