違規外聯嚴重威脅工業安全！奇安信助力某能源企業打造安全標杆

“監測到下屬公司網絡中出現了異常流量，進一步調查發現，部分設備被非法接入了外部網絡，這不僅可能導致用戶數據泄露，還可能被黑客利用來控制內部網絡或發起更廣泛的網絡攻擊。”

2024年5月的某天，奇安信在某大型能源企業的駐場安全團隊，發現可疑攻擊，最終判斷是一起工業主機違規外聯事件。此次事件暴露出當前很多企業OT環境存在的安全隱患，構建更全方位的工業安全防護體系已是迫在眉睫。

該能源企業是一家主要從事城市燃氣分銷業務的企業，其母公司是跨能源、智慧城市、互聯網+等多個領域的綜合性科技集團。該企業成立以來，一直專注於爲居民、商業和工業用戶提供天然氣供應服務，致力於構建清潔能源體系，推動能源生產和消費方式的轉型升級。目前公司在全國多個城市擁有燃氣項目，提供包括管道天然氣供應、液化天然氣（LNG）銷售、車用天然氣加氣站運營以及相關工程服務等業務。

工控系統成全球網絡安全軟肋，保護刻不容緩

工業主機，也稱爲工業控制式主要機器，是工業控制計算機的簡稱。工業主機上安裝了大量的工業軟件，這些軟件控制着大量的工業控制器，影響着各個工業控制系統的工藝流程。一旦工業主機被入侵，意味着工業控制系統被暴露在攻擊者視野中，不僅可能導致核心工業數據泄露，還可能爲黑客提供可乘之機，因此對工業主機的保護非常重要。

據悉，全球超十萬工控系統及設備暴露於互聯網，已成爲世界各國工業網絡安全的軟肋。尤其是隨着雲大物智移等新一代信息技術與製造技術加速融合，作爲工業生產運行基礎核心的工控系統從封閉走向開放、從單機走向互聯、從自動化走向智能化，大量安全隱患隨之產生，工控環境的網絡攻擊事件頻發。據國家工信安全中心數據統計，僅2022年公開披露的工業信息安全事件就有312起，覆蓋十幾個工業細分領域。2022年，中國臺灣台達電子、日本豐田主要供應商、伊朗鋼鐵生產商、立陶宛能源公司、美國芯片製造企業、德國建材巨頭可耐福集團、意大利能源機構、法國軍工巨頭泰雷茲等均曾遭受信息安全風險威脅，發生勒索軟件攻擊、供應鏈攻擊或數據泄露安全事件。

作爲國內領先的大型能源企業，該企業網絡安全負責人充分意識到，通常情況下，工業主機都在內網環境使用，但是由於工業主機的使用者網絡安全意識淡薄，而且工業網絡安全可用性要優先於機密性，所以工業主機的安全管理者不能時刻掌握工業主機的安全狀態。所以，即使工業主機安全管理人員制定了有效的管理制度，也不能保障工業主機的安全狀態，因此解決安全管理制度的落實問題已是迫在眉睫。

安全事件頻發也驗證了該負責人的擔憂。就在2024年5月，該企業通過工業安全管理與分析系統（IMAS）運營和工業主機防護系統（IEP）檢測發現了一起工業主機違規外聯事件。該企業總部曾經三令五申，嚴禁工業主機違規外聯，但一直苦於沒有抓手，下屬企業爲了圖方便經常私接熱點、連接外網開展運維。經過這次事件後，企業總部能夠實時監測到工業主機外聯情況，各下屬企業也都逐步按照安全管理制度開展運維工作，從而安全管理制度能夠順利落實，大大減少工業控制系統隱患。

違規外聯敲響工控系統網絡安全警鐘

根據相關負責人回憶，在該企業安全團隊監測到下屬公司網絡中出現了異常流量後，第一時間進行深入調查，發現部分工業主機非法接入了外部網絡。安全部門結合IMAS平臺產生的大量主機非法外聯告警，發現在2024年5月22日至6月14日，源IP爲10.x.x.x的工業主機持續存在外聯行爲。

通過進一步分析，該工業主機安裝了工業主機防護系統，能夠配置了非法外聯告警策略。當檢測到有外聯行爲時，IEP會將告警信息發送到IMAS平臺。安全運營人員將能夠實時監測到外聯告警，從而實現快速溯源定位。

通過對告警IP進行資產歸屬查詢，以及現場資產溯源分析，最終定位非法外聯產生的原因是現場業務人員爲方便業務調試，非法將工作主機接入外網導致。

“我們針對告警IP進行資產定位後發現，資產歸屬於OT側，，IEP的安裝主機均爲工業主機，而在安全規定下是不允許工業主機訪問互聯網的。因此依託IMAS平臺，第一時間能夠對產生告警的主機迅速定位，極大提高了響應速率。”相關負責人表示。

摸清薄弱環節，實現精準防護

據介紹，在公司安全規定下，不允許工業主機存在訪問互聯網行爲，可見該告警是一種違規行爲。現場溯源分析後，最終發現該主機在進行業務調試時，爲方便工業廠商遠程操作，非法將工業主機連接互聯網。正所謂“管中窺豹”，此次外聯事件，暴露出該企業在網絡安全方面存在的幾方面缺陷與不足:

首先是審計流量範圍不足。該能源企業工業側和IT側均部署監測探針。在辦公網網線接入OT側的工業主機設備時，該部分流量沒有經過IT側的探針。可見，IT側的探針覆蓋性不夠全面。

其次是網絡結構存在缺陷。各個場站人員對於網絡結構不夠清晰，當對外聯行爲回溯，確定網絡出口，梳理網絡拓撲時，客戶無法提供準確信息。因此，重新梳理網絡拓補結構，對網絡負責運維人員追責變得尤爲迫切。

最後是安全意識淺薄。個人安全意識淺薄在平常工作或者設備調試中沒有充分意識安全的重要性，忽略了採取必要措施保護自己。極個別者在遠程外聯後忘記拔掉外網網線，使得工業主機長期暴露在公網中。

三管齊下，爲工控系統構築最牢固的安全防線

爲了解決以上問題，該能源企業通過與奇安信的合作，在三個方面進行了安全強化。

首先是針對需要遠程調試的工業主機，增加工業堡壘機，加強訪問控制策略，充分依託了工業堡壘機的幾大優勢：

訪問控制與身份認證：堡壘機作爲所有外部訪問內部系統資源的唯一入口點，實施嚴格的訪問控制策略。它要求所有用戶（包括管理員和技術人員）在訪問受保護的資源前必須進行身份認證，如用戶名密碼、雙因素認證或多因素認證，確保只有授權用戶才能進行操作。

運維審計與記錄：堡壘機記錄並審計所有運維操作，包括登錄、命令輸入、文件傳輸等行爲，形成完整的操作日誌。這有助於追蹤問題源頭、進行合規審計以及事後分析，同時也對內部人員的操作行爲起到監督作用，防止惡意或誤操作。

權限管理：根據最小權限原則，堡壘機爲不同用戶分配不同的操作權限，確保每個用戶只能訪問和操作他們工作職責範圍內所需的系統或服務，減少因權限過大而導致的安全風險。

協議代理與加密：堡壘機可以對敏感的運維協議（如SSH、RDP、SQL等）進行代理，並在傳輸過程中加密，以防止數據在傳輸過程中被截取或篡改，增強通信的安全性。

異常檢測與響應：通過監控和分析用戶行爲模式，堡壘機能夠及時發現並報告異常操作，甚至自動阻止潛在的攻擊行爲，提高應急響應速度。

安全策略執行：堡壘機可以執行預定義的安全策略，比如限制訪問時間、訪問頻率、特定操作等，進一步細化安全管理。

其次是通過增加工業防火牆等安全設備提高安全性，對於外網聯接實現嚴格把控，該部分依託了工業防火牆的以下功能：

訪問控制：防火牆能夠根據預設的安全策略，對進出網絡的數據包進行過濾，允許合法的通信流量通過，同時阻止非法或潛在危險的流量，從而保護內部網絡不受外部威脅。

網絡安全隔離：通過設置不同的安全區域和規則，防火牆可以實現內外網或不同安全級別網絡區域之間的有效隔離，確保敏感數據和核心業務系統的安全。 流量監控與審計：防火牆能夠實時監控網絡流量，記錄和分析網絡活動，提供詳細的流量日誌和統計報告，有助於網絡管理員識別異常流量、評估網絡性能並進行合規審計。

入侵防禦：現代防火牆通常集成了入侵防禦系統(IPS)，能夠識別並阻止已知的攻擊模式，如DDoS攻擊、病毒、木馬等，提供主動防禦機制。

應用層過濾：除了基礎的IP和端口過濾，高級防火牆還支持應用層過濾，能夠深入到數據包的內容進行檢查，有效控制特定應用或服務的訪問，例如阻止非法網站訪問、限制P2P應用等。

最後是增強緊急響應能力，提升網絡安全意識，具體包括：

緊急響應：一旦發現違規外聯情況，需立即切斷所有工業主機的互聯網聯接，防止進一步的數據泄露或控制權喪失。

加強隔離：需要對現有網絡架構進行重新評估，增加防火牆、網關等系統，確保工業網絡與其他網絡的隔離。

培訓與意識提升：對所有員工進行網絡安全培訓，強調設備管理的安全流程，提高警惕性。

建立應急計劃：整個企業在網絡安全部牽頭下，制定詳細的應急響應計劃，明確在發生類似事件時的步驟和責任人，以便快速行動。

此外，該燃氣集團還和奇安信共同推動了後續計劃，包括定期進行網絡安全審計，檢查系統是否符合最新的安全標準；增強監控系統，通過IMAS、ISD、IEP等來持續檢測異常活動，提前預警；並與設備製造商和網絡安全專家保持緊密合作，共享情報，共同抵禦未來威脅。

結束語:

得益於該燃氣集團通過迅速而有效的應對，成功控制了設備非法外聯事件的影響，保護了用戶數據和公司資產。但此次事件也給業界很深刻的啓示：工業網絡安全的違規外聯隱患和影響非常大，控制系統一旦被不法分子利用，後果不堪設想。因此，廣大企業亟需部署一套整體的違規外聯解決方案，從源頭上最大程度避免此類事件發生，切實保障OT環境下的網絡和設備的安全。

本文源自：金融界