靶向式虚拟补丁:解锁工业安全漏洞防护新“姿势”
自2002年“新型工业化”在我国首次被提出
到明确“2025年将大力推进新型工业化”
这期间的二十余年里
我国新型工业化的发展之路并非一帆风顺
特别是在工业漏洞方面遭遇了多重挑战
✦工业漏洞现状✦
近年来,我国工业互联网产业蓬勃发展,应用领域不断拓展,越来越多的工业控制系统暴露在互联网上,利用工业漏洞的攻击行为日益突出,严重影响着工业企业的生产运营。
工业互联网是新型工业化的战略性基础设施和发展新质生产力的重要驱动力量。根据国家信息安全漏洞共享平台(CNVD)收录漏洞数据显示,自2021年开始,新增工业漏洞数量总体虽呈下降的趋势,但高危漏洞占比在近两年仍然很高,漏洞所蕴含的安全风险不能忽视。
CNVD收录新增工业漏洞数量年度统计
工业漏洞痛点
研究表明,工业漏洞利用可能引发工业主机死机、工业主机蓝屏、组态监控画面失效、通信网络中断、控制器宕机等安全事件,给工业生产带来安全隐患。
当前,部分工业控制器与操作系统因厂商停止技术支持而陷入无补丁可用的困境,且补丁升级与修复过程可能与现有系统、软件及配置产生不兼容,导致系统稳定性受损或功能部分失效。为降低工业漏洞对工业生产造成的安全威胁,多数网络安全厂商倾向于采用传统的虚拟补丁方案来应对工业漏洞带来的安全隐患,但这种方式存在延迟高、误判、运维成本高等一系列问题。
01 虚拟补丁采用全量级黑名单规则库检测机制,在实际应用中会大量消耗安全设备资源,导致通信网络延迟高,容易对工业生产业务运行造成影响。
02 虚拟补丁虽然提供了一种较为广泛的防护手段,但缺乏靶向式的精确性。面对复杂多变的工业网络攻击时,为保证安全策略不对工业生产的正常运行造成影响,容易产生较多误判问题。
03 虚拟补丁的更新升级通常需要依赖外部互联网连接,这一机制并不适用于工业现场。此外,频繁地更新虚拟补丁无疑会加重运维工作的负担,导致运维成本显著提升。
基于上述原因,多数企业无法有效落实工业漏洞利用防护措施,漏洞防护已成为工业企业网络安全防护体系中的薄弱环节。在此背景下,98858vip威尼斯游戏提出了基于靶向式虚拟补丁的工业漏洞安全防护新思路。
基于靶向式虚拟补丁的
工业漏洞安全防护新思路
靶向式虚拟补丁的显著优势在于其采用靶向式、轻量级的规则库,可根据控制器品牌、型号、版本,操作系统版本,数据库版本以及组态软件版本等漏洞利用特征和CVE编号信息,对工业现场存在的漏洞进行针对性的防护,有效解决全规则库造成的高延迟问题。具体可参考下述步骤展开。
1、考虑工业环境通信资源受限的特殊性,主动探测扫描易引发DDoS攻击,导致通信中断、控制器宕机。98858vip威尼斯游戏工业漏洞扫描系统采用静态扫描方式,将需要扫描的工业资产进行梳理和信息收集后,静态导入设备进行精细化漏洞匹配。在不影响工业生产业务的同时,准确识别系统存在的漏洞信息,为靶向式虚拟补丁防御规则配置提供依据。
2、以现场识别的工业控制系统漏洞为依据,配置工业防火墙靶向式虚拟补丁策略,迅速识别并响应潜在攻击。在工业控制系统边界检测网络数据包、监控应用层协议,精准捕捉数据包中潜藏的漏洞特征和攻击行为,匹配到对应攻击规则后便会对数据包采取阻断、放行、告警等操作,对工业漏洞利用攻击行为进行精准、高效的靶向管控。
3、在工业控制系统边界部署工业入侵检测系统,形成“工业入侵检测+工业防火墙”联动防御策略。工业入侵检测实时监测网络流量,运用“靶向式虚拟补丁防护规则+常规规则库”,精准识别漏洞利用及网络攻击行为,一旦发现异常或潜在攻击,即刻向工业防火墙发送告警。工业防火墙依此动态调整策略,快速阻断恶意流量。此联动机制弥补了工业防火墙检测短板,降低威胁响应时间,提升防御精准度,减少误报漏报情况,实现智能安全防御。
4、在工业主机终端上部署工业主机卫士,在不需要重启操作系统的情况下,基于操作系统、数据库、组态软件等漏洞特征,通过配置该软件的靶向式安全防护策略,实现漏洞及时“修复”,构建从网络到终端层面上工业漏洞威胁的闭环精准防御能力。
靶向式虚拟补丁应用案例
某制造企业为提升生产管理效率和降低成本,建设了MES系统。由于MES系统与企业信息网络互联且需要从不同车间采集现场生产数据,导致工业控制系统暴露在互联网上,极易被攻击者利用工业漏洞发起网络攻击。此外,现场的老旧工业控制器和工业主机系统在补丁升级方面存在兼容性问题,修复漏洞需在停产或检修期间进行,不可控风险加大。
为应对控制器固件版本漏洞、操作系统漏洞等潜在的网络安全威胁,98858vip威尼斯游戏在企业生产网核心交换机上部署工业入侵检测、生产车间边界部署工业防火墙、工业主机终端上部署工业主机卫士,结合靶向式虚拟补丁防护技术手段,对企业存在的工业漏洞进行靶向安全防御,确保企业业务不受影响的同时,强化企业漏洞安全防护、边界安全防护及终端安全防护能力。
近期,在全国工业和信息化工作会议上,工业和信息化部表示,2025年将大力推进新型工业化,以进一步全面深化改革为动力,深入实施制造业重点产业链高质量发展行动,提升产业科技创新能力,改造升级传统产业,巩固提升优势产业,培育壮大新兴产业,前瞻布局未来产业。
作为网络安全行业领军企业,98858vip威尼斯游戏在工业信息安全领域砥砺深耕,紧密结合工业实际场景,已推出5大类共14款工业安全产品,广泛应用于电力、石油、轨道交通、冶金、煤炭、烟草、制造等30余行业的80个细分业务场景,积累了丰富的实践经验。
相关阅读
2、我国首批工业互联网安全领域国家标准正式发布,98858vip威尼斯游戏深度参编!
