老王,就职于一家大型能源企业
在运维岗位,干了15年
老王有个习惯
喜欢在裤腰带上挂两大串钥匙
一大串是家里的,一大串是单位的
不过,最近老王的腰间
又多了一串“奇怪”的钥匙
形状和普通钥匙,有点不一样
不知道开啥的,充满了神秘感
单位有人问,开什么门的?
老王笑而不语
这串玩意越发显得神秘起来
终于有一天
答案在机房揭晓了
↓
那天,老王刷卡刷脸进了机房
打开机柜门,拿出那个奇怪的钥匙
插进了机架上的一台设备里
老王轻轻转动了一下钥匙
然后回头对运维小李说
“行了,你现在可以下发策略了”
万万没想到
这钥匙是用来开防火墙的!!!
没错,一个带物理锁的防火墙
确切的讲
一个带物理锁的【工业防火墙】
有啥用呢,其实
这相当于是加了一层物理写保护
只要防火墙的策略配置完毕
这道物理锁“咔嚓”一锁
任何来自远程的修改都会被拒绝
不管是恶意的攻击还是善意的误操作
这个“物理级”写保护
解决了困扰客户很久的一个问题
↓
黑客如果先黑了安管平台/SoC
然后再下发策略更改防火墙的配置
再牛的防火墙也会失效
如今“铁将军”把门,万无一失
真需要修改策略和远程下发时
老王小钥匙一拧,即可
完事儿,再锁上,得嘞!
真的要整这么复杂吗?
那得看这“墙”用在哪儿
工业防火墙,要保护的目标
往往都是影响国计民生的关键基础设施
怎么严苛都不为过!
↓
“加锁”只是个微创新
工业防火墙的身板
还要经受各种考验
保证其扛住各种恶劣的工业环境
看到这里
搞传统防火墙的小伙伴表示不服
的确,很多人,包括我在内
内心里对工业防火墙都有点瞧不上
觉得这货除了“皮糙肉厚”,没啥技术含量
↓
跟开放式的企业或互联网环境相比
工业环境实在太干净了,有些还物理隔离
设个白名单,只允许那几个应用通过
不就完全OJBK了?
这样的场景,让传统防火墙来干
简直就是降维打击,so easy
可是
当我真和老王这个大甲方聊过后
才发现:我去!隔行如隔山啊
传统IT系统vs工控系统
各方面都存在着巨大的差异
比如实时性、故障容忍度、生命周期
再比如工控系统不允许自动化更新打补丁
……
这些差异,对工控安全产品提出新要求
传统防火墙/IPS可以频繁更新协议特征库
而工控防火墙,却不能这么干
按照老王的说法
↓
你看似简单的“白名单”
其实分了三重境界
这个呐,其实就是ACL
基于5元组来判定阻断还是放行
把防火墙整到生产环境跑一会儿
了解一下都有哪些流量来往
源/目的IP、端口、协议类型
统统登记在册,形成白名单
一般人觉得,工控环境没几种应用
以后就按这个规则执行就行
简单,粗暴,有效
可是,这个“有效”,要打个问号
因为,工控环境
并没有我们想的那么简单
第二重境界:工业协议白名单对于普通防火墙来说
做个五元组白名单,没啥难度
尤其,到了NGFW满天飞的时代
让他们做个深度协议协议识别,也没问题
可是,真到了工控场景就会发现
曾经识别的几百上千种协议完全用不上
工控设备,完全不说“人话”
这些稀奇古怪的协议,把防火墙整懵逼
常见的几十种,偏门的上百种
都是通用场景碰不上的
而且,不是记住协议端口、协议号就完事
对于每种协议,都要深度识别
不仅要识别出工控协议类型
还要知道里面具体的指令含义
然后,形成协议白名单,精准管控
这样才稳妥
这就万无一失了吗
并没有,还有第三重
↓
第三重境界:业务工艺白名单五元组也好,协议管控也好
都只能算是一种静态控制
在此基础之上,还要引入工艺流程
比如在油气传输控制中
“关闭阀门”、“加压”
单独看这两个控制指令,都没毛病
可是,如果跟工艺流程结合起来
一边“加压”,一边“关阀门”
就可能是一组危险指令
所以
一份经得起考验的“白名单”
必须要跟生产场景的工艺流程融合起来
需要从业务角度
来判断指令的合理性
听老王balabala讲完
我也着实吃了一惊
原来小小一份“白名单”
竟然都有这么多学问
这时候,老王又开腔了
此时
老王再次晃起了那串钥匙
接着说道:
“要说这顶流工控墙
我用的这家就是
那带钥匙的墙是他家新款——”
这一说,我立马想起来了
原来是“威猛努力特持久”的
那就让我们来康康
威努特工控防火墙
是如何建立三重白名单的
↓
在第➊重固化过程中
这部分由数据处理模块完成
形成主机访问路径表
进行五元组访问次数统计
最终得到访问控制规则表
这其中还包括正常访问次数阈值
比如某个控制指令频繁下发
那就有可能是违规或者威胁行为
(所以,第一重白名单也不简单)
在第➋重固化过程中
协议规则学习模块发挥作用
它在第1重基础上,解析工业协议
检查协议规约和功能码值域特征
最终,沉淀为“协议白名单”
威努特支持100+工业协议识别
30+工业协议深度识别
包括铁路RSSP、TRDP等偏门协议
对于一些特种行业
甲方不方便公开协议
威努特则提供协议解析引擎
供客户做二次开发,自定义规则
↓
在第➌重固化过程中
威努特采用业务规则学习模块
引入业务工艺流程
对各种规则、协议进行关联分析
说白了,就是要揪出那些
看似合法却发生在错误时间/地点的动作
到了这一重,极考验厂商的项目经验
只有真正深扎工控场景,熟悉工艺
甚至得到工业老师傅的手把手真传
才能洞悉藏在合法协议里的非法动作
三重固化走下来
才有了一份值得信赖的白名单
实现从业务工艺的角度
对报文传输逻辑进行管控
这样的白名单,放眼国内工控安全圈
只有以威努特为代表的顶流才做得到
三重白名单,实际部署会不会很复杂?
威努特独创了启发式自学习
零值守、自判断、高效率
快、稳、准、狠地学成白名单
↓
同时,在具体项目实战中
威努特采用阶梯式防护策略
最小化业务影响
Step1,学习模式:三重固化白名单
Step2,告警模式:白名单外只告警不拦截
Step3,防护模式:白名单外全拦截
学习→告警→防护,搞定!
如果后期业务逻辑发生变化
不换姿势,再来一遍
我们看看现网部署的盛况吧
每个白盒子
都是一台威努特工业防火墙
↓
再来看看这些“墙”的内部构造
每块“砖头”都历经千锤百炼
它们深度耦合、严丝合缝
共同铸成工控环境的钢铁防线
↓
作为工控“白环境”的开创者
威努特不断引领着国产工控墙的趋势
比如,业内首个物理写保护
这种“特殊”的保护,除了防恶意改写
也体现了威努特工控安全理念
↓
工业现场业务一旦确定
安全防护策略也应该是确定的
与生产业务“共频”,不能随意更改
再比如全自主可控:基于飞腾+麒麟
配合可信根模块,支持国密算法
100%国产化工业防火墙已蓄势待发
...
最后,由于安全圈+工控圈的特殊性
具体的客户案例,就不能点名了
总之,那些“关基”扛把子工程
这只威猛努力特持久的“战狼”
都在默默守护、全力以赴!