近两年,有一家工控安全领域的创业公司烽台科技崭露头角。烽台科技致力于工业控制系统(ICS)及数据采集与监视控制系统(SCADA)相关的安全研究与实践,提供风险发现、预警、加固等能力。同时,还开设了工控安全的意识提升培训,以及后续的安全咨询服务。
近日,安全牛记者采访到烽台科技合伙人兼安全总监雷承霖,将其防护思路、发展概况及实践经验整理如下。
雷承霖:烽台科技合伙人兼安全总监,灯塔实验室创始人。国家工业信息安全发展研究中心特聘专家,长期专注于工控安全新技术分享与攻防技术研究。曾主导工控在线监测预警平台的开发,并多次为重保提供能力支撑。
一、从安全实验室到厂商
安全牛:我们之前对灯塔实验室有了解,做工控安全方向的安全研究。先介绍一下烽台科技的基本情况吧。
雷承霖:烽台科技是2015年成立的,前身是灯塔实验室,通过提供工控领域的安全运营服务,帮助客户发现隐患、降低风险。灯塔实验室有多年工控安全研究的积累,我们一开始的思路是基于这些,帮助客户发现不应暴露在公开互联网上的资产。我们拿到了工控安全相关的大量资质,也参与到了一些相关标准的制定工作。融资情况,目前,烽台科技已经完成了Pre-A轮,天使轮的投资方是贵阳创投。这些投资方对我们的前景也比较看好。
安全牛:灯塔实验室在工控安全研究领域确实有一定影响力。
雷承霖:初灯塔实验室起初是我个人维护的。我们倾向于技术内容。很多知名企业希望我们去讲述更多内容,这样带来了灯塔实验室运营模式的转变。过去三年里,我们逐渐形成了横向、纵向的产品。这包括靶场、资源库和自评估的工具等。同时,我们也很重视通过线下沙龙、相关联盟等形式进行技术向的分享,包括我们参加工控安全领域攻防赛的心得。
安全牛:这个行业需要更多的交流分享,特别是技术氛围更浓厚的,这样才能推进技术的发展。
二、先做工控安全领域的SIEM
安全牛:工控系统厂商很多,生产过程也比较复杂,针对行业垂直。你们的防护思路是怎样的?
雷承霖:检查评估服务、事件与告警管理,以及靶场和实训平台是我们的核心能力。
检查评估服务是我们首先向客户、监管机构提供的服务。每年,我们都会协助网信办、工信部检查50-60家企业。有这样一个案例,我们在给云南的一家工厂进行安全评估时,虽然他们仅提供了二十个主机,但我们通过工厂的开放网络,探测到了很多其他设备。还有一次,是一家烟草公司,核查之后,他们虽然刚刚做过等保三级的风险评估,但核查之后,还是在操作站的系统里发现一个弱口令。。
通过灯塔安全中心,我们可以实现对线上资产的发现,并做IP核查。这个核查我们可以针对每个IP来做过滤和画像,这样可以对联网设备的风险进行快速定位,同时辅助下一步的溯源分析。
事件告警管理,我们的思路是参考防护能力评估,以打分的方式,对协议、网络拓扑、设备、系统日志做关联分析,结果会返回到企业的过程控制系统中(如MES)做展现,方便客户进行管理。工控安全领域,我认为思路和传统IT环境中的SOC有个很大的不同。这个不同点在于,我们的告警是用户事先就明确,经过筛选的内容。即默认是不做告警的。
分析的关键是数据,这就是为什么我们要和相关的管理部门共同配合。只有拿到数据的授权,保证了数据的安全,用户才能不必纠结于到底该选择哪家的态势感知平台来监测自家数据,而且这种服务要有可持续性。这些数据是很有价值的,厂商自身也要有足够的保密意识,才能获得客户的信任。同时,在数据采集方面,我们还有一个重要优势,就是可以获得其他厂商特别是一些外企的产品数据。
我们一直在不断改进系统和平台,争取最大限度的数据完整性。但这部分要做的事情很多,我们会稳扎稳打,而不是急于求成。
安全牛:先把工控安全的SIEM做起来。
雷承霖:就是这个意思,先把探针或者叫代理做起来,再把数据打通,这个也就是烽台科技的主营业务。原来这块服务占到80%,今年我们要把这个控制到50%,产品的内容占到一半,明年预计让产品占到70%。
安全牛:产品利于规模化的发展,服务的提供只能依靠人,人的成本又是最贵的,当然压力很大。安全圈本身就很小,再细分到工控安全领域会更加小,所以对于你们来讲,还是需要从咨询到服务,慢慢转移到产品上去。
雷承霖:对的,现金流的压力也会很大,当你经营好的时候,人是最便宜的成本,当企业经营起步的时候,人力成本是压力最大的。
今年,我们想把态势感知平台运营起来,从可发现做到可运营。很多厂商都纠结于设备指纹,大多是由于它的不稳定性,比如一些断线重连的情况。
网信办主张大数据检查,大数据也需要一个管理模式。所以我们借鉴了思路,把整个态势感知平台一拆为三,前端展示和查询作为一个独立的产品,但是仅作展示,不包含引擎,只帮助用户搜索已经人工导入的数据,而不带扫描的功能。就像GIS(地理信息系统)一样,购买软件就需要先购入一套平台软件再去测绘局购买数据。只能通过付费方式接入数据,在后端做IP核查、检索,拿到授权以后为客户提供服务,以及后期的IP画像、风险管理和分析等,然后再将数据交由国家监管机构进行监管。
三、工业网络靶场重在实训
安全牛:介绍下你们的靶场。
雷承霖:靶场的初衷是为接一些更大的项目,所以我们定义了“工业网络靶场”这个概念。但“靶场”这个概念很大,我们目前也只是完成了狭义的靶场,即完成了连接于网络、虚拟机的调度管理,主要是用于攻防演练。
我们可以把客户主机里的东西全部复制,完全模拟用户的真实网络,展示工厂的内部情况、整个网络的拓扑结构,也可以弹出告警日志,显示运营的情况。它是一种整体管理。靶场主要包含这几部分能力:攻防演练、产品测试、安全评估,培训和独立研发测试。其中培训的需求量,我们目前看来是最大的。
同时,攻防比赛是一个非常好的实训模式。一边学习一边动手,而不光是纸上谈兵。我们的实训平台是线上的,整个实操过程都在虚拟机里进行。我们已经和一些学校展开了合作,这样可以培养出更多的技术人才。
截至目前,我们积累了4000个核查完的、有明确指向的国内联网工控系统。这是一个不断积累的过程,人才培养也是如此。
四、安全建设前置 实施过程内置
安全牛:从整个行业的视角来看,工控安全领域现在面临哪些挑战?
雷承霖:首先我非常看好工业互联网,未来几年将会是私有云在企业、集团的落地,就像当前的ERP。而目前工控安全更多是政策性的推动,加上传统的信息化、自动化程度不够,导致安全不是一个很透明的行业。未来,工控安全是在原生态的情况下考虑安全问题。比如安全功能不再需要防火墙,可能在操作系统里直接就包含了,安全逐渐变成内置。而且,自主技术也会逐渐得到发展。
安全牛:网络安全要“三同步”,同步规划、建设和运营,已经成为业内共识。
雷承霖:是的,安全建设是前置的,实施过程中是内置的。而不是做完之后再做安全,打补丁。从下层的物理控制器,到上层的网络,甚至平台,都应是如此。所以我们考虑的是如何在企业建立之初,帮助用户进行安全的规划和设计,是否可以兼顾所有标准,包括重点在哪、一期项目落点哪里、企业的主体是谁。同时,还要量化运营和管理成本,可能的损失,投资回报周期,以及涉及到政府机构各项安全标准的合规等等。这些内容不够明确,很大程度是造成企业决策者不敢在安全上投入的原因。
安全牛:用户会担心做了投入后,还要在同类项目上多次、重复的支出,而且实际的安全能力和效果也没有达到预期。重复建设和多头监管,是他们最担心问题。
雷承霖:对,再有就是效益、回报率的多少。工控安全要保证的是稳定性高,产品需要经过长期测试才能投入使用,而且一旦实施部署之后的很长时间之内都不会再进行迭代。因此,我们要做到的是,任何产品和服务都是经过充分测试、实践、整合,并解决了已发现的问题的,保证了“质”之后才是“量”。
