2023年中国网络安全行业《工控安全产品及服务购买决策参考》发布

2023年2月21日作者：GoUpSec

前言

工控安全迎来引爆点，创新是第一驱动力

工控系统是国家关键信息基础设施的重要组成部分，同时也是关键基础设施网络攻击的重点目标。随着互联网在工业控制系统中的广泛应用，针对工业控制系统的各式网络攻击事件日益增多，尤其在电力、石油、铁路运输、燃气、化工、制造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标。

近年来，随着全球地缘政治冲突加剧、网络犯罪规模化、以及中美对抗导致的工控网络安全风险不断升级，关键基础设施保护成为全球各国政府网络安全战略、政府预算与法规标准的关注重点。2022年，中美分别以立法形式推动关键基础设施安全防护，从资金、标准、法规三个维度推动跨部门协作，在整体设计和实施阶段为工控安全市场提供支持。

2023年，两化融合、IT/OT融合为特征的工业数字化革命已经打开了工控安全威胁的潘多拉盒子，工控系统安全态势和策略正在从“以OT网络为中心”向“以资产为中心”过渡，攻防技术“军备竞赛”正在快速升级。

可以预见，随着相关法规和市场需求的就绪，2023年全球和中国工控安全市场将迎来引爆点，进入高速发展期。

工控安全面临的独特挑战与痛点

与其他网络安全领域相比，工控安全有着巨大差异和独特性，其中较为突出和典型的四个独特挑战如下：

1.行业用户对影响业务连续性的安全方案容忍度低

2.工控系统设备厂商安全性的高度不透明给漏洞管理和安全运营带来巨大挑战

3.IT/OT融合、物理网络空间攻击面进一步扩大

4.工控安全专业人员严重短缺

根据Dragos和Honeywell的2022年度工控安全报告，当前全球工业基础设施客户最常见的四大痛点分别是：

1.工控系统环境内部缺乏可见性，80%的工控系统OT网络可见性有限。（比2021年减少了6%）

2.半数工控系统在网络分段方面存在问题。（比2021年减少了27%）

3.53%的工控系统在其OT网络中建立了未公开或不受控制的连接。（比2021年减少了17%）

4.54%的工控系统IT和OT之间缺乏用户管理分离。（比2021年增加了10%）

工控系统存在五大系统性安全风险

2022年6月GoUpSec在国内首次报道了Forescout的“冰瀑漏洞”报告，该报告曝光10家OT供应商产品中的56个高危漏洞，给工控系统市场投下一枚重磅炸弹。

报告指出，主流工控系统产品在设计层面存在根本性的重大安全问题。通俗来说就是：工控系统（包括一些工控安全方案）的安全设计从根上就是烂透了。

全球主流工控系统厂商产品不安全设计导致的漏洞比比皆是（下图）：

“冰瀑漏洞报告”披露的漏洞中超过三分之一(38%)可导致凭据失窃，21%可导致固件篡改位，14%可导致远程代码执行。不安全设计问题的主要例证是与未经身份验证的协议相关的九个漏洞，报告还发现了大量糟糕的身份验证方案，这些方案在实施后表现出低于标准的安全控制。

“冰瀑漏洞报告”暴露了全球工控系统设备普遍存在的五大系统性安全风险：

1.大量通过安全认证的工控系统设备依然存在已知安全漏洞：受冰瀑漏洞影响的工控系统产品中有74%通过了某种形式的安全认证，报告的大多数问题应该在深入的漏洞发现过程中相对较快地发现。导致此问题的因素包括有限的评估范围、不透明的安全定义以及对功能测试的关注。

2.由于缺乏CVE漏洞编号，工控系统风险管理变得复杂：仅知道设备或协议不安全是不够的，资产所有者还需要知道这些组件存在安全漏洞的原因才能做出有效的风险管理决策。不安全设计导致的问题并不总是能够分配CVE，因此经常被忽视。

3.存在大量设计不安全的供应链组件：OT供应链组件中的漏洞往往不会被每个受影响的制造商报告，这导致了风险管理的困难。攻击者通过本机功能在一级设备上获得RCE的三种主要途径是：逻辑下载、固件更新和内存读/写操作。大多数工控系统都不支持逻辑签名，并且大多数设备(52%)将其逻辑编译为本机机器代码。这些系统中有62%接受通过以太网下载固件，而只有51%具有此功能的身份验证。

4.对工控系统的攻击技术开发比想象得更容易：对单个专有协议进行逆向工程需要1天到2人工周，而对于复杂的多协议系统则需要5到6个人工月。这意味着，针对OT的恶意软件或网络攻击可以由一个规模较小但技术娴熟的团队以较低成本开发。随着以ChatGPT为代表的人工智能专家系统的崛起，时间和成本还将被大大降低。

5.普遍缺少专业安全管理人员：2022年工控安全重大事件中暴露的问题大多与工控系统运营者缺乏专业安全管理人员和相关技能培训有关。

2023年工控安全态势迅速恶化

根据Dragos最新发布的工控安全报告，2022年工控系统相关硬件和软件漏洞数量比2021年增加了27%，针对工业组织的勒索软件攻击增加了87%。针对工业基础设施的攻击的复杂性和数量也有所增加，遭受攻击的工控系统（ICS）中80%缺乏对ICS流量的可见性，一半存在网络分段问题和不受控制的OT网络连接。

当前工控系统产品普遍存在多个层面的安全问题：从安全认证产品中持续存在不安全设计，到拙劣的安全防御实践。糟糕的漏洞管理以及提供虚假安全感的安全认证，这些都导致工控系统风险管理工作变得异常复杂和艰难。

此外，整个工控系统设备行业的不透明性正在损害工控系统产品的安全性。许多不安全的设计问题并未分配CVE漏洞编号，因此经常被忽视并继续使用。

当前阶段，大量证据显示全球工控安全威胁态势正在快速恶化。除相关报告揭示的问题外，GoUpSec认为2023年工控安全态势还将面临以下五大新挑战：

1.地缘战争和黑客活动政治化导致工控系统攻击武器库的“核扩散”和“变异”

2.ChatGPT为代表的生成式人工智能技术大幅降低黑客攻击工控专有协议的技术门槛

3.主流工控系统安全设计2022年曝出的大量安全设计缺陷短时间难以改善

4.中美对抗或导致对关键基础设施的高级持续攻击威胁进一步提升

5.网络犯罪成为第三大“经济体“，在“武器扩散”和生成式人工智能的助力下将扩大对工控系统的行业攻击范围

工控安全市场热点与产品关键能力

随着企业数字化转型和IT/OT融合的深入，资产、漏洞、威胁快速增长，工控安全市场正在转向体系化的纵深防御，但过程并非一帆风顺。无论是专业工控安全厂商还是传统IT安全厂商，都意识到用户的痛点就是市场的热点，例如可见性、主动性、业务连续性相关的“安全债”和新威胁的叠加，对工控安全市场的创新能力提出了更高要求。

根据GoUpSec对数十位国内CISO的调查，2023年中国工控安全市场的九大热点分别是：

1.基于风险管理的暴露管理（资产、漏洞发现与管理，工控安全管理平台）

2.物理网络安全（U盘管理、无线工业物联网、智慧城市、车联网、智能武器）

3.网络安全（通信加密、分段、基于机器学习和人工智能的流量与行为分析）

4.身份与访问管理（零信任）

5.主动安全（内部和外部攻击面与资产管理、欺骗式防御）

6.威胁检测与响应（勒索软件）

7.入侵与攻击模拟（靶场）

8.供应链安全

9.认证与培训（安全意识、安全工程、安全评估、安全框架、开发和实施咨询服务等）

从震网病毒到殖民地管道攻击，“蠕行”十几年的工控安全市场正在经历一次重大蜕变：从进化缓慢的“小众”网络安全细分市场转变为政策、威胁、（外部）技术和创新四轮驱动的高动态高增长市场，新需求和新威胁的迭代周期大大缩短，对工控安全领域网络安全厂商的创新力和敏捷性提出了更高要求。

以下，是GoUpSec行业CISO调查总结的工控安全解决方案十大关键能力和创新点：

1.机器学习与人工智能（威胁检测、事件响应）

2.自动化资产发现和管理（提高可视性）

3.持续网络活动和威胁监控

4.二级设备（控制器）完整性验证、访问控制

5.漏洞评估和风险管理

6.与SIEM和SOC的平台化集成（面向IT/OT融合的一体化工控安全管理平台）

7.业务连续性（故障诊断与恢复，ByPass功能，减少误报，提高安全运维效率）

8.可信计算与合规性（满足国家标准（《工业控制系统信息安全防护指南》与等级保护V2.0）及相关行业规范

9.零信任方法（强化身份与权限管理、内部威胁）

10.物理网络安全（生产环境、U盘与工业无线物联网）

工控安全产品的选型常见基准问题

综合“以资产为中心”的工控网络安全新阶段面临的挑战、痛点和趋势，工控安全行业客户在选择工控安全解决方案时可能需要与厂商沟通确认以下基准问题：

是否支持与客户现有网络安全产品（例如SIEM、SOAR、配置管理数据库、SOC、NAC、防火墙等）快速集成？
是否提供资产发现/分析/库存解决方案？
是否提供以资产发现、可见性和网络拓扑为中心的工控安全管理平台功能？
是被动还是主动安全解决方案？还是两者兼而有之？
资产发现和威胁检测方案是连续的还是基于时间点的？
监控工具如何降低误报和标记优先级？
是否提供测试平台、仿真或以安全为中心的数字孪生解决方案？
是否提供硬件/固件/软件供应链安全解决方案？
是否为OT提供托管检测和响应服务？
是否提供针对垂直行业（例如医疗、国防、交通运输）的定制安全解决方案/案例？
与工控设备厂商、其他相关安全厂商和机构存在何种股权、（潜在）收购、合作关系。
是否有预防勒索软件、DDoS、内部威胁、APT的针对性方案？
是否提供免费测试？（由于工控系统部署的独特性，不存在所谓通用的工控安全解决方案，因此在企业环境中对方案进行选型测试很有必要）

正如前文所述，在OT/IT融合的大背景下，“以资产为中心”工控安全新阶段的核心目标和锚定的关键业绩指标是“运营弹性”，最终目标是将工控环境的物理网络安全与IT安全纳入统一的治理模型中。

工控系统安全是涉及物理安全、网络安全、供应链安全、生产安全的高度复杂的跨领域综合学科，面临着独特的安全威胁挑战；与此同时，工控安全正经历从“OT网络为中心”向“资产为中心”的重大范型转移，技术创新再次成为第一驱动力。

世界上没有完全相同的工控系统，因此也不存在“通用”安全解决方案，面对工控安全威胁态势的快速恶化，大量工控专业厂商和传统安全厂商针对新威胁和新需求纷纷推出新的解决方案，这也给行业CISO的选型增加了难度。

为了帮助CISO拨开营销迷雾，提高市场能见度，全面了解潜在工控安全战略合作伙伴。GoUpSec深入调研了17家国内工控安全“酷厂商”（包括专业厂商和综合安全厂商），从产品功能、应用行业、成功案例、安全策略等维度对各厂商工控安全产品及服务进行调研了解，整理形成了2023年中国网络安全行业《工控安全产品及服务购买决策参考》。