黃河連線專訪丨姚羽:保衛工控安全就是保衛國家安全

聚焦信息技術領域 為產業發聲

導讀

2010年，全球第一個專門定向攻擊真實世界中基礎（能源）設施的「蠕蟲」病毒——震網病毒出現並席捲全球工業界，使得伊朗的核設施受到攻擊，大量設備感染了這種病毒；2017年5月，WannaCry勒索病毒再次席捲全球，我國關鍵信息基礎設施受到劇烈影響......保衛工業控制安全就是保衛我們的國家安全。面對如此嚴峻的安全形勢，我們該如何認識工控安全現狀？如何保衛我們的工控安全？如何培養工控安全人才？如何有效抵制攻擊？黃河連線特此採訪了東北大學計算機科學與工程學院教授、瀋陽市大數據管理局副局長姚羽，以下為採訪實錄：

1.黃河連線：工業控制系統網絡安全問題是從什麼時候出現？現在的發展態勢如何？

姚羽：工業控制系統網絡安全實際上是伴隨著攻擊出現的。最典型的事件是2010年出現的第一個專門定向攻擊真實世界中關鍵基礎（能源）設施的「蠕蟲」病毒——震網病毒，它使得伊朗的核設施受到攻擊。以這個事件為標誌，全世界開始真正關注工業控制系統的安全。當然，在20世紀80年代左右就已經有工業控制網絡了，只是那時尚未出現這麼嚴重的安全問題，所以工控安全問題不那麼引人注意。

目前，在國際上，美國走在了工控安全的最前沿。其次是俄羅斯，俄羅斯的卡巴斯基公司很有特點，且在工控安全方面有非常全面的布局，防護措施做的很好。相對於美俄來說，我國的工控安全剛剛起步，目前處於快速發展的階段。

2.黃河連線：近期有哪些讓您印象深刻的工控安全事件？近期出現的這些工控安全事件和以往出現的工控安全事件相比，有什麼新的特點或者變化？由此可以預測出工控安全未來的一些動向麼？

姚羽：近期印象深刻的工控安全相關的事件非常多，最引人關注的就是WannaCry、Petya、Triton等。通過觀察這些事件，可以得到以下幾個特點：

首先，這幾年工控安全事件的爆發數量逐漸增加，爆發規模和影響都越來越大。它們往往都是針對某些行業通用產品漏洞進行的攻擊，一旦發起攻擊，影響的面更大。此外，受工控系統控制的關鍵基礎設施受到的攻擊屢見不鮮，使安全事件的後果更為嚴重。

其次，大量工控系統處於「裸奔」狀態，同時又與IT網絡系統存在互聯，使得工控系統的安全狀況極為脆弱。例如，WannaCry本身並非專門針對工控系統的勒索軟體，但是在爆發期間也有大量工控系統被連帶攻擊，導致控制系統癱瘓、企業停產等嚴重後果。

再次，攻擊行為的組織化特點非常明顯。攻擊過程往往需要大型的團隊協作完成，從漏洞挖掘、利用到攻擊鏈條的設計與攻擊代碼的編寫等進行全流程的專業開發。例如剛剛爆出的Triton惡意軟體就是針對工業控制系統中專用的安全儀表系統（Safety Instrumented System，簡稱SIS）進行的攻擊，從已知的攻擊複雜度來看，該攻擊事件的幕後黑手應該是國家支持型黑客。

最後，隨著從事工控網絡攻防研究的人越來越多，攻擊的門檻會不斷降低。例如，WannaCry就是由攻擊者直接利用公開的「永恆之藍」漏洞發起的攻擊。隨著攻擊者開始關注工控安全這個領域，在Github上公開的工控系統攻防的相關工具越來越多。這意味著，通過不斷的積累，攻擊者潛在的攻擊能力會越來越強，未來工控系統面臨的風險越來越大。可能有一天，針對工控系統的攻擊行為就是一個高中生改寫了一個腳本而發起的，這也是我們需要關注的一個趨勢。

3.黃河連線：能否通過一個例子，比如震網病毒，說明一下我們的工業系統是如何受到攻擊然後解決危機的？

姚羽：目前階段，對工控系統的攻擊大部分是利用惡意軟體來實施的。以震網蠕蟲病毒為例，這一病毒特殊的地方在於它不直接攻擊伊朗核設施，而是這樣的攻擊過程：在惡意軟體開發出來後，最開始是在網際網路上進行傳播的。攻擊者採用有針對性的方式，通過一些釣魚攻擊手段引誘被攻擊者誤操作後把病毒傳播到了自己的外網計算機裡。

由外網計算機到工控內網計算機的的傳播過程主要是利用人的因素。即便個人計算機與工控的系統是物理隔離的，但是仍然可以通過U盤實現蠕蟲病毒的傳播。在伊朗的核設施中，管理網和控制網在物理上是完全隔離的，但是病毒仍然由外界進入管理網，再傳播到控制網，這可能不僅僅是由一個傳播者實現的，而是通過多個用戶的傳播達成的。也就是說，雖然做到了物理隔離，但是人的安全意識差，給這種滲透帶來了攻擊的機會。

震網病毒的獨特之處是它會修改工控編程軟體的編譯行為，使運行工控軟體的PLC（可編程邏輯控制器）執行惡意操作。雖然震網病毒只是改了一個參數，但是工業控制系統卻對這樣的修改很敏感。因為工控系統在設計之初並沒有考慮被篡改參數這件事，所以一旦參數被修改，就會對工控系統造成極大危害，最終導致伊朗的核設施爆炸。

現在我們都在談兩化融合、中國製造2025、工業4.0，這都要求工業控制網絡和IT網絡一定要有連接，這是一個不可逆的趨勢，這也意味著工控安全問題會日益突出。

4.黃河連線：面對愈加嚴峻的工控安全問題，該如何捍衛我們的工業控制系統網絡安全？比如，面對2017年上半年發生的wannacry勒索事件，工控行業應該如何有效抵禦及防範？

姚羽：現階段，我們第一步要做的是提高對工控安全的認識，尤其是國內的企業。我們知道，工業領域一直有工業安全的概念，但是傳統的工業安全和我們今天所說的安全不一樣。傳統的安全是指運行安全，是在假定不存在惡意行為的前提下保證工控系統運行中不出現生產事故。而我們今天所說的安全是要防範攻擊者的惡意行為。當我們跟很多工業企業去打交道的時候，他們會說我們有工控安全，顯然他們還沒有意識到這種差別。

其次，在大家認識到工控系統安全的必要性後，還要做好防護策略。在運行方面，工業系統要求保證實時性，這意味著網際網路安全的防禦手段，如防火牆、殺毒軟體等往往不會被工業企業接受，因為這些防禦手段往往會影響工業生產的實時性；此外，防禦策略的實施不能影響工控系統運行的穩定性和連續性，如果一個安全手段的實施需要系統重啟甚至導致停產，這是不可接受的。

當然，這並不意味著所有的網絡安全手段都不適用於工控系統，有一些不會參與到工業生產過程中的安全防護措施是可以應用的。對於工業控制系統而言，一般會應該使用白名單、工控蜜罐、旁路數據分析等防護手段，可以做到不會影響生產，又可以起到防護作用。

第三，要落實標準規範，完善網絡安全管理制度。近期，國家下發了一批工控安全相關的條例、工作指南、管理辦法、防護指南等，工業企業要參考這些法規、規範等，落實本企業的網絡安全防護。當然，對於普通用戶而言，要提高安全意識，尤其是不要隨意插拔移動介質，畢竟U盤的不當使用是惡意軟體滲透的主要途徑。

5.黃河連線：面對嚴峻的工控安全問題，我們要做好防禦，但是隨著現在物聯網、人工智慧、大數據等新技術的出現和飛速發展，您認為這對工業控制系統網絡安全是好事還是壞事？您對未來的工業控制系統網絡安全的發展有哪些看法和觀點？

姚羽：我認為物聯網、人工智慧、大數據的發展對工控安全是好事。

首先，物聯網有很大部分的應用場景在工控上，從工控安全角度來說，物聯網安全一定程度上也是工控安全。隨著物聯網的發展會出現很多的安全問題，那我們也有很多研究的機會。

其次，大數據會對工控安全有很強的支持作用。之前，我們考慮網絡安全的分析是就一點論局部的網絡安全，現在有了大數據做支持，對於攻擊行為的分析就可以不僅僅限於局部數據。如果放在網際網路大的背景中，就擁有了很多安全數據來源，這些數據可以告訴我們，一次攻擊行為背後的攻擊者之前做過哪些事、有哪些關聯攻擊者、其他攻擊行為特點等。通過多源的數據分析，才能以更全面的視角審視一次安全事件，並進一步給防禦者提供有效的預警預測。

而人工智慧的發展對於工控安全也有很大支持。比如，我們的團隊做了一些聚類分析及相關的人工智慧方面的工作，並利用深度學習對企業內部的流量進行分析。因為大量的數據分析僅靠人是分析是無法完成的，而通過人工智慧的支持，就能大大提高分析效率並發掘潛在的規律。但是，我認為，在現階段人工智慧的作用還比較有限，例如，一些通過人工智慧挖掘出來的結果是無法在防禦中直接使用的，還需要工控安全專家去決策、判斷這些結果背後隱藏了什麼實際意義。人工智慧目前只能起到一個初步篩選的作用，作為網絡安全專家的助手，最後的決策還需要由人來做。

6.黃河連線：您目前是否有自己的團隊？

姚羽：我之前從事惡意軟體的傳播數學模型這方面的研究，在2010年的震網事件之後開始關注工控安全，2012年開始做一些工業控制系統的漏洞捕獲、分析研究工作，更面向應用。現在，我們成立了東北大學「諦聽」工控網絡安全實驗室，目前有碩士和博士有30人左右，是國內比較早研究工控安全的實驗室。

7.黃河連線：為什麼給實驗室取名「諦聽」？有什麼特別的寓意嗎？

姚羽：「諦聽」這個名字來源於地藏王菩薩的坐騎，在西遊記中，它可辨別真假孫悟空，團隊起這個名字，也是想要辨別工控領域的善惡。我們做了一個網絡空間工業設備的搜尋引擎1.0版本，在網際網路上是公開的，可以搜索並查詢網際網路上暴露的工控設施情況。目前，我們內部已經做到了3.0版本，不僅僅包括搜索功能，還可以對攻擊行為進行更深入的分析，我們的系統可以定義為：全網工控安全態勢感知系統。

8.黃河連線：團隊目前在工控安全方面的工作有哪些呢？

姚羽：諦聽的定位就是做全網的工控安全態勢感知。也就是說，基於網際網路安全數據來洞悉網絡安全風險，以網絡安全大數據為基礎，從全球的視角來理解分析工控網絡安全，最終目的是為了決策和行動——態勢認知、理解、預測。

態勢認知主要包括諦聽1.0的工控安全搜尋引擎。此外我們還做了一些工控蜜罐，以此捕獲網際網路攻擊者嘗試進行的攻擊行為。態勢的理解主要根據態勢認知得到的數據結合威脅分析情報的支持，得出攻擊者的畫像。判斷攻擊者日常所做的攻擊行為有什麼規律、工具是什麼、屬於什麼組織、有什麼意圖等。態勢預測主要延續之前做的基於網絡攻防的數學模型的工作，利用手裡工控安全的數據，對趨勢進行分析、預測。

9.黃河連線：您之前說到了人在工控安全領域的重要性，那麼我國工業控制系統網絡安全人才目前是什麼樣的現狀？如何才能成為工控安全領域的人才呢？

姚羽：我國的工控安全剛剛起步，這方面的人才非常匱乏。對於想要從事工控安全研究或技術工作的學生或技術人員，我有兩點建議：第一，要有足夠的興趣。前面說過，國內的工控安全剛剛起步，這一領域還沒完全展開，要做好坐冷板凳的準備，沒有興趣的話難以持久深入的做下去。第二，要做到理論和實踐相結合。一方面工控安全的實踐性很強，一定要把實踐擺在最前邊；另一方面，如果不把實踐提升為理論，那實踐也就成了一盤散沙，難成體系。國內工控安全領域發展很快，要時刻關注新的趨勢，多關注新動態，與時俱進。

工控安全是一個典型的交叉學科，主要涉及兩個方面：第一，要熟練掌握和深刻理解網絡安全技術，第二要對工控領域的業務比較熟悉。不管是網絡安全和工業控制，這兩個行業都發展了很多年，博大精深，學習它們需要一個長期的過程。要想成為工控安全方面的人才，至少要對其中一個領域比較精通，在此基礎上，學習和擴展另一個領域。通過交叉實踐後才能真正做好。一開始的時候，可能相關的資料比較少，大家可以參閱我參與編著的《工業控制網絡安全技術與實踐》一書，這是國內第一部工控安全領域的著作。

另外，英語水平要高。由於國內工控安全方面的資料比較少，而國外在這一方面已經有一些成熟的東西，形成了自己的特點和體系，因此，要時刻關注國外的進展，到國外的社區中去搜集相關資料，關注相關事件。最後，還要具備一定編程能力。

聲明：

部分圖片來源於網絡

黃河連線系太原九州連線文化傳媒有限公司旗下品牌

本平臺法律顧問為山西晉商律師事務所

黃河連線原創文章，轉載請註明出處