王弢 360企业安全集团

近年来，工业信息安全工作越来越受到政府、工业用户、科研机构和工控系统厂商的重视。工业信息安全厂商为满足客户合规性和现实中面对安全风险的需要，开发了专门针对工业控制系统的专用安全产品和安全解决方案。这些产品和解决方案的设计理念大多基于IT信息安全行业传统的防护思想，虽然对解决目前迫切的工业安全防护需求有很大的帮助，但当面对有其它国家政府或大型组织背景，使用APT攻击或0-day漏洞攻击的威胁，常常不能提供充分、有效的防护。

经过多年的发展，IT信息安全领域的专家已经深刻认识到，只依靠传统的基于防火墙、防病毒软件、IDS等产品的安全解决方案不能有效应对越来越严重的信息安全威胁。IT信息安全领域近年来正在发生重大而深刻的变革，新的理念、新的方法、新的产品不断涌现。信息安全从业者尝试基于积极防御、威胁情报、态势感知、数据驱动安全、安全可视化等理念，使用大数据、人工智能等新技术解决信息安全问题，并取得了良好的效果。国家关键信息基础设施用户面对的信息安全威胁常常不是仅有少量资源的“小黑客”，而是储备大量0-day漏洞，并具有将其“武器化”能力的敌对政府和组织。对这些设施的安全防护方案需要借鉴IT信息安全领域最新的安全理念和成果，才能满足安全需求。

与此同时，工业信息安全需要特别强调与工控系统可靠性、功能安全性等特性的平衡与统一，即R可靠性（Reliability）、A可用性（Availability）、M可维修性（Maintainability）、S安全性（Safety、Security）协调发展。IT信息安全领域的理念和方法不能不加选择地照搬。本文尝试将IT信息安全领域已取得共识的，适合工业信息安全领域使用的一些理念和方法引入工业信息安全领域，希望能对行业从业者提供一点参考和借鉴。

1　数据驱动安全

2011年5月，全球知名咨询公司麦肯锡（Mckinsey）发布了《大数据：创新、竞争和生产力的下一个前沿领域》报告，首次提出“大数据”的概念，并在报告中指出：“大数据已经渗透到每一个行业，逐渐成为重要的生产要素，而人们对于海量数据的运用将预示着新一波生产率的增长和消费者盈余浪潮的到来。”“数据不是对数据量大小的描述，而是对各种数据进行快速地攫取、处理和整理的过程。通过对海量数据的整理和分析，从而挖掘出新知识，创造新价值。”

大数据时代的到来， 为企业带来了新的安全问题，同时也为企业安全提供了新的技术手段。Gartner副总裁、知名分析师、Gartner荣誉研究员Neil MacDonald表示：“信息安全团队和基础设施必须适应，以支持新兴的数字业务需求，同时应对日益先进、严峻的威胁形势。安全和风险负责人如果要定义、实现和维持有效的安全和风险管理项目，他们需要全面了解最新的技术趋势，同时实现数字业务机会并管理风险。”

大数据处理的理念和技术对以积极防御为平台的威胁情报收集和应用，并进一步的工业态势感知，具有基础性作用。

2　积极防御

为了实现持续的工业安全风险管理目标，企业需要建立能够随着时间不断演进的安全架构和技术支撑体系。这会让企业在面对威胁和挑战时不断完善自身防御体系以及强化防御“姿态”。

SANS研究所的Robert M. Lee提出了一个动态安全模型——网络安全滑动标尺模型。该标尺模型共包含五大类别，分别为架构安全（Architecture）、被动防御（Passive Defense）、积极防御、情报（Intelligence）和进攻（Offense）。这五大类别之间具有连续性关系，并有效展示了防御逐步提升的理念。

图1 网络安全滑动标尺模型

（1）架构安全：在系统规划、建立和维护的过程中充分考虑安全防护。

（2）被动防御：在无人员介入的情况下，附加在系统架构之上可提供持续的威胁防御或威胁洞察力的系统。

（3）积极防御：分析人员对处于所防御网络内的威胁进行监控、响应、学习（经验）和应用知识（理解）的过程。

（4）情报：收集数据，将数据转换为信息，并将信息生产加工为评估结果以填补已知知识缺口的过程。

（5）进攻：在友好网络之外对攻击者采取的直接行动（按照国内网络安全法要求，对于企业来说主要是通过法律手段对攻击者进行反击）。

现阶段大多数工业企业的工业信息安全工作都聚焦于“架构安全”和“被动防御”，对“积极防御”和“情报”则涉及较少，因此在设计工业安全防护方案时应该聚焦于回顾“架构安全”补强“被动防御”，重点发展“积极防御”和“情报驱动”，以有效提高企业的信息安全防护能力。

在进行“被动防御”改进与“积极防御”进阶时，Gartner的自适应安全架构，则可作为较好的参考。

图2 自适应安全架构

自适应安全架构将持续的监控和分析过程分为：预防预测、阻止与防护、检测与监控、响应与调查四个主要环节，每个环节中包含多个监控和分析方法。而支撑这些监控和分析方法的是企业或组织内部的各层数据和威胁情报。

3　威胁情报

依据美国国家安全系统委员会（CNSS）提供的定义，在网络安全领域的态势感知是指：在一定的时间和空间范围内，对组织的安全状态以及威胁环境的感知，理解这两者的含义以及意味的风险，并对它们未来的状态进行预测。

这里面我们可以解读出两种含义：

（1）态势感知需要掌握组织内部的安全状态，以及相关的外部威胁环境数据。掌握组织内部的安全状态主要依赖主动防御措施，采用数据驱动的持续监控方案，而相关的外部威胁环境数据，就是指威胁情报。

（2）态势感知的目的是深入理解当前的风险，并可以对未来的风险进行预测、预防。试想下面一种情况：内部发现有一台终端被黑客的木马控制，单纯这一个事件并不能让我们对其风险有深入了解，如果我们通过威胁情报判定黑客的攻击目地，就可以对风险有进一步的理解，如果进一步获取其团伙的技术水平、经常使用的技战术手法等情报，就可以反观组织现有的检测、防御措施，给出预警以及配套的预防改进措施。

威胁情报是基于证据、有关已知或新型威胁或危害的知识，包括上下文、机制、检测指标、影响和活动建议，能够作为应对的决策依据。基于组织中安全人员不同角色的决策需要，我们还可以把情报分为3类：

（1）高层管理者使用的战略情报

以CSO为代表的公司高层管理者最重要的工作之一是在管理层沟通、获取资源并进行资源的分配。其中的挑战是其它管理层难以了解攻防技术、众多安全建设工作的优先级排定缺少依据。战略情报提供组织需要面对的攻击者类型、动机、能力及潜在风险方面的情报。CSO可以使用自身或行业面对的真实对手及其风险来更好地和管理层沟通，也可以基于这些风险和攻击的可能性提供优先级排序进而优化资源分配。这部分的情报可以由有丰厚威胁情报能力的安全厂商以服务的形式提供。

（2）SRC或安全分析团队使用的运营层面的情报

SRC团队的主要工作是对已经发现的失陷攻击事件进行深入分析、确定攻击细节和影响面，并采取缓解、清除等响应活动。同时SRC团队也会进行Hunting（安全狩猎）的工作，主动发现可能存在的失陷情况。这样的工作都需要他们掌握更多的不同攻击类型相关的TTP知识（战术、技术和过程方法），以及了解更多攻击相关的上下文信息（攻击目的、危害、传播方式等），以加快分析溯源的时间并掌握更多识别失陷的分析模式。这些情报通常以云端威胁情报平台等形式提供。

（3）机器可自动化处理的机读情报（MRTI）

安全运维人员使用这些情报一般有两个作用，一是作为检测指标（IOC）下发到安全设备中，检测其它安全产品未能发现的威胁，如CnC类别的威胁情报；另一个作用就是用来判别误报及确定高优先级的报警，如IP信誉、域名信誉等。这种类型的情报常常和安全产品紧密结合在一起使用。

安全厂商生成威胁情报是一个复杂的过程，需要具备多种能力才有可能完成，一般可以分为如图3所示的八步。

图3 威胁情报的产生过程

（1）数据收集

数据收集是威胁情报生成最关键的环节，决定了产生的情报是否能最全面的覆盖威胁，因此往往会聚集多种不同来源的情报数据。

（2）数据清洗

将以上数据根据后续加工的需要进行整理、去除不可信数据、将关键数据结构化等过程。

（3）数据关联

数据关联是数据验证的前提条件，通过数据关联梳理不同类型数据间的关系，如样本、样本不同方式的检测分析结果、样本的网络行为、域名注册者、域名指向的IP、IP上面的其它域名等。

（4）验证

通过建立关联关系的数据，再利用机器学习的方式（有可能结合部分的人工分析）对情报的准确性进行验证，并赋予相应的可信度指标。

（5）上下文

包括如攻击类型、样本家族、攻击团伙、攻击目地、传播渠道、具体危害等报警响应需要的内容。

（6）优先级

根据攻击目的、具体危害等信息，确定报警优先等级信息。

（7）格式化

根据分发的要求，将情报以特定的格式输出，如：STIX、openIOC、JSON、xml等，非MRTI类型的情报还可能以PDF、word等类型提供。

（8）情报分发

根据不同类型情报的用途，可以推送给安全产品、打包供下载，或者邮件发送。

4　基于威胁情报的态势感知

威胁情报在态势感知中可以发挥多重的作用，比较关键的有以下几种：

（1）在大数据平台等态势组件中集成威胁情报的检测能力

如C&C类的威胁情报，通过流量或者日志的匹配检测，可以帮助组织尽快发现内部被黑客控制的傀儡机，防止木马后门等恶意软件带来的数据失窃问题。

（2）提供配套的报警分析处置工具，加速事件响应进程

通过良好的情报工具，安全响应人员可以更好地完成以下任务：报警等级以及误报判别、攻击目地判定、攻击者画像（通过关联分析，查找攻击者相关的攻击事件及技战术分析等）。

5　安全可视化

数据可视化是研究如何将数据之间的关联关系以及蕴含的意义，通过可视化方式进行展现，便于分析人员的深度分析技术。尤其对于情报分析领域，可以极大地提升情报分析的效率和效果。在工业安全方面，一方面可利用可视化技术，将原本碎片化的威胁告警、异常行为告警、资产管理等数据结构化，形成高维度的可视化方案，以便于用户理解；另一方面可以通过可视化技术将威胁事件与企业业务进行有机结合，通过态势感知大屏将内网全局的安全态势以图形化的方式直观呈现，将安全由不可见变为可见。

6　结语

本文将IT信息安全领域数据驱动安全、积极防御、威胁情报、基于威胁情报的态势感知、安全可视化理念和方法引入工业信息安全领域。其中数据驱动安全是技术基础，积极防御是平台，威胁情报是核心，态势感知是结果，安全可视化是手段。希望这些理念和方法能够促进工业信息安全行业的发展。

作者简介

王弢，男，现任360企业安全集团工业安全产品线副总监，主要从事工业安全相关工作。从事自动化控制系统的研发和研发管理工作十余年，负责或参与DCS、SIS、PLC、核电仪控系统、铁路信号系统、SCADA等产品开发。

摘自《工业控制系统信息安全》专刊第四辑