itle="1.jpg" alt="1.jpg" width="700" height="466"/>

朱凱  Cyberbit中國區(qū)技術總經(jīng)理

　　先簡單的回顧一下工業(yè)的發(fā)展歷程，我們可以看到從工業(yè)1.0到工業(yè)2.0這兩個階段其實整個工業(yè)是通過能源和機械發(fā)展來促進工業(yè)化發(fā)展，從3.0開始電子和IT的技術開始介入了工業(yè)發(fā)展的歷程，到今天從網(wǎng)絡也好或者從IT、OT的融合也好，也是逐漸的有了更深入的發(fā)展。所以我們可以看到從3.0開始計算機技術和電子技術到網(wǎng)絡技術因此深入到切入了工業(yè)發(fā)展的歷程，為工業(yè)發(fā)展提供技術支撐。我們今天講的是工業(yè)互聯(lián)網(wǎng)安全，所以我們會看到隨著電子技術和網(wǎng)絡技術的支撐發(fā)展，其實在全球開始出現(xiàn)了各種各樣的OT系統(tǒng)被攻擊的實際案例，我們可以看到從2013年—2018年，從這幾個案例當中觀察一下，2013年—2017年攻擊技術背景可能更多的是針對于專門的公共系統(tǒng)進行攻擊，這種攻擊更多的會具有一些國家政府的背景，為什么蟲今天我們安全的角度來看，我個人認為工業(yè)互聯(lián)網(wǎng)安全重要程度對國家的重要程度或者行業(yè)社會是要遠遠超越IT系統(tǒng)安全的，實際上已經(jīng)遠遠落后IT系統(tǒng)的安全。

　　我們看一些案例，英國機場被攻擊他們不愿意支付贖金，他們實際的運作就是靠手寫的方式，這個帶來的危害程度還是可以去彌補，但是一旦真的對運營系統(tǒng)照成很大的危害可能就會危機到生命，那么所以為什么我提到OT系統(tǒng)要比IT系統(tǒng)安全更加重要呢？因為我們知道今天在座的各位都看過聽過很多的這樣新聞或者故事，誰誰被攻擊了，誰誰的數(shù)據(jù)被竊取。其實對于在座的每一個人來說不是親身的在這樣一個事情當中沒有切身體會，對于今天講的工業(yè)互聯(lián)網(wǎng)安全是不一樣的，因為工業(yè)安全的危害或者損害一旦發(fā)生它就會非常真切的產(chǎn)生一些物理損害，我們可以想象一下假如說今天沒有油沒有電或者說沒有氣，甚至家里的水也停了，可以想想對生活所造成的危害程度，是不是遠遠超過IT系統(tǒng)事故帶來的重要性。

　　現(xiàn)在看到的這個是發(fā)生在2005年并不是網(wǎng)絡安全攻擊事件這是錯誤的操作，之所以拿這樣一個案例出來做參考，圖片還是有一定的沖擊力，可以讓各位切身的想象一下工業(yè)系統(tǒng)一旦發(fā)生安全事件，它可以造成這樣一些物理損害，物理損害在今天來說可以由網(wǎng)絡攻擊去實現(xiàn)的。這個是國外的一家研究所，對于像石油燃氣公司做了一個調(diào)查，這個調(diào)查認為這樣一些客戶給出了他們的一些反饋可以看看這個當中還是忽略了一點就是人的要素，今天的主持人來自于網(wǎng)安培訓基地的，作為一個培訓基地肯定是培訓人的，今天的技術只是手段，但是最后通過技術去做安全人才是最重要的要素，這個是咱們毛主席說過的一個話，武器始終是要人來用的。因為我長期在一線會去接觸客戶，所以我們也確實看到從OT安全確實落后IT安全很多年，我們看多了很多的問題，恐懼原于未知我們在可見上會有一些問題，前面也講到了上云，那么上云就意味著IT和OT的互聯(lián)，這個不需要討論。第三個就是IT安全系統(tǒng)沒有辦法去兼容OT系統(tǒng)，IT協(xié)議的特殊性以及架構的特殊性和IT系統(tǒng)完全是不一樣的，所以以往的技術手段沒有辦法在IT系統(tǒng)里面應用。

　　最后一個也是和云有關，到底是誰負責OT的安全？現(xiàn)在用戶很難把安全的技術手段推下去，因為IT和OT是兩波人不同的部門，大家都會說該你負責還是該我負責，或者想負責的人又不懂，不想負責的人又懂。實際上從我們這個角度來看怎么樣解決OT和IT的挑戰(zhàn)？

　　第一個就是要有領導的支持這個是非常重要的，從我們國家來說在去年開始實施的《網(wǎng)絡安全法》還有等保2.0都是從領導層有了制度支撐，才能夠讓我們真真切切的有一個高層的指導重視OT的安全。

　　第二個也挺匹配柯主任所提到的，我們不能保護我們不知道的東西。

　　第三個利用第三方的合規(guī)評估，最近在國內(nèi)比較有名的安全媒體上有這樣一個文章，覺得現(xiàn)在合規(guī)是安全的障礙，合規(guī)是阻礙了安全的實施或者是安全的發(fā)展，但是從我個人的角度來說我認為不是這樣的，因為合規(guī)從我們的角度來看是一個方向，也就是說是一個指南針，技術只是一個手段怎么樣讓我們的安全能夠順著指南針走向一個正確的方向。第四個對于企業(yè)也好，或者對于組織也好，我們要把IT和OT的風險提高到一個高度，把它作為風控來進行控制管理。作為Cyberbit我們畢竟是廠商，我們作為廠商能夠做什么事情幫助用戶？我們從這樣幾個層面幫助用戶搭建從IT到OT的防御盾牌。

　　第一、我們會去幫助用戶做可見性。

　　第二、無代理（期望）技術，這也是專門針對OT的領域，由于OT的特殊性很多設備不可能像IT設備去安裝一些代理的軟件插件更多的要靠其他的手段來做輔助，還是因為OT安全人員少于IT安全人員，不能讓技術手段過于復雜。

　　第三、專用傳感器，這也是源自于OT和IT的區(qū)別。

　　第四、一個系統(tǒng)去管理所有的安全事件，這個可能和柯主任提到的態(tài)勢感知有一點點像，我們希望能從更高的高度幫助用戶看到所有的事件去做這樣一個管理。

　　接下來我會從Cyberbit技術層面來和各位分享一下怎么樣去幫助用戶建立防御盾牌，Cyberbit實際上在之前是阿爾比特系統(tǒng)公司的網(wǎng)絡安全部門孵化出來的，我們Cyberbit成立于2015年但是實際上我們在2002年作為部門已經(jīng)存在的，實際上我們從2010年開始一直在聚焦ICS系統(tǒng)安全，咱們?nèi)绻P注OT安全的都知道在2010年發(fā)生一個事情針對伊朗核設施攻擊，可以說這個攻擊算是打開了OT安全的潘多拉魔盒，最早的OT攻擊可以追訴到1982年當時美國對蘇聯(lián)的天然氣管道攻擊，1982年在座的各位和我一樣可能都是毛頭小孩，在2010年在座的各位都已經(jīng)上互聯(lián)網(wǎng)，所以傳播的速度以及廣度是以前所不能比擬的，所以2010年開始整個OT或者叫關鍵工業(yè)基礎設施的安全開始得到了重視或者說受到了威脅開始增大。所以在2010年以來我們Cyberbit在國外為這樣一些不同的垂直領域用戶提供了技術手段去幫助用戶進行一定的安全防護，Cyberbit一共有四大產(chǎn)品線，其實專注于OT領域的是最下方的這樣一個產(chǎn)品，它主要是針對OT網(wǎng)絡里面去基于像DPI技術為用戶做到可視化。另外也會有EDR產(chǎn)品從IT的層面幫助用戶提高檢測能力。第三個SOR安全自動化取證的平臺，通過編排取證讓用戶能夠?qū)φ麄€區(qū)域安全事件有一個集中的管控能力和響應能力以及調(diào)查能力。最后在最右方為了幫助用戶解決人的問題，技術只是手段，我現(xiàn)在有器械但是工匠沒有，我需要靠這樣一個平臺去培養(yǎng)人。

　　所以整個四大產(chǎn)品線，如果我們放到OT領域來說是有機組合，但是這四大產(chǎn)品也可以拆分出來獨立運動。所以從演講主題來說幫助用戶建設從Z到OT的盾牌分五步來走，第一步會讓用戶增加IT安全性，今天來說IT安全性已經(jīng)不算是很大的問題，因為每一個用戶在IT的投入上面都是非常的大，而且不管是從技術手段也好從人員也好都有很好的儲備。但是第二個對于今天這種IT和OT融合可能會有完成，前面的幻燈片可以看到一直到工業(yè)3.0所有的工業(yè)技術手段還是獨立的網(wǎng)絡，今天工業(yè)4.0融合已經(jīng)是現(xiàn)實不存在討論的，現(xiàn)實就是我們在以前的IT對于工業(yè)用戶來說，在原來的IT網(wǎng)之外多了一張網(wǎng)是OT，又由于IT和OT的不同需要把兩個網(wǎng)做一個融合，這對于工業(yè)用戶來說涉及到架構的規(guī)劃。通過我們和前端用戶的交流，確實咱們國家的工信部也在找一些各個行業(yè)比較突出的單位再去做一些規(guī)劃和試點，這是很好的開始。第三個就是獲得一個完整的OT可見性，這里面可以簡單的分享一下個人的看法，在我們和前端用戶做交流溝通的過程當中會發(fā)現(xiàn)一個問題，IT和OT到底誰來負責安全？IT的人員會用IT的思維去思考OT的安全。這個時候就會有一個問題，IT的安全人員因為長期的時間積累已經(jīng)有很豐富的經(jīng)驗，這個時候他的思維可能會是比較高級，但是OT的安全就是一片空白，這個時候用IT思維看OT安全的安全和可行性的時候，可能IT人員覺得你這個技術太落伍，或者覺得你的規(guī)劃起點是不是有點低，但是他沒有意識到OT因為長期的滯后本身的起點就是比較低的，而且OT是有特殊性的，比如說像IT里面所有的協(xié)議都能搞定，但是在OT里面充斥著幾十種協(xié)議。所以在第三步里面我們會通過技術手段去幫助用戶獲得OT的可見性，恐懼源自于未知我讓你變成已知。

　　第四個我們會為OT用戶創(chuàng)造一個行為基線，社會當中有各種法規(guī)條例，基線就相當于網(wǎng)絡運行當中的法律法規(guī)，你一旦有行為超出這個之外就有告警產(chǎn)生，能夠讓用戶及時的知道有哪些非法的行為在他的OT里面。包括像對已知的安全漏洞還有未知的，以及還有不同的OT設備，比如說從人機界面到IGO之間異常的行為，都會為用戶從基線角度去做告警分析。

　　第五個通過我們這樣一個SOAR這樣一個平臺，它不只是針對OT，這個平臺上OT只是其中的一小部分，因為今天隨著IT和OT的融合，OT已經(jīng)不獨善其身的網(wǎng)絡它和OT有一個很深度的結(jié)合，這種情況之下我們需要有中央的控制平臺來從全網(wǎng)去收集相應的事件告警來做一個整體的調(diào)查，我們發(fā)現(xiàn)一個OT事件一定是從別的地方過來的，這樣一個平臺可以幫助我們從整體掌握數(shù)據(jù)，所以我們可以去分析這樣一個安全事件的源頭以及發(fā)生的過程，最后由用戶或者幫助用戶去完成這樣一個畫像，把整個事情的來龍去脈弄清楚。

　　回到五個步驟當中，其中和工業(yè)互聯(lián)網(wǎng)最密切的一個技術手段就是SCADAShield，這個需要非常深的在OT領域做一個部署，通過探針可以在生產(chǎn)線拿到必要的數(shù)據(jù)，通常不管把傳感器也好還是其他的設備也好就像人的神經(jīng)原或者像手指，指揮所有的做出反應的是大腦，大腦是探測感知的平臺。在這里主要是通過對OT進行被動檢測，以及工業(yè)協(xié)議DPI的分析來幫助用戶獲得充分的可見性去檢查威脅也好，或者是操作的風險也好，那么來去幫助用戶做可見性，我們今天大街上隨處可見攝像頭看不到警察，但是有攝像頭盯著也不敢輕舉妄動就是這個意思。目前在工控協(xié)議領域可以對95%的協(xié)議提供支撐，像電力、石油、燃氣常見的協(xié)議。因為工業(yè)協(xié)議的特殊性私有性可被用戶自訂性的特殊性，我們可能需要針對用戶的環(huán)境做一個定制，但是通常對于新的用戶需求，幾周可以幫助用戶把這個做出來。去年我們在歐洲參加了ENCS評估也有比較好的得分，我們在垂直領域已經(jīng)部署了垂直案例幫助用戶。

　　同樣因為工業(yè)領域的特殊性或者因為合規(guī)性的要求，不管是國內(nèi)國外，我們在去年也推出了移動工具箱去幫助用戶在特殊的廠站做實時檢測部署，整個部署也非常的簡單，它只需要連上去做一個發(fā)現(xiàn)，可能在這里兩個小時的時候就可以拿到必要的數(shù)據(jù)做離線分析。所以我們之后再回過頭來看看，整個Cyberbit提供的四大產(chǎn)品，其實在OT網(wǎng)絡的領域當中我們構成了很有機的閉環(huán)去為用戶實現(xiàn)整體安全。