作者:燈塔實驗室
概述
以色列總理內塔尼亞胡在2015年的網絡技術展會上發表致辭時稱,將把以色列建設成全球網絡安全中心。如今,在這個占地面積僅有25000多平方公里,人口不足900萬人的國家,以色列已經在網絡安全技術領域實現大跨越,成為名副其實的網絡安全強國。在工控安全領域,以色列與美國一樣,擁有眾多世界領先的工控安全廠商,從產品和解決方案上不斷實現工控安全的技術突破。本文將簡述以色列網絡安全產業的發展現狀,以及以色列工控安全產業發展的背景和其背后的原因,并通過以色列主要工控安全廠商的分析為我國工控安全產業發展提供啟示和借鑒。
1. 以色列的網絡安全產業現狀
以色列目前是僅次于美國的世界第二大網絡產品和服務出口國, 2015年,以色列網絡安全產品和服務出口35億至40億美元,吸收外資總額達全球網絡安全行業總投資額的20%。同時,據科技媒體Techcrunch披露,以色列擁有超過300家網絡安全公司,而僅2015年,就有81家新的網絡安全初創企業誕生。
不僅如此,以色列的網絡安全產業結構性十分完備。風投機構Bessemer Venture Partners的研究顯示,以色列的網絡安全企業并非集中于某幾類產品,而是遍布基礎設施保護、云計算、終端保護、威脅情報、應用(APP)保護、工控系統、物聯網、智能汽車等各個領域。在Cybersecurity Ventures公司最新發布的2016年第三季度的世界網絡安全創新500強的榜單中,以色列就有26家企業上榜。由此可見,以色列的網絡安全廠商為各個從業領域、不同規模的企業都提供了完整的網絡安全解決方案。
以色列雖屬小國,但能夠迅速崛起成為全球網絡安全強國離不開以色列政府的政策支持和對產業的大力推動,從創設隸屬于總理辦公室的國家網絡安全局(National Cyber Bureau),規定政府各部門必須將8%的預算用于網絡防御,到引導建立位于貝爾謝巴的網絡星火產業園,構建“網絡安全生態系統”。以色列成功的將本·古里安大學的人才教育體系、來自國際國內的產業力量、風險投資結合并輔以大力的稅收等政策支持,使得網絡安全生態系統成為支撐以色列網絡安全產業發展的重要機制。
2. 以色列的工控安全產業發展背景
在工業控制系統信息安全領域,以色列近年來同樣發展迅猛。由于其特殊的地緣政治因素,以色列一直以來將確保本國人能夠應對各種水平的威脅視為政府的核心戰略。作為一個身居中東地區,有強敵環伺的國家,以色列在現實世界中面臨的挑戰環境,也反映在網絡世界中。正因如此,以色列工控安全領域的爆發可以說也得益于其面對關鍵基礎設施不斷被攻擊所積累下的大量經驗。
據以色列媒體報道,以色列主要的敵對國家伊朗在網絡空間打擊以色列方面不遺余力,僅2013年和2014年,以色列就指責伊朗對其關鍵基礎設施,如水電、銀行等發動了網絡攻擊。除此之外,以色列媒體還表示,土耳其、巴勒斯坦、北非的一些國家都曾對以色列發動過網絡攻擊。
2012年1月,沙特與以色列發生黑客大戰,其中大量以色列SCADA工控系統的地址被黑客通過Twitter連接到的一個文檔暴露并被迅速轉發,黑客收集的SCADA入口將會遭遇多國黑客的挑戰。
2013年10月,以色列北部城市Haifa的全國路網遭到了網絡攻擊,在城市的主干路上造成了大規模的交通擁堵。攻擊者使用了惡意軟件攻破了在卡梅爾隧道收費公路的完全攝像裝置,并獲得了控制權。攻擊者在20分鐘內迅速的鎖定了主干路,并在次日早在此關閉了整段路長達8小時,造成了大規模的擁堵。
2016年,以色列國家基礎設施,能源和水資源部部長Yuval Steinitz在2016屆特拉維夫Cybertech大會上表示,以色列國家電力局正在遭受著嚴重的網絡攻擊,還指出這是基礎設施遭受網絡攻擊的一個活生生的例子。
正是這樣常年不間斷的網絡攻擊促使以色列政府大力發展安全防御技術,而這其中軍方的技術力量是以色列獨特網絡安全生態體系的重要組成部分。在工控安全領域,雖然各家公司的技術和方向有所不同,但是絕大多數工控安全廠商都存在一個共同點—它們多是由以色列軍事信號情報組織8200部隊(Unit 8200)的退伍人員組成。2010年,正是這支世界上最令人生畏的網絡間諜部隊被懷疑用蠕蟲病毒Stuxnet成功讓伊朗的濃縮鈾設施癱瘓。不僅如此,以色列著名科技公司同時也是工控安全廠商之一的Check Point的創始人兼CEO吉爾·舍伍德就曾在8200部隊中服役。近年來在工控安全領域成績顯著的Cyber X公司的兩位創始人Nir Giller和Omer Schneider也是以色列國家防部(IDF)經營網絡安全部門的退伍軍人。毫不夸張地說,8200部隊既是以色列工控安全廠商商業品牌和技術建立的基礎,同時也是這些初創公司的青年人才孵化器。
3. 以色列主要工控安全廠商分析
隨著近年來全球關鍵基礎設施領域的安全威脅加劇,世界各國對工控安全的重視程度逐漸提高。據Gartner在2016年6月發布的基礎設施防護Hype Cycle曲線中披露,全球工控安全從2012年市場的“期望膨脹高峰期”到現在的“幻滅期”并即將進化到“爬坡期”。而近年來以色列國內關鍵基礎設施領域工控安全事件頻發,也促使其國內的工控安全廠商不斷推陳出新,在技術和商業模式上取得突破。
3.1 Waterfall
公司簡介:專注于工控邊界防護領域,主要產品是工控網閘,支持主流的工業協議和應用,是世界上該產品門類的典型代表。同時,其解決方案被監管和政府機構認為是最好的工控安全實踐,大量地降低了政府和合規監管在關鍵基礎設施等領域的成本和復雜性。
主要應用領域:石油天然氣、電力、交通運輸、制造業、水利、制藥業等
| 主要工控安全產品 | 類型 | 功能簡介 | 應用 |
| 單向安全網關 | 工業網閘 | 替代工業網絡環境中的防火墻,為控制系統和操作網絡提供絕對保護,防止源自外部網絡的攻擊。該技術已經由愛達荷國家實驗室驗證,他的結論是“系統的物理學防止從低安全區域到高安全區域的任何數據傳輸。 | 解決方案保護通信免于工業網絡流入發電廠,制造平臺,交通信號和導航系統,水和廢物管理工廠,化學和制藥平臺以及其他IT / OT連接中的工業控制網絡。 |
| 逆向硬件實施的單向安全網關 | 工業網閘 | 受保護的OT網絡內的獨立控制機制觸發FLIP硬件改變方向,允許信息根據需要流回到受保護的OT網絡。Digital Bond Labs評估了FLIP的安全級別,并得出結論:“FLIP始終是單向的,并且該方向不能被遠程操縱的事實使得即使是高度熟練的攻擊者也比防火墻更難以穿透 “ | |
| 安全旁路 | 當選擇的安全程序在控制系統和工廠緊急情況下必須暫停時,安全旁路產品可以與單向網關并行部署。安全旁路產品永遠不能通過任何,不論多復雜的網絡攻擊遠程激活。 |
3.2 Indegy
公司簡介:開發了一個網絡安全平臺,提供可視化操作和控制面板技術,確保運營安全,防止網絡攻擊、內部員工惡意操作、以及運營操作失誤等情況發生。Indegy 監測器可以鎖定工業控制系統內的所有獲得,并且開發了一個控制層協議,支持實時監測各種工業控制配置變化。工業控制系統工程師和安全防護員工能夠快速定位問題源,及時作出判斷,防止問題惡化。
| 主要工控安全產品 | 類型 | 功能簡介 |
| 系統控制層的可視化監控產品 | 平臺解決方案 | 基于核心技術控制網絡檢查(CNI)和無代理控制器驗證(ACV),可監控ICS網絡,并為控制層活動提供獨特且關鍵的可視性,識別控制器邏輯,配置,固件和狀態的實時更改。作為成套網絡設備交付,平臺是無代理的,非侵入式的,無操作中斷部署 |
3.3 Checkpoint
公司簡介: 作為全球首屈一指的Internet安全解決方案供應商,自1993年以來,Check Point便致力于為客戶提供無可比擬的防護,抵御各種類型的威脅,降低安全復雜性和總體擁有成本。在ICS/SCADA網絡安全領域提供先進的威脅防御,加固設備選擇和綜合協議支持去保障關鍵基礎設施。其下一代防火墻技術可提供全面可視化監控和精細化管理。
主要應用領域: 發電設施、交通,水處理等關鍵基礎設施領域
| 主要工控安全產品 | 類型 | 功能簡介 | 應用 |
| 1200R 加固設備 | 安全網關 | 提供SCADA流量的全面可視化和精細管理,具有SCADA感知威脅檢測和預防的全面安全性,使用加固設備提供所有安全功能。 | 提供先進的威脅防御配合強化設備選項和全面的協議支持,以確保重要的資產,如發電設施,交通控制系統,水處理系統等。 |
3.4 Cyberbit
公司簡介:以色列著名國防公司Elbit子公司,主要為情報機構和執法機構提供通信情報技術和檢測(包括非入侵式網絡協議和硬件診斷、深度報文分析)及網絡攻擊抑制和響應(包含安全事件管理、安全事件分析和態勢感知、決策支持和解決方案推薦)。
主要應用領域:電力公司、石油能源、交通等
| 主要工控安全產品 | 類型 | 功能簡介 |
| SCADA Shield綜合網絡安全產品 | ICS/SCADA安全和連續性解決方案 | 發現網絡中的所有設備,識別OT / OT接觸點,并暴露客戶不知道的配置問題。深度包檢測了解系統行為,并在幾秒鐘內識別連續性和安全風險,因此可以在中斷操作之前解決它們。低接觸設置,自學習算法和自動規則創建使客戶能夠在幾天內啟動和運行,降低成本并最小化對基礎架構的影響。符合行業法規,包括NERC CIP,NIST 800-82和ISA / IEC 62443。 |
3.5 Nextnine
公司簡介:是針對復雜多廠商ICS環境的自上而下OT安全管理解決方案的領先供應商。Nextnine的ICS Shield是一個經現場驗證的解決方案,用于從單個安全和操作中心保護多站點遠程現場資產,從而使工業組織能夠受益于集成的OT / IT操作,同時將安全漏洞降至最低。 使用ICS Shield,工業運營商可自動部署和實施工廠級策略,從而提高安全治理和合規性,同時節省OT和IT資源。 Nextnine解決方案已由系統集成商(SI),托管安全服務提供商(MSSP)和全球數千家工廠的最大自動化供應商部署。
主要應用領域:石油和天然氣,公共事業,化工,礦業和制造行業
| 主要工控安全產品 | 類型 | 功能簡介 | 應用 |
| ICS Shield | OT安全管理解決方案 | 用于從單個安全和操作中心保護多站點遠程現場資產,這一經過現場驗證的解決方案可自動化部署和實施工廠級安全策略,同時專注于諸如資產可見性,修補,日志收集,事件報警和響應以及合規性報告等安全要素。同時將安全漏洞降至最低。 | 在石油和天然氣,公共事業,化工,礦業和制造行業的全球數千個地點部署,為工廠運營提供無與倫比的可見性,可靠性和合規性。 |
3.6 RAD Group
公司簡介:全球知名的電信接入的解決方案和產品供應商,客戶遍布頂級服務提供商、電力公司、運輸和政府。在工控領域中,其主要針對集成在網絡交換機中的分布式SCADA感知防火墻。提供使用帶有內置防火墻/ VPN的安全以太網交換機可靠地連接和保護SCADA設備免受“內部”攻擊的解決方案。堅固的以太網交換機使用高度安全的防火墻監控應用程序流量,并阻止未經授權的和潛在的破壞性活動。
主要應用領域:公共事業、石油天然氣、水資源等
| 主要工控安全產品 | 功能簡介 | 應用 |
| SecFlow-4
加固型模塊化SCADA感知以太網交換機/路由器 |
一款高密度模塊化系統,具備專門針對SCADA應用而設計的內置安全機制。融合了通常要求使用單獨設備的功能,提供了高效的分布式安全層,可防止內部攻擊。該設備可監控SCADA指令,利用深度分組檢測來驗證其是否符合特定功能的應用邏輯。這款加固型、模塊化交換機/路由器是一個靈活的平臺,兼具光纖和銅纜以太網端口,以及串行接口,可支持傳統設備。 | 適用于要求分布式安全的公用事業機構企業和至關重要的基礎設施機構,如智能電網運營商、智能交通系統運營商、自來水公司和煤氣公司以及公共安全機構和國土安全機構等。 |
3.7 Radiflow
公司簡介:世界領先的關鍵基礎設施網絡(SCADA)的網絡安全解決方案提供商,是RAD group的一家子公司。Radiflow的安全工具驗證了M2M應用和H2M(人機對機器)會話在分布式操作網絡中的行為。 Radiflow的安全解決方案既可用作遠程站點的在線網關,也可作為非侵入式IDS(入侵檢測系統),可在每個站點或集中部署。
主要應用領域:電力、水處理、石油天然氣、可再生能源、軌道交通、遠程維護、制造業等
| 主要工控安全產品 | 功能簡介 |
| iSID工業網絡安全和入侵檢測 | 1)自動學習拓撲和操作行為;2)基于SCADA的DPI協議的網絡流量分析;3)針對PLC中配置變更的監管;4)基于模型的異常檢測分析;5)基于特征的已知脆弱性檢測;6)非入侵式的網絡操作;7)中央或分布式部署;8)假報警率低 |
| 3180安全加固路由器 | 一個堅固耐用,緊湊,安全的交換機/路由器,基本配置為2×100 / 1000 SFP和8×10 / 100 BaseT PoE端口以及各種附加可選接口,包括8x100FX,8×10 / 100BaseT,4xRS-232和蜂窩調制解調器 。 |
| 1031安全加固網關 | 進一步增強了RADiFlow提供的耐用型交換機。新的1031安全公用網關設計用于小型遠程站點,需要通過公共網絡安全遠程連接到有限數量的設備,因此可以補充RADiFlow的關鍵基礎設施的加固,多用戶/多網絡交換機系列。 |
| 3700安全加固模塊化路由器 | 一個加固,模塊化和完全冗余的交換機/路由器,具有高達28xGE吞吐量和7個插槽用于網絡模塊。為應對網絡攻擊的日益增加的風險,3700支持IPSec VPN隧道,并包括一個防火墻,用于SCADA協議的服務感知檢查。RADiFlow 3700高級功能集成為部署安全以太網網絡的關鍵公用設施基礎設施應用程序(如子站自動化和智能交通)的理想平臺。 |
3.8 Claroty
公司簡介:是以色列著名的網絡安全鑄造廠Team8啟動的一家公司(而Team8的創始人Nadav Zafrir曾是以色列軍事信號情報組織8200部隊的指揮官),在2016年A輪融資后走出隱身模式。Claroty的主要業務是設計保護和優化運行世界上最關鍵的基礎設施的OT網絡。授權運行和保護工業系統的人員充分利用他們的OT網絡,通過發現最細粒度的元素,提取關鍵數據并制定可執行的見解,Claroty提供了極高的可視性,并為OT網絡帶來無與倫比的清晰度。
主要應用領域:石油天然氣
| 主要工控安全產品 | 功能簡介 |
| 極致的可視化跨ICS層協議平臺 | 提供了每個站點的控制資產的清晰視圖,并顯示實時狀態;學習表示每個資產的合法行為的連接、回話和命令的有限集,以及違反此基準的異常行為的警報,對正常但高風險變化提供實時監控,指示網絡中存在不同的惡意狀態和活動的資產行為;使用安全的深度包檢測來持續監視OT網絡,提供主動網絡增強和事件響應和取證。 |
3.9 ICS2
公司簡介:ICS2的含義是“智能工業控制系統的網絡安全”,公司由一支IT 和 OT經驗豐富的團隊組成,開發了一種OnGuard IDS設備,該設備通過機器學習和數據分析進行信息物理系統的入侵檢測和提高工廠生產力。
主要應用領域:水系統、石油天然氣、石化和電力
| 主要工控安全產品 | 類型 | 功能簡介 | 應用 |
| ICS2 On-Guard | 工業過程機器學習系統 | 工廠工業過程動態學習系統和異常檢測系統 | 專為工業過程設計的系統,與其他系統相比,工業過程具有包含大量內置傳感器,以及與所測量的傳感器非常接近的反饋控制回路的特點。因此水系統,石油和天然氣工廠,石油化工廠和發電廠都有這種特點。設計使用這種工廠的特定特征的網絡安全系統給網絡防御者提供了巨大的優勢。 |
| ICS2 Analyzer | 通過過程異常檢測網絡干預的離線產品 (基于P&ID來定位事件) | ||
| ICS2Active Guard | 檢查系統完整性的保護系統 | ||
| ICS2 Protector | 遵循人類操作員與系統的交互,并學習正常的操作程序。 當發生與正常操作員行為的偏差時,ICS2保護報警。 ICS2Protector還可以檢測個體操作員特有的行為模式。 |
3.10 Assac Networks Overview
公司簡介:開發,集成和銷售SCADA,ISP和政府和商業組織在IT,電信和網絡保護領域的網絡取證和安全產品和解決方案。這些解決方案專門為滿足政府和民間組織的安全需求而量身定制。公司成立于2011年,由Snapshield有限公司創始人兼首席執行官Shimon Zigdon創立。
| 主要工控安全產品 | 功能簡介 |
| 全功能SCADA網絡保護解決方案 | 包含三個最佳組件:1)高級數據分析系統,提供徹底的深度數據包檢查,并立即檢測任何惡意活動 – 網絡行為異常,策略違規,網絡攻擊等,2)一個獨特的追溯機制,可以快速,準確地定位攻擊源。3)集中管理系統(CMS),為網絡管理員提供整個網絡的準確,實時的態勢感知圖像。 |
3.11 G.Bina
公司簡介:成立于2006年,是一家精品咨詢公司,提供高度專業的網絡安全服務,ICT和SCADA風險評估。該公司將頂級咨詢和咨詢服務與由著名的網絡安全專家Dr. Col Gabi Siboni領導的全面的“從上到下”流程相結合。公司領導者Gabi是商業運營風險管理領域的思想領袖,他的專業知識延伸到國家安全,軍事戰略和運營,軍事技術,網絡安全和戰爭以及軍隊建設。他是IDF(以色列國防軍)的首席方法學家,背景包括技術培訓,工程和信息系統博士。 Gabi的獨特方法和分析過程是G. Bina的核心。
| 主要工控安全產品 | 功能簡介 |
| SCADA風險評估和管理解決方案 | 全面風險管理服務提供一套全面的解決方案,從規劃和風險評估的早期階段到實施和維護最有效的解決方案。 在每個階段,評估SCADA運營和安全性的有效性。通過高效的方法,我們系統地評估組織的技術狀況以應對當前和新出現的威脅,并設計相關的降低風險計劃。 |
3.12 SCADAfence
公司簡介:提供了旨在確保工業(ICS / SCADA)網絡的操作連續性的尖端網絡安全解決方案,專長是在采用工業物聯網/工業4.0技術,如制藥,化學,食品和飲料和汽車的智能制造行業。該公司的產品由OT網絡安全專業人員以及世界知名的專家開發,包括以SCADAhacker 知名的Joel Langill。 SCADAfence位于以色列的Be’er Sheva網絡安全卓越中心,并在全球網絡安全投資領導者JVP的資助下。
| 主要工控安全產品 | 功能簡介 |
| OT網絡被動解決方案 | 旨在減少操作風險的被動解決方案,例如停機時間,流程操縱和竊取敏感的專有信息。該公司提供全面的解決方案套件,包括對工業環境的連續實時監控以及旨在自動化安全評估過程的輕量級工具。解決方案提供日常操作的可視性,網絡攻擊的檢測和旨在提高響應能力的取證工具。 |
3.13 Thetaray
公司簡介:大數據分析平臺和解決方案的領先提供商,為高級網絡安全,運營效率和風險檢測提供解決方案,保護金融服務部門和關鍵基礎設施免受未知威脅。 ThetaRay的核心技術基于最先進的算法,其專有的超維度和多域大數據分析平臺。對于操作依賴于高度異構和復雜環境的組織使用ThetaRay的無與倫比的檢測和低誤報率作為一個看得見的力量,使他們能夠統一檢測和擊敗未知。
| 主要工控安全產品 | 功能簡介 | 應用 |
| Thetaray 分析平臺 | 該解決方案提供了未知操作威脅的端到端檢測,輕松集成到現有客戶系統,如客戶數據源,歷史數據,控制和管理系統。 主要功能包括數據處理和存儲,異常檢測,警報生成/分發和事件調查。
特點:1)未知操作威脅檢測;2)不受監控,實時分析;3)工業級精度;4)快速部署;5)大數據分析 |
受監控的ICS / SCADA關鍵網絡包括發電廠,發電,輸配電網絡,石油和天然氣設施以及關鍵制造場所等。 對于每個環境,該解決方案分析幾乎任何類型的可用機器數據,如渦輪機,泵,PLC,IDU,飛機發動機等。 |
4. 以色列工控安全行業的啟示
通過對以色列網絡安全產業總體態勢的研究,并深入調查以色列工控安全產業發展的背景,以及對以色列的主要工控安全廠商的調研分析,以色列作為網絡安全強國在產業發展上有如下幾點值得我國思考和借鑒。
首先,以色列在地緣政治上的獨特性是形成該國自上至下強烈憂患意識的重要原因。正是這種來自網上網下的危機讓以色列在網絡安全領域發展中呈現幾個鮮明的特色。一是國家戰略支持,政府極端重視科技的研發和人才的培養,不斷加大在網絡安全領域的投入;二是以色列人信奉實踐,注重創新,強調以結果為導向,在網絡安全領域更是如此,只要產品能夠奏效,不論是來自大學中的學生,還是部隊中的退伍軍人,都會選擇自主創業,解決實際問題,快速研發并推向市場;三是以色列的資本市場在網絡安全領域的活躍度高,據以色列網絡安全領域最活躍的風投基金之一的耶路撒冷風投基金JVP報告顯示,自2011年起,230多家本土或外國機構對165家以色列網絡技術初創企業進行了投資。而另外一家以色列著名的風投機構BVP也是工控安全廠商Claroty和SCADAfense的投資人。因此,不難看出以色列網絡行業、投資商和政府之間的緊密聯系是以色列快速成為世界網絡安全科技中心的重要原因。
其次,以色列網絡安全行業,尤其是工控安全領域的廠商,更加注重運營服務類的產品和平臺,通過模型分析和診斷,來幫助用戶提升安全意識,產品一般是依托于專家式的服務體系和標準進行推廣。以色列大名鼎鼎的經濟和工業部的首席科學家辦公室(OCS)一直以來致力于鼓勵技術創新和創業,對以色列的網絡安全行業,尤其是工控安全廠商中具有強大影響力的解決方案提供支持并借此向全球市場推廣,工控安全廠商ThetaRay就是其中的受益者之一。
最后,由于自然資源短缺和地域的限制,以色列在工控安全領域的產品類廠商發展空間有局限性。因此,以色列的產品型工控安全廠商在發展過程中,會選擇在國外成立分支機構,或與其他國家的工控廠商進行合作。例如Radiflow就與中國電子科技集團公司所屬上海三零衛士信息安全有限公司進行技術合作,開發針對工控網絡安全應用環境的網絡安全產品。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.jmbmsq.com/184/
暫無評論