我國的工控系統從自動化走向智能化期間面臨諸多挑戰 - 網安

近20年，我國的工控系統從自動化走向智能化，期間面臨諸多挑戰。原先工業系統采用物理隔離時歲月靜好，但工業企業IT（信息技術）和OT（運營技術）融合后，一切都暴露在互聯網上，安全風險激增。

工控安全專家劍思庭，將這種風險挑戰比喻為兩個在角斗場廝殺的中世紀武士，“突然角斗場一側的墻坍塌，一輛坦克開進來了。”這種降維打擊猶如工業互聯網對工控系統的沖擊。

他從業的六年，剛好也是工控安全開始明顯增長的六年。近期，他接受FreeBuf專訪，談起工控安全的發展歷程以及未來的方向。

艱難發展：工控安全相比傳統安全遲滯近10年

工控安全是為了防范和抵御攻擊者利用漏洞、惡意攻擊制造生產事故和損害。2021年，業內著名的美國輸油管道運營商Colonial Pipeline攻擊事件就是一起工控安全事件，攻擊者瞄準關鍵基礎設施，加密設備文件、竊取數據、索要贖金，切斷美國東部地區油氣輸送，導致美國宣布進入國家緊急狀態。

由此可見，一旦關鍵基礎設施遭攻擊牽連面甚廣。制造業、能源、交通運輸、石油化工、醫療等行業都是容易遭遇工控攻擊的高危行業。

劍思庭從2016年轉入工控安全領域，此前在工控自動化領域從業十多年的經歷，對他的安全從業之路也有所幫助。2001年，劍思庭從天津大學計算機系畢業，在一家國企做國產DCS控制系統（分散式控制系統）開發，負責上位機監控軟件開發。

隨后他跳槽到外企自動化廠商做技術支持，負責傳統自動化的PLC（可程序化邏輯控制器）和上位機。“在外企一干就是10多年，2016年開始轉到工控安全。”

他剛進入工控安全行業時，市場規模還十分狹小，開展工控安全業務的安全廠商并不多，且盈利困難。2016年工控安全行業市場規模約43億元人民幣。但隨著工業信息安全技術的不斷進步，我國工業信息安全產品和服務也陸續從探索走向實踐應用，市場規模隨之擴大，到2020年已達122億元人民幣。

從事工控安全后他發現，有些工控安全公司的創始人是之前在工控行業結識的同事，“說明他們很早就意識到工控安全這個領域。”雖然當時工控安全是個小眾領域，但業內人士已預見其潛力。

不過，行業現狀是，工控系統開發和應用周期長，本身存在不少安全漏洞和安全風險，因此工控領域的安全也受此掣肘發展緩慢。

劍思庭向FreeBuf解釋，工業自動化廠商在產品開發之初并沒有太多考慮安全因素，廠商的考慮更偏向功能。例如，專用的工控通信協議在設計之初只考慮通信的實用性，缺乏高強度的認證、加密和授權等安全措施；工控系統中的無線通信協議更容易遭受中間人竊聽和欺騙性攻擊。為了保證數據傳輸的實時性，modbus-tcp、OPC等工控協議多采用明文傳輸，易于被劫持和修改。

再加上工業自動化系統的延續性和開發周期長等特性，其使用壽命大約是20年。在這 20 年中，工控產品會不可避免地存在漏洞，還有軟件、硬件更新升級、換代困難等問題。

“工控安全的發展相對滯后于傳統安全，兩者間有將近10年的差距。但現在隨著行業內安全意識的增強，差距正在慢慢縮小。”他表示，現在很多廠商開始推出基于安全的控制器，并且很多用戶開始養成產品購買習慣，從產品側解決以前工控系統存在的脆弱性問題。在此前提下，工控安全的市場前景可觀。

作為一名從業“老兵”，劍思庭經歷了不少工控安全事件。國內工控安全事件很多，但真正披露的不多，令他印象最深刻的一起工控安全事件來自一家全球知名的日化企業，這家企業發現每次新產品上線3個月后，競爭對手也會上線相同的產品。

他介紹，經過排查和逆源發現，競爭對手是利用供應鏈攻擊獲取該公司的商業機密——產品配方，通過木馬遠控該企業供應商的服務電腦。每當這家服務商針對生產線維護和備份的之后，就通過C2將備份傳回，在工業組態軟件打開查看備份的生產數據中的配方，然后再投產。

未來方向：人才和安全能力服務化

工業控制系統網絡是工業化與信息化融合的產物，工業互聯網的應用增添了潛在威脅。當前我國工控領域的安全性問題突出，工控系統的復雜化、IT 化和通用化加劇了系統的安全隱患。

劍思庭從業若干年對工控產品、工控漏洞、工控滲透有著豐富的經驗，他表示行業需要不斷提升安全技術加強防御能力，從邊界、鏈路、端點、認證、授權、加密角度加強縱深防護，這個思路相較于零信任來說，對工控行業更加有效和可落地。

此前工控領域的安全防護以被動防御為主，近些年主動防御理念逐漸占據主流。主動防御能夠在入侵行為發生之前及時預警，實時構建彈性防御體系。

“如果采用更高層的防護就是情報威脅系統，類似 EDR ，還包括整體工控網絡的流量可視化。情報獲取之后，還要在控制器層面及時響應獲取的情報，這是一個比較大的挑戰。”他表示。

當前很多安全細分領域都在倡導將安全當成一種服務能力，即”安全即服務“，工控安全領域也不例外。

“近兩年，我國工業安全領域的法律法規逐漸完善和健全，很多大型制造業廠商開始頻繁地接觸工控安全團隊和安全廠商。對于工控安全行業來說，面臨比較大的考驗，大家從原來傳統的賣盒子，一步步走到賣服務和解決方案，甚至要幫助企業做到工業安全的代運維代管理工作，這些都是未來行業比較大的方向，對行業的技術和人才形成了較大的挑戰。”

他提到，目前工控行業的技術人才基本都是傳統安全人員轉過來的，既了解工控業務又懂安全的人才并不多，缺口很大。安全廠商可以著重培養這方面的人才；也可以從教育入手，例如網絡安全專業增設一兩門學科，結合自動化專業和網絡安全的課程。最好再開設一門實踐課，幫助學生從廠商側了解工控行業的威脅是如何產生、如何發現、如何解決，這樣培養的人才是制造業和工控廠商急需的人才。

精益求精：組建工控安全團隊

2019年，在工作之余，劍思庭和行業內的伙伴組建了工控安全團隊IRTeam，專注工業控制器或者工業控制系統的漏洞挖掘和滲透，現階段主要是圍繞通訊Fuzzy、固件逆向、系統脆弱性的評估等項目活動。

IRTeam開發了第一個基于Windows系統的工控滲透系統，將常用的滲透工具和工控滲透工具結合，打造一個工控滲透平臺，在業內收獲了不錯的下載量。

他介紹，工控漏洞和其他行業的漏洞本質上差別不大，只是場景上和使用上有一些不同。但工控設備在日常生活中不常見，工控行業的漏洞披露少、POC少，學習門檻比較高。