后疫情时代，经济低迷、持续下行，影响后果深未见底。俄乌战争凸显“关基”安全保障的极端重要性。美中对抗、大国博弈，国际安全形势瞬息万变。网络安全行业迎来最坏的时代，也是最好的时代。

洞察未来，变的是什么？漏洞后门持续走高，攻击技术的复杂化，攻击对手的高能化，安全风险的动能化，安全需求的多样化，安全目标的弹性化，资产价值的差异化，防御能力的滞后化？等等！不变的是什么？攻防对抗的本质未变；易攻难守的常态未变；敌强我弱的态势未变；安全价值的追求没变。变局中求生存、求破局，不确定性中寻找确定性，这是今后的常态。

ICS（工业控制系统）到OT（运营技术）的转变，ICS网络安全到OT网络安全的转变，完全是数字时代之变。客观的讲，ICS网络安全十多年来的探索，始终没能摆脱移植、模仿、追新的宿命。当OT网络安全深入工业网络底层时，跟随、模仿、移植的套路已力不从心。无论各表一词的工业互联网安全、工业控制系统安全、工业信息安全、工业网络安全、工业安全，都在概念、技术、流程、规范、风险、文化等等方面，面临重大挑战。其本质是对OT域的功能安全、控制安全、过程安全、业务安全、过程安全风险的无知、畏难和回避。

当真正的IT/OT/CT/ET深度融合无处不在之时，OT网络安全如何回归工业本质，如何直面底层防御盲区？如何遏制网络攻击向动能攻击的转化？强调关注“业务、人和供应链”者有之，强调安全能力前置的“设计安全和默认安全”者有之，强调系统工程回归的“弹性工程和知情工程”者有之，强调关注“工业风险和安全运营”者有之，倡导内生的“内置安全、内嵌安全、出厂安全”者有之，等等。OT网络安全的产品技术、解决方案、发展范式，将走向何处？

安帝科技试图对这些问题进行系统思考，尝试探寻自己的解决方案和发展路径。同时，也期望与业内同仁共同探讨，共同探索，共同成长。本期推出系列思考之一：《迈向工业网络底层的勇气，看清深层工业网络的能力》，敬请批评指正。

迈向工业网络底层的勇气，看清深层工业网络的能力

雷军在2023年度演讲中总结到，只有认知的突破，才能带来真正的成长。
认知突破的前提，是深入的思考。思考是人类心智成长的必需品。
如果把2010年当作中国工业控制系统网络安全的元年，到现在也不过14年时间。14年间，威胁驱动、事件驱动、合规驱动、数据驱动、情报驱动、价值驱动、风险驱动，等等，未有改变移植、模仿IT网络安全的套路，带有IT安全基因的OT网络安全解决方案，如今日薄西山、气数已尽、前路茫茫！
工业网络安全的挑战很像探索海洋的挑战。在海洋浅表附近，光线充足，安全无处不在。有了一些基本的、便宜的、广泛可用的设备，浮潜者或潜水员可以安全地很好地了解水面下的情况。
然而，随着深度的增加，挑战和风险急剧增加。光线会逐步消失，探险者必须自己带着照明设备才能看见。压力增加，温度下降，这意味着潜水员必须换掉普通潜水服，使用更坚固的设备，以保护他们的身体免受环境和潜在危险海洋生物的伤害。探索深海不仅仅是找到一种呼吸的方式，需要更加系统的规划、熟练的技能和专门的设备，才可能在不同于其他任何环境的海洋中保证安全。

一、深层工业网络安全的复杂性

普渡模型企业参考体系结构(PERA)定义了一组集成工业控制系统和业务网络的最佳实践。它提出了一个6级架构（如果考虑扩展到云，即为7层），在工业企业的不同功能层之间建立隔离，并在它们之间有明确的边界。

模型的顶部(第3-5层)主要表示标准的IT基础设施：WEB和电子邮件服务器、工作站和应用程序服务器，它们完全属于标准的IT管理实践。
Purdue Level 2标志着从IT到OT的过渡。从第2级开始，可以看到OT环境中独有的一套新的网络协议和设备的转变:
2级包含本地人机界面HMI，专门用于监视和监督控制ICS设备。该级的时延在秒级；
1级集合了嵌入式硬件和可编程逻辑控制器(PLC)，设备主要有批量控制、离散控制、驱动控制、连续过程控制和功能安全控制，提供对工业过程的自动控制。该级的时延要求在毫秒到秒级。
0级完成所有繁重的工业工作，从旋转离心机到测量和报告温度等等，主要设备有传感器、驱动器、执行器、机器人。该级几乎接近实时，毫秒到实时。
为了保护工业流程免受未经授权的访问、操作中断和数据盗窃，保护这些敏感资产至关重要。
部署在2级及以下级别的任何解决方案的有效性都需要对驱动工业流程的嵌入式硬件、软件和专有网络协议有深刻理解的技术和人员。它还需要充分了解工业流程本身，以避免干扰生产。

二、深层工业网络成为攻防对抗的焦点

工业网络中的网络弹性需要类似水平的洞察、预见和规划。OT网络的更深层，特别是在普渡模型（Purdue ）Level 2级以下，引入了许多独特的专有网络协议、嵌入式系统。遗憾的是，在这个级别上保障网络弹性通常需要的成本和复杂性使得许多安全企业避而远之。目前大多厂商仍然专注于普渡3级及以上的解决方案，对于工业网络最深层、最敏感的地方，基本无视其弱保护或根本没有保护的现实。

1、防御保障最弱之处
0级和1级设备通常是控制系统网络安全中忽视的部分，但它们可能会产生一些最重大的影响。不幸的是，与所有控制系统一样，这里没有网络安全、身份验证、网络日志或其他工具可以帮助确定传感器是否已被远程入侵。控制系统通常是实时的，即在毫秒级时间上运行。因此，许多控制系统现场设备的安全性和身份验证升级受到计算开销的限制。此外，IT网络安全的传统手段——比如打补丁、网络日志管理和使用杀毒软件——并不直接适用于许多控制系统现场设备，因为许多类似设备不使用商用现货(COTS)操作系统。例如，许多变频驱动器不能容纳杀毒软件或黑名单和白名单功能。过程传感器不使用COTS操作系统，而且许多传感器都有内置的后门以供维护。0级和1级现场设备使用远程校准和维护工具，具有直接的互联网连接和最低的网络安全功能。这些维修后门是无法绕过的。资产所有者无法禁用这些维护后门。
2、OT漏洞集中之处
工业深层的OT/ICS漏洞态势更是连年恶化。2021年Dragos的年度报告显示，76%的漏洞集中在OT网络的L3-L0层，其中L1-L0层的占21%，L3-L2层的占56%。到了2022年，OT网络的深层（L3-L0）漏洞已占据总体漏洞的83%。其中L3-L2层的占65%，L1-L0层的占18%。
3、攻防研究聚焦之处
从攻击态势来看，复杂的网络威胁行为者越来越多地把攻击目标聚焦于OT环境。特别是俄乌战争以来，这种专门攻击OT系统的技术和案例发展迅速。
2022年8月，知名工业网络安全公司Claroty旗下的Team82研究团队开发了一种称为Evil PLC攻击的新技术，其中PLC被武器化并用于突破和控制工程师站。在工程师站上立足的攻击者可以访问连接该机器的OT网络上的任何其他设备，包括其他PLC。
2023年1月，匿名者旗下的GhostSec黑客组织声称它对RTU（远程终端单元）进行了“有史以来第一次”勒索软件攻击，RTU是一种通常部署在工业控制系统 (ICS) 环境中的小型设备。据行业专家研判，可信度很高。
4、新兴技术爆发之处
2023年2月，Forescout Technologies的Vedere实验室发布了其关于深度横向移动的重磅研究报告，首次系统披露了攻击者如何在OT网络的控制器级别(普渡模型的1级)的不同网段和不同类型网络之间的横向移动，这颠覆了将普通计算机终端作为跳板的移动模式。
2022年6月，Vedere实验室还详细介绍了一种新的攻击方法，称为物联网勒索软件(Ransomware for IoT)或R4IoT。勒索软件利用物联网设备进行初始访问，以IT设备为目标部署勒索软件和加密货币，并利用糟糕的OT安全实践对业务运营造成物理中断。通过损害物联网、IT和OT资产，R4IoT超越了通常的加密和数据泄露，导致业务运营的物理中断。
2023年8月，康奈尔大学发布一项关于OT网络安全的研究成果，提出了一种称为DM-PLC（ Dead Man的PLC）的攻击方法，仅使用现有功能，将整个环境视为受勒索的实体，所有资产不断相互轮询，以确保攻击不被篡改。DM-PLC表明，攻击对手可以通过简单地使用针对受害者的现有通信和安全功能来勒索整个OT环境。

三、深层工业网络安全的主要挑战

工业网络的深层带来了技术和运行方面的限制和挑战，这些限制和挑战在典型的IT环境或工业网络的更高层中几乎不会出现。
1、技术挑战
（1）深层OT带来模糊的可见性
运营者经常面临的挑战是获得对工业网络更深层次的良好可见性。2级及以下级别的网络设备通常不提供SPAN端口或其他接口，而这正是传统安全方法获得流量的方法，通常被用于在普渡模型的更高级别上获得可见性。
（2）棕色地带网络的复杂性
棕色地带OT网络由复杂的工业技术相互连接的集合组成。现有的控制器和网络基础设施可能在几年甚至几十年前就已经部署在运行了。这些解决方案几乎没有考虑到安全性，因为它们是在一个具有非常不同的威胁环境的时间框架内部署的。在不影响操作的情况，理解并厘清其错综复杂的通信链路，基于此实现分段或隔离，这是一个巨大的难题，成本高昂且几无成功的可能。
（3）遗留老旧系统漏洞的伴随性
工业设备的预期寿命很长，通常为15年或更长。OEM厂商通常不会无限期地提供软件/固件更新;最终有一天，安全补丁将不再可用。这并不能阻止攻击者的热情探索，他们总是在寻找新的和未修补的漏洞。这就产生了一类新的“永久”漏洞。这些漏洞无法修补。
（4）替代安全解决方案时间的敏感性
网络延迟是工业网络中的一个主要问题，因为它可能会破坏关键进程。面对秒级、毫秒级和实时的要求，延迟可能会影响工业系统中的决策速度，这可能对安全和保障产生严重影响。
2、运行挑战
（1）OT团队与IT网络领域知识的障碍
OT网络由专注于生产和正常运行时间的工业工程师管理和操作。这些团队对其流程和设备具有广泛的领域知识，但通常没有多少经验或时间来处理IT流程或网络安全问题。用于保护深度OT环境的解决方案必须易于OT团队部署、操作和维护，而无需专门的网络工程师或IT技术专家。
（2）OT团队与IT团队工作职能重心的差异
OT团队的主要关注点是最大限度地提高产量，确保他们所管理的工厂继续以最佳效率全天候运行。用于修复系统、部署更新和恢复的标准IT流程可能会干扰操作，并且通常在OT环境中不可用。例如，部署安全补丁可能涉及重新启动系统，导致生产停机，其成本远远大于相关的网络风险。
（3）工业网络安全风险与过程安全风险的挑战
强调以工业网络安全风险为中心的OT网络安全，但同时必须保证安全风险的底线是过程安全风险，即网络安全风险不能大于过程安全风险。OT网络安全风险必须小于或等于特定影响水平的过程功能安全风险。过程功能安全设定了工业企业的风险容忍度，OT网络安全需要满足这个风险容忍度。系统故障、随机故障、网络攻击是当前过程安全风险的三大源头。

四、深层工业网络安全综合解决方案画像

需要一种保深层护工业网络的新方法或解决方案，赋予OT实现网络弹性所需的能力。遵循“知工业、熟业务、聚目标、择路径、炼方法、控风险、强弹性”的总体原则，其最直接的目标是保护工业流程免受未经授权的访问、操作中断、数据泄露和黑客侦察攻击。该解决方案对OT网络深处的敏感资产、数据、信号实现可见、可管、可防、可控，而不会出现传统IT解决方案的操作摩擦或中断。同时，涉及的技术或产品要在合适的集成点无缝地连接到关键的IT安全工作流。基本特征简单归纳为：工业级设备、OT专属技术、功能专精、便捷部署、零化扰动、提供深层网络保护、助力弹性工程、利于安全文化建设。
1、技术和产品：简单透明
OT资产、网络、数据可见是基础和前提，威胁、风险、攻击、对手可见是手段。关键点有三：
（1）即时可见性；
通过全流量、全日志、泛终端、深下沉、适配第三方设备等，提供对OT网络的深度、即时、动态可见性。
（2）无逢微隔离；
无需网络重新架构或重新分配IP地址，在区域之间创建强大的虚拟安全边界。运营者可以以类似防火墙的方式阻止未经授权的协议，不产生额外的开销或延迟，也没有操作负担。
（3）无死角监测；
基于IP网络流量的监测手段不可能做到全域监控。控制系统的工作机理基于过程传感器馈送至可编程控制器，控制器引导执行器做出预期动作。L1-L0存在大量非IP数据的传感器网络，通常是基于信号的，这就需要离线、带外过程传感器监控技术。
2、业务和流程：零化摩擦
OT网络安全解决方案的目标是网络弹性、业务弹性、任务弹性的强化和提升。弹性工程和知情工程的关键点至少包括：
（1）部署便捷化；
可以快速集成到任何网络中，而不会中断操作。根据网络的规模和复杂程度，可实现小时级或几天级别的部署周期。高效适配OT运营员工调度、工厂维护窗口和操作流程。
（2）运营零扰动；
整体运营稳定、可靠，不抢占系统资源，不与既有业务应用、业务流程起冲突。不对现阶段OT生产侧人员知识、技能提出太多要求。即不断生产、不抢资源、不起冲突、不提要求。
（3）风险自适应；
基于对工业网络安全风险和过程安全风险的认识，遵循自动化领域的网络安全风险第一定律，把握OT技术风险、网络物理风险、社会技术风险在不同行业的特性和要求。
3、人员和文化：渐进融合
技术、法规、风险不是OT网络安全的全部，另外两个核心要素是人和安全文化。缺少安全文化基因的渗入，防御者在OT网络安全的博弈对抗中终将失去魂魄。OT网络安全解决方案的成功与否，也必然与这两个关键要素密切相关，也期望二者能够互为势能互为推动。
（1）组织一体化；
IT与OT融合之路显然是漫长艰辛的。受限于传统上对功能安全（生产安全）和新兴的网络/信息安全的不同需求优先级，两边在人员、技术、流程、文化的差异是巨大的，IT团队和OT团队割裂的现状一直存在。追求两个团队在组织上的一体化是必须要坚持的。
（2）能力专精化；
OT员工在网络安全技能上存在差距是常态。在过程自动化系统（PAS）中，通常会有工艺工程设计师、过程自动化设计师、OT基础设施设计师等，是否都需要要求他们掌握OT网络安全知识和技能？倾向在OT团队配置OT网络安全工程师、网络风险分析师补足整体能力短板。
（3）文化融合化；
组织上的割裂源于内在文化上的差异。网络安全文化是企业文化的重要组成部分，眼下弱势的网络安全文化与相对强势的传统生产安全文化的竞争冲突偏多，合作仍然偏少。这也是因为生产安全与企业的价值追求关联度更高。相信，OT安全文化与IT安全文化的融合仍是大势所趋。

小结
进军底层，看清深层，这是一项艰难的道路。但这却是OT网络安全从业者求得生机和变局的机遇。终局思维、长期主义，做难而正确的事，也正是网络安全工作者应当坚持的原则。路虽远，行则将至；事虽难，做则必成。