来源:ICS Security Workspace

作者:灯塔实验室

概述

以色列总理内塔尼亚胡在2015年的网络技术展会上发表致辞时称,将把以色列建设成全球网络安全中心。如今,在这个占地面积仅有25000多平方公里,人口不足900万人的国家,以色列已经在网络安全技术领域实现大跨越,成为名副其实的网络安全强国。在工控安全领域,以色列与美国一样,拥有众多世界领先的工控安全厂商,从产品和解决方案上不断实现工控安全的技术突破。本文将简述以色列网络安全产业的发展现状,以及以色列工控安全产业发展的背景和其背后的原因,并通过以色列主要工控安全厂商的分析为我国工控安全产业发展提供启示和借鉴。

1. 以色列的网络安全产业现状

以色列目前是仅次于美国的世界第二大网络产品和服务出口国, 2015年,以色列网络安全产品和服务出口35亿至40亿美元,吸收外资总额达全球网络安全行业总投资额的20%。同时,据科技媒体Techcrunch披露,以色列拥有超过300家网络安全公司,而仅2015年,就有81家新的网络安全初创企业诞生。

不仅如此,以色列的网络安全产业结构性十分完备。风投机构Bessemer Venture Partners的研究显示,以色列的网络安全企业并非集中于某几类产品,而是遍布基础设施保护、云计算、终端保护、威胁情报、应用(APP)保护、工控系统、物联网、智能汽车等各个领域。在Cybersecurity Ventures公司最新发布的2016年第三季度的世界网络安全创新500强的榜单中,以色列就有26家企业上榜。由此可见,以色列的网络安全厂商为各个从业领域、不同规模的企业都提供了完整的网络安全解决方案。

以色列虽属小国,但能够迅速崛起成为全球网络安全强国离不开以色列政府的政策支持和对产业的大力推动,从创设隶属于总理办公室的国家网络安全局(National Cyber Bureau),规定政府各部门必须将8%的预算用于网络防御,到引导建立位于贝尔谢巴的网络星火产业园,构建“网络安全生态系统”。以色列成功的将本·古里安大学的人才教育体系、来自国际国内的产业力量、风险投资结合并辅以大力的税收等政策支持,使得网络安全生态系统成为支撑以色列网络安全产业发展的重要机制。

2. 以色列的工控安全产业发展背景

在工业控制系统信息安全领域,以色列近年来同样发展迅猛。由于其特殊的地缘政治因素,以色列一直以来将确保本国人能够应对各种水平的威胁视为政府的核心战略。作为一个身居中东地区,有强敌环伺的国家,以色列在现实世界中面临的挑战环境,也反映在网络世界中。正因如此,以色列工控安全领域的爆发可以说也得益于其面对关键基础设施不断被攻击所积累下的大量经验。

据以色列媒体报道,以色列主要的敌对国家伊朗在网络空间打击以色列方面不遗余力,仅2013年和2014年,以色列就指责伊朗对其关键基础设施,如水电、银行等发动了网络攻击。除此之外,以色列媒体还表示,土耳其、巴勒斯坦、北非的一些国家都曾对以色列发动过网络攻击。

2012年1月,沙特与以色列发生黑客大战,其中大量以色列SCADA工控系统的地址被黑客通过Twitter连接到的一个文档暴露并被迅速转发,黑客收集的SCADA入口将会遭遇多国黑客的挑战。

2013年10月,以色列北部城市Haifa的全国路网遭到了网络攻击,在城市的主干路上造成了大规模的交通拥堵。攻击者使用了恶意软件攻破了在卡梅尔隧道收费公路的完全摄像装置,并获得了控制权。攻击者在20分钟内迅速的锁定了主干路,并在次日早在此关闭了整段路长达8小时,造成了大规模的拥堵。

2016年,以色列国家基础设施,能源和水资源部部长Yuval Steinitz在2016届特拉维夫Cybertech大会上表示,以色列国家电力局正在遭受着严重的网络攻击,还指出这是基础设施遭受网络攻击的一个活生生的例子。

正是这样常年不间断的网络攻击促使以色列政府大力发展安全防御技术,而这其中军方的技术力量是以色列独特网络安全生态体系的重要组成部分。在工控安全领域,虽然各家公司的技术和方向有所不同,但是绝大多数工控安全厂商都存在一个共同点—它们多是由以色列军事信号情报组织8200部队(Unit 8200)的退伍人员组成。2010年,正是这支世界上最令人生畏的网络间谍部队被怀疑用蠕虫病毒Stuxnet成功让伊朗的浓缩铀设施瘫痪。不仅如此,以色列著名科技公司同时也是工控安全厂商之一的Check Point的创始人兼CEO吉尔·舍伍德就曾在8200部队中服役。近年来在工控安全领域成绩显著的Cyber X公司的两位创始人Nir Giller和Omer Schneider也是以色列国家防部(IDF)经营网络安全部门的退伍军人。毫不夸张地说,8200部队既是以色列工控安全厂商商业品牌和技术建立的基础,同时也是这些初创公司的青年人才孵化器。

3. 以色列主要工控安全厂商分析

随着近年来全球关键基础设施领域的安全威胁加剧,世界各国对工控安全的重视程度逐渐提高。据Gartner在2016年6月发布的基础设施防护Hype Cycle曲线中披露,全球工控安全从2012年市场的“期望膨胀高峰期”到现在的“幻灭期”并即将进化到“爬坡期”。而近年来以色列国内关键基础设施领域工控安全事件频发,也促使其国内的工控安全厂商不断推陈出新,在技术和商业模式上取得突破。

3.1 Waterfall

公司简介:专注于工控边界防护领域,主要产品是工控网闸,支持主流的工业协议和应用,是世界上该产品门类的典型代表。同时,其解决方案被监管和政府机构认为是最好的工控安全实践,大量地降低了政府和合规监管在关键基础设施等领域的成本和复杂性。

主要应用领域:石油天然气、电力、交通运输、制造业、水利、制药业等

主要工控安全产品 类型 功能简介 应用
单向安全网关 工业网闸 替代工业网络环境中的防火墙,为控制系统和操作网络提供绝对保护,防止源自外部网络的攻击。该技术已经由爱达荷国家实验室验证,他的结论是“系统的物理学防止从低安全区域到高安全区域的任何数据传输。 解决方案保护通信免于工业网络流入发电厂,制造平台,交通信号和导航系统,水和废物管理工厂,化学和制药平台以及其他IT / OT连接中的工业控制网络。
逆向硬件实施的单向安全网关 工业网闸 受保护的OT网络内的独立控制机制触发FLIP硬件改变方向,允许信息根据需要流回到受保护的OT网络。Digital Bond Labs评估了FLIP的安全级别,并得出结论:“FLIP始终是单向的,并且该方向不能被远程操纵的事实使得即使是高度熟练的攻击者也比防火墙更难以穿透 “
安全旁路 当选择的安全程序在控制系统和工厂紧急情况下必须暂停时,安全旁路产品可以与单向网关并行部署。安全旁路产品永远不能通过任何,不论多复杂的网络攻击远程激活。

3.2 Indegy

公司简介:开发了一个网络安全平台,提供可视化操作和控制面板技术,确保运营安全,防止网络攻击、内部员工恶意操作、以及运营操作失误等情况发生。Indegy 监测器可以锁定工业控制系统内的所有获得,并且开发了一个控制层协议,支持实时监测各种工业控制配置变化。工业控制系统工程师和安全防护员工能够快速定位问题源,及时作出判断,防止问题恶化。

主要工控安全产品 类型 功能简介
系统控制层的可视化监控产品 平台解决方案 基于核心技术控制网络检查(CNI)和无代理控制器验证(ACV),可监控ICS网络,并为控制层活动提供独特且关键的可视性,识别控制器逻辑,配置,固件和状态的实时更改。作为成套网络设备交付,平台是无代理的,非侵入式的,无操作中断部署

3.3 Checkpoint

公司简介: 作为全球首屈一指的Internet安全解决方案供应商,自1993年以来,Check Point便致力于为客户提供无可比拟的防护,抵御各种类型的威胁,降低安全复杂性和总体拥有成本。在ICS/SCADA网络安全领域提供先进的威胁防御,加固设备选择和综合协议支持去保障关键基础设施。其下一代防火墙技术可提供全面可视化监控和精细化管理。

主要应用领域: 发电设施、交通,水处理等关键基础设施领域

主要工控安全产品 类型 功能简介 应用
1200R 加固设备 安全网关 提供SCADA流量的全面可视化和精细管理,具有SCADA感知威胁检测和预防的全面安全性,使用加固设备提供所有安全功能。 提供先进的威胁防御配合强化设备选项和全面的协议支持,以确保重要的资产,如发电设施,交通控制系统,水处理系统等。

3.4 Cyberbit

公司简介:以色列著名国防公司Elbit子公司,主要为情报机构和执法机构提供通信情报技术和检测(包括非入侵式网络协议和硬件诊断、深度报文分析)及网络攻击抑制和响应(包含安全事件管理、安全事件分析和态势感知、决策支持和解决方案推荐)。

主要应用领域:电力公司、石油能源、交通等

主要工控安全产品 类型 功能简介
SCADA Shield综合网络安全产品 ICS/SCADA安全和连续性解决方案 发现网络中的所有设备,识别OT / OT接触点,并暴露客户不知道的配置问题。深度包检测了解系统行为,并在几秒钟内识别连续性和安全风险,因此可以在中断操作之前解决它们。低接触设置,自学习算法和自动规则创建使客户能够在几天内启动和运行,降低成本并最小化对基础架构的影响。符合行业法规,包括NERC CIP,NIST 800-82和ISA / IEC 62443。

3.5 Nextnine

公司简介:是针对复杂多厂商ICS环境的自上而下OT安全管理解决方案的领先供应商。Nextnine的ICS Shield是一个经现场验证的解决方案,用于从单个安全和操作中心保护多站点远程现场资产,从而使工业组织能够受益于集成的OT / IT操作,同时将安全漏洞降至最低。 使用ICS Shield,工业运营商可自动部署和实施工厂级策略,从而提高安全治理和合规性,同时节省OT和IT资源。 Nextnine解决方案已由系统集成商(SI),托管安全服务提供商(MSSP)和全球数千家工厂的最大自动化供应商部署。

主要应用领域石油和天然气,公共事业,化工,矿业和制造行业

主要工控安全产品 类型 功能简介 应用
ICS Shield OT安全管理解决方案 用于从单个安全和操作中心保护多站点远程现场资产,这一经过现场验证的解决方案可自动化部署和实施工厂级安全策略,同时专注于诸如资产可见性,修补,日志收集,事件报警和响应以及合规性报告等安全要素。同时将安全漏洞降至最低。 在石油和天然气,公共事业,化工,矿业和制造行业的全球数千个地点部署,为工厂运营提供无与伦比的可见性,可靠性和合规性。

3.6 RAD Group

公司简介:全球知名的电信接入的解决方案和产品供应商,客户遍布顶级服务提供商、电力公司、运输和政府。在工控领域中,其主要针对集成在网络交换机中的分布式SCADA感知防火墙。提供使用带有内置防火墙/ VPN的安全以太网交换机可靠地连接和保护SCADA设备免受“内部”攻击的解决方案。坚固的以太网交换机使用高度安全的防火墙监控应用程序流量,并阻止未经授权的和潜在的破坏性活动。

主要应用领域:公共事业、石油天然气、水资源等

主要工控安全产品 功能简介 应用
SecFlow-4

加固型模块化SCADA感知以太网交换机/路由器

一款高密度模块化系统,具备专门针对SCADA应用而设计的内置安全机制。融合了通常要求使用单独设备的功能,提供了高效的分布式安全层,可防止内部攻击。该设备可监控SCADA指令,利用深度分组检测来验证其是否符合特定功能的应用逻辑。这款加固型、模块化交换机/路由器是一个灵活的平台,兼具光纤和铜缆以太网端口,以及串行接口,可支持传统设备。 适用于要求分布式安全的公用事业机构企业和至关重要的基础设施机构,如智能电网运营商、智能交通系统运营商、自来水公司和煤气公司以及公共安全机构和国土安全机构等。

3.7 Radiflow

公司简介:世界领先的关键基础设施网络(SCADA)的网络安全解决方案提供商,是RAD group的一家子公司。Radiflow的安全工具验证了M2M应用和H2M(人机对机器)会话在分布式操作网络中的行为。 Radiflow的安全解决方案既可用作远程站点的在线网关,也可作为非侵入式IDS(入侵检测系统),可在每个站点或集中部署。

主要应用领域:电力、水处理、石油天然气、可再生能源、轨道交通、远程维护、制造业等

主要工控安全产品 功能简介
iSID工业网络安全和入侵检测 1)自动学习拓扑和操作行为;2)基于SCADA的DPI协议的网络流量分析;3)针对PLC中配置变更的监管;4)基于模型的异常检测分析;5)基于特征的已知脆弱性检测;6)非入侵式的网络操作;7)中央或分布式部署;8)假报警率低
3180安全加固路由器 一个坚固耐用,紧凑,安全的交换机/路由器,基本配置为2×100 / 1000 SFP和8×10 / 100 BaseT PoE端口以及各种附加可选接口,包括8x100FX,8×10 / 100BaseT,4xRS-232和蜂窝调制解调器 。
1031安全加固网关 进一步增强了RADiFlow提供的耐用型交换机。新的1031安全公用网关设计用于小型远程站点,需要通过公共网络安全远程连接到有限数量的设备,因此可以补充RADiFlow的关键基础设施的加固,多用户/多网络交换机系列。
3700安全加固模块化路由器 一个加固,模块化和完全冗余的交换机/路由器,具有高达28xGE吞吐量和7个插槽用于网络模块。为应对网络攻击的日益增加的风险,3700支持IPSec VPN隧道,并包括一个防火墙,用于SCADA协议的服务感知检查。RADiFlow 3700高级功能集成为部署安全以太网网络的关键公用设施基础设施应用程序(如子站自动化和智能交通)的理想平台。

3.8 Claroty

公司简介是以色列著名的网络安全铸造厂Team8启动的一家公司(而Team8的创始人Nadav Zafrir曾是以色列军事信号情报组织8200部队的指挥官),在2016年A轮融资后走出隐身模式。Claroty的主要业务是设计保护和优化运行世界上最关键的基础设施的OT网络。授权运行和保护工业系统的人员充分利用他们的OT网络,通过发现最细粒度的元素,提取关键数据并制定可执行的见解,Claroty提供了极高的可视性,并为OT网络带来无与伦比的清晰度。

主要应用领域:石油天然气

主要工控安全产品 功能简介
极致的可视化跨ICS层协议平台 提供了每个站点的控制资产的清晰视图,并显示实时状态;学习表示每个资产的合法行为的连接、回话和命令的有限集,以及违反此基准的异常行为的警报,对正常但高风险变化提供实时监控,指示网络中存在不同的恶意状态和活动的资产行为;使用安全的深度包检测来持续监视OT网络,提供主动网络增强和事件响应和取证。

3.9 ICS2

公司简介:ICS2的含义是“智能工业控制系统的网络安全”,公司由一支IT 和 OT经验丰富的团队组成,开发了一种OnGuard IDS设备,该设备通过机器学习和数据分析进行信息物理系统的入侵检测和提高工厂生产力。

主要应用领域:水系统、石油天然气、石化和电力

主要工控安全产品 类型 功能简介 应用
ICS2 On-Guard 工业过程机器学习系统 工厂工业过程动态学习系统和异常检测系统 专为工业过程设计的系统,与其他系统相比,工业过程具有包含大量内置传感器,以及与所测量的传感器非常接近的反馈控制回路的特点。因此水系统,石油和天然气工厂,石油化工厂和发电厂都有这种特点。设计使用这种工厂的特定特征的网络安全系统给网络防御者提供了巨大的优势。
ICS2 Analyzer 通过过程异常检测网络干预的离线产品 (基于P&ID来定位事件)
ICS²Active Guard 检查系统完整性的保护系统
ICS² Protector 遵循人类操作员与系统的交互,并学习正常的操作程序。 当发生与正常操作员行为的偏差时,ICS²保护报警。 ICS²Protector还可以检测个体操作员特有的行为模式。

3.10 Assac Networks Overview

公司简介:开发,集成和销售SCADA,ISP和政府和商业组织在IT,电信和网络保护领域的网络取证和安全产品和解决方案。这些解决方案专门为满足政府和民间组织的安全需求而量身定制。公司成立于2011年,由Snapshield有限公司创始人兼首席执行官Shimon Zigdon创立。

主要工控安全产品 功能简介
全功能SCADA网络保护解决方案 包含三个最佳组件:1)高级数据分析系统,提供彻底的深度数据包检查,并立即检测任何恶意活动 – 网络行为异常,策略违规,网络攻击等,2)一个独特的追溯机制,可以快速,准确地定位攻击源。3)集中管理系统(CMS),为网络管理员提供整个网络的准确,实时的态势感知图像。

3.11 G.Bina

公司简介:成立于2006年,是一家精品咨询公司,提供高度专业的网络安全服务,ICT和SCADA风险评估。该公司将顶级咨询和咨询服务与由著名的网络安全专家Dr. Col Gabi Siboni领导的全面的“从上到下”流程相结合。公司领导者Gabi是商业运营风险管理领域的思想领袖,他的专业知识延伸到国家安全,军事战略和运营,军事技术,网络安全和战争以及军队建设。他是IDF(以色列国防军)的首席方法学家,背景包括技术培训,工程和信息系统博士。 Gabi的独特方法和分析过程是G. Bina的核心。

主要工控安全产品 功能简介
SCADA风险评估和管理解决方案 全面风险管理服务提供一套全面的解决方案,从规划和风险评估的早期阶段到实施和维护最有效的解决方案。 在每个阶段,评估SCADA运营和安全性的有效性。通过高效的方法,我们系统地评估组织的技术状况以应对当前和新出现的威胁,并设计相关的降低风险计划。

3.12 SCADAfence

公司简介:提供了旨在确保工业(ICS / SCADA)网络的操作连续性的尖端网络安全解决方案,专长是在采用工业物联网/工业4.0技术,如制药,化学,食品和饮料和汽车的智能制造行业。该公司的产品由OT网络安全专业人员以及世界知名的专家开发,包括以SCADAhacker 知名的Joel Langill。 SCADAfence位于以色列的Be’er Sheva网络安全卓越中心,并在全球网络安全投资领导者JVP的资助下。

主要工控安全产品 功能简介
OT网络被动解决方案 旨在减少操作风险的被动解决方案,例如停机时间,流程操纵和窃取敏感的专有信息。该公司提供全面的解决方案套件,包括对工业环境的连续实时监控以及旨在自动化安全评估过程的轻量级工具。解决方案提供日常操作的可视性,网络攻击的检测和旨在提高响应能力的取证工具。

3.13 Thetaray

公司简介:大数据分析平台和解决方案的领先提供商,为高级网络安全,运营效率和风险检测提供解决方案,保护金融服务部门和关键基础设施免受未知威胁。 ThetaRay的核心技术基于最先进的算法,其专有的超维度和多域大数据分析平台。对于操作依赖于高度异构和复杂环境的组织使用ThetaRay的无与伦比的检测和低误报率作为一个看得见的力量,使他们能够统一检测和击败未知。

主要工控安全产品 功能简介 应用
Thetaray 分析平台 该解决方案提供了未知操作威胁的端到端检测,轻松集成到现有客户系统,如客户数据源,历史数据,控制和管理系统。 主要功能包括数据处理和存储,异常检测,警报生成/分发和事件调查。

特点:1)未知操作威胁检测;2)不受监控,实时分析;3)工业级精度;4)快速部署;5)大数据分析

受监控的ICS / SCADA关键网络包括发电厂,发电,输配电网络,石油和天然气设施以及关键制造场所等。 对于每个环境,该解决方案分析几乎任何类型的可用机器数据,如涡轮机,泵,PLC,IDU,飞机发动机等。

4. 以色列工控安全行业的启示

通过对以色列网络安全产业总体态势的研究,并深入调查以色列工控安全产业发展的背景,以及对以色列的主要工控安全厂商的调研分析,以色列作为网络安全强国在产业发展上有如下几点值得我国思考和借鉴。

首先,以色列在地缘政治上的独特性是形成该国自上至下强烈忧患意识的重要原因。正是这种来自网上网下的危机让以色列在网络安全领域发展中呈现几个鲜明的特色。一是国家战略支持,政府极端重视科技的研发和人才的培养,不断加大在网络安全领域的投入;二是以色列人信奉实践,注重创新,强调以结果为导向,在网络安全领域更是如此,只要产品能够奏效,不论是来自大学中的学生,还是部队中的退伍军人,都会选择自主创业,解决实际问题,快速研发并推向市场;三是以色列的资本市场在网络安全领域的活跃度高,据以色列网络安全领域最活跃的风投基金之一的耶路撒冷风投基金JVP报告显示,自2011年起,230多家本土或外国机构对165家以色列网络技术初创企业进行了投资。而另外一家以色列著名的风投机构BVP也是工控安全厂商Claroty和SCADAfense的投资人。因此,不难看出以色列网络行业、投资商和政府之间的紧密联系是以色列快速成为世界网络安全科技中心的重要原因。

其次,以色列网络安全行业,尤其是工控安全领域的厂商,更加注重运营服务类的产品和平台,通过模型分析和诊断,来帮助用户提升安全意识,产品一般是依托于专家式的服务体系和标准进行推广。以色列大名鼎鼎的经济和工业部的首席科学家办公室(OCS)一直以来致力于鼓励技术创新和创业,对以色列的网络安全行业,尤其是工控安全厂商中具有强大影响力的解决方案提供支持并借此向全球市场推广,工控安全厂商ThetaRay就是其中的受益者之一。

最后,由于自然资源短缺和地域的限制,以色列在工控安全领域的产品类厂商发展空间有局限性。因此,以色列的产品型工控安全厂商在发展过程中,会选择在国外成立分支机构,或与其他国家的工控厂商进行合作。例如Radiflow就与中国电子科技集团公司所属上海三零卫士信息安全有限公司进行技术合作,开发针对工控网络安全应用环境的网络安全产品。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:http://paper.seebug.org/184/