老王，就職于一家大型能源企業(yè)

在運(yùn)維崗位，干了15年

老王有個(gè)習(xí)慣

喜歡在褲腰帶上掛兩大串鑰匙

一大串是家里的，一大串是單位的

不過(guò)，最近老王的腰間

又多了一串“奇怪”的鑰匙

形狀和普通鑰匙，有點(diǎn)不一樣

不知道開啥的，充滿了神秘感

單位有人問，開什么門的？

老王笑而不語(yǔ)

這串玩意越發(fā)顯得神秘起來(lái)

終于有一天

答案在機(jī)房揭曉了

↓

那天，老王刷卡刷臉進(jìn)了機(jī)房

打開機(jī)柜門，拿出那個(gè)奇怪的鑰匙

***了機(jī)架上的一臺(tái)設(shè)備里

老王輕輕轉(zhuǎn)動(dòng)了一下鑰匙

然后回頭對(duì)運(yùn)維小李說(shuō)

“行了，你現(xiàn)在可以下發(fā)策略了”

萬(wàn)萬(wàn)沒想到

這鑰匙是用來(lái)開防火墻的！！！

沒錯(cuò)，一個(gè)帶物理鎖的防火墻

確切的講

一個(gè)帶物理鎖的【工業(yè)防火墻】

有啥用呢，其實(shí)

這相當(dāng)于是加了一層物理寫保護(hù)

只要防火墻的策略配置完畢

這道物理鎖“咔嚓”一鎖

任何來(lái)自***的修改都會(huì)被拒絕

不管是惡意的攻擊還是善意的誤操作

這個(gè)“物理級(jí)”寫保護(hù)

解決了困擾客戶很久的一個(gè)問題

↓

***如果先黑了安管平臺(tái)/SoC

然后再下發(fā)策略更改防火墻的配置

再牛的防火墻也會(huì)失效

如今“鐵將軍”把門，萬(wàn)無(wú)一失

真需要修改策略和***下發(fā)時(shí)

老王小鑰匙一擰，即可

完事兒，再鎖上，得嘞！

真的要整這么復(fù)雜嗎？

那得看這“墻”用在哪兒

工業(yè)防火墻，要保護(hù)的目標(biāo)

往往都是影響國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施

怎么嚴(yán)苛都不為過(guò)！

↓

“加鎖”只是個(gè)微創(chuàng)新

工業(yè)防火墻的身板

還要經(jīng)受各種考驗(yàn)

保證其扛住各種惡劣的工業(yè)環(huán)境

看到這里

搞傳統(tǒng)防火墻的小伙伴表示不服

的確，很多人，包括我在內(nèi)

內(nèi)心里對(duì)工業(yè)防火墻都有點(diǎn)瞧不上

覺得這貨除了“皮糙肉厚”，沒啥技術(shù)含量

↓

跟***式的企業(yè)或互聯(lián)網(wǎng)環(huán)境相比

工業(yè)環(huán)境實(shí)在太干凈了，有些還物理隔離

設(shè)個(gè)白名單，只允許那幾個(gè)應(yīng)用通過(guò)

不就完全OJBK了？

這樣的場(chǎng)景，讓傳統(tǒng)防火墻來(lái)干

簡(jiǎn)直就是降維打擊，soeasy

可是

當(dāng)我真和老王這個(gè)大甲方聊過(guò)后

才發(fā)現(xiàn)：我去！隔行如隔山啊

傳統(tǒng)IT系統(tǒng)vs工控系統(tǒng)

各方面都存在著巨大的差異

比如實(shí)時(shí)性、故障容忍度、生命周期

再比如工控系統(tǒng)不允許自動(dòng)化更新打補(bǔ)丁

……

這些差異，對(duì)工控安全產(chǎn)品提出新要求

傳統(tǒng)防火墻/IPS可以頻繁更新協(xié)議特征庫(kù)

而工控防火墻，卻不能這么干

按照老王的說(shuō)法

↓

你看似簡(jiǎn)單的“白名單”

其實(shí)分了三重境界

這個(gè)吶，其實(shí)就是ACL

基于5元組來(lái)判定阻斷還是放行

把防火墻整到生產(chǎn)環(huán)境跑一會(huì)兒

了解一下都有哪些流量來(lái)往

源/目的IP、端口、協(xié)議類型

統(tǒng)統(tǒng)***在冊(cè)，形成白名單

一般人覺得，工控環(huán)境沒幾種應(yīng)用

以后就按這個(gè)規(guī)則執(zhí)行就行

簡(jiǎn)單，粗暴，有效

可是，這個(gè)“有效”，要打個(gè)問號(hào)

因?yàn)椋た丨h(huán)境

并沒有我們想的那么簡(jiǎn)單

對(duì)于普通防火墻來(lái)說(shuō)

做個(gè)五元組白名單，沒啥難度

尤其，到了NGFW滿天飛的時(shí)代

讓他們做個(gè)深度協(xié)議協(xié)議識(shí)別，也沒問題

可是，真到了工控場(chǎng)景就會(huì)發(fā)現(xiàn)

曾經(jīng)識(shí)別的幾百上千種協(xié)議完全用不上

工控設(shè)備，完全不說(shuō)“人話”

這些稀奇古怪的協(xié)議，把防火墻整懵逼

常見的幾十種，偏門的上百種

都是通用場(chǎng)景碰不上的

而且，不是記住協(xié)議端口、協(xié)議號(hào)就完事

對(duì)于每種協(xié)議，都要深度識(shí)別

不僅要識(shí)別出工控協(xié)議類型

還要知道里面具體的指令含義

然后，形成協(xié)議白名單，精準(zhǔn)管控

這樣才穩(wěn)妥

這就萬(wàn)無(wú)一失了嗎

并沒有，還有第三重

↓

五元組也好，協(xié)議管控也好

都只能算是一種靜態(tài)控制

在此基礎(chǔ)之上，還要引入工藝流程

比如在油氣傳輸控制中

“關(guān)閉閥門”、“加壓”

單獨(dú)看這兩個(gè)控制指令，都沒毛病

可是，如果跟工藝流程結(jié)合起來(lái)

一邊“加壓”，一邊“關(guān)閥門”

就可能是一組危險(xiǎn)指令

所以

一份經(jīng)得起考驗(yàn)的“白名單”

必須要跟生產(chǎn)場(chǎng)景的工藝流程融合起來(lái)

需要從業(yè)務(wù)角度

來(lái)判斷指令的合理性

聽老王balabala講完

我也著實(shí)吃了一驚

原來(lái)小小一份“白名單”

竟然都有這么多學(xué)問

這時(shí)候，老王又開腔了

此時(shí)

老王再次晃起了那串鑰匙

接著說(shuō)道：

“要說(shuō)這頂流工控墻

我用的這家就是

那帶鑰匙的墻是他家新款——”

這一說(shuō)，我立馬想起來(lái)了

原來(lái)是“威猛努力特持久”的

那就讓我們來(lái)康康

威努特工控防火墻

是如何建立三重白名單的

↓

在第?重固化過(guò)程中

這部分由數(shù)據(jù)處理模塊完成

形成主機(jī)訪問路徑表

進(jìn)行五元組訪問次數(shù)統(tǒng)計(jì)

最終得到訪問控制規(guī)則表

這其中還包括正常訪問次數(shù)閾值

比如某個(gè)控制指令頻繁下發(fā)

那就有可能是違規(guī)或者威脅行為

（所以，第一重白名單也不簡(jiǎn)單）

在第?重固化過(guò)程中

協(xié)議規(guī)則學(xué)習(xí)模塊發(fā)揮作用

它在第1重基礎(chǔ)上，解析工業(yè)協(xié)議

檢查協(xié)議規(guī)約和功能碼值域特征

最終，沉淀為“協(xié)議白名單”

威努特支持100+工業(yè)協(xié)議識(shí)別

30+工業(yè)協(xié)議深度識(shí)別

包括鐵路RSSP、TRDP等偏門協(xié)議

對(duì)于一些特種行業(yè)

甲方不方便公開協(xié)議

威努特則提供協(xié)議解析引擎

供客戶做二次開發(fā)，自定義規(guī)則

↓

在第?重固化過(guò)程中

威努特采用業(yè)務(wù)規(guī)則學(xué)習(xí)模塊

引入業(yè)務(wù)工藝流程

對(duì)各種規(guī)則、協(xié)議進(jìn)行關(guān)聯(lián)分析

說(shuō)白了，就是要揪出那些

看似合法卻發(fā)生在錯(cuò)誤時(shí)間/地點(diǎn)的動(dòng)作

到了這一重，極考驗(yàn)廠商的項(xiàng)目經(jīng)驗(yàn)

只有真正深扎工控場(chǎng)景，熟悉工藝

甚至得到工業(yè)老師傅的手把手真?zhèn)?/p>

才能洞悉藏在合法協(xié)議里的非法動(dòng)作

三重固化走下來(lái)

才有了一份值得信賴的白名單

實(shí)現(xiàn)從業(yè)務(wù)工藝的角度

對(duì)報(bào)文傳輸邏輯進(jìn)行管控

這樣的白名單，放眼國(guó)內(nèi)工控安全圈

只有以威努特為代表的頂流才做得到

三重白名單，實(shí)際部署會(huì)不會(huì)很復(fù)雜？

威努特獨(dú)創(chuàng)了啟發(fā)式自學(xué)習(xí)

零值守、自判斷、高效率

快、穩(wěn)、準(zhǔn)、狠地學(xué)成白名單

↓

同時(shí)，在具體項(xiàng)目實(shí)戰(zhàn)中

威努特采用階梯式防護(hù)策略

最小化業(yè)務(wù)影響

Step1，學(xué)習(xí)模式：三重固化白名單

Step2，告警模式：白名單外只告警不攔截

Step3，防護(hù)模式：白名單外全攔截

學(xué)習(xí)→告警→防護(hù)，搞定！

如果后期業(yè)務(wù)邏輯發(fā)生變化

不換姿勢(shì)，再來(lái)一遍

我們看看現(xiàn)網(wǎng)部署的盛況吧

每個(gè)白盒子

都是一臺(tái)威努特工業(yè)防火墻

↓

再來(lái)看看這些“墻”的內(nèi)部構(gòu)造

每塊“磚頭”都?xì)v經(jīng)千錘百煉

它們深度耦合、嚴(yán)絲合縫

共同鑄成工控環(huán)境的鋼鐵防線

↓

作為工控“白環(huán)境”的開創(chuàng)者

威努特不斷引領(lǐng)著國(guó)產(chǎn)工控墻的趨勢(shì)

比如，業(yè)內(nèi)首個(gè)物理寫保護(hù)

這種“特殊”的保護(hù)，除了防惡意改寫

也體現(xiàn)了威努特工控安全理念

↓

工業(yè)現(xiàn)場(chǎng)業(yè)務(wù)一旦確定

安全防護(hù)策略也應(yīng)該是確定的

與生產(chǎn)業(yè)務(wù)“共頻”，不能隨意更改

再比如全自主可控：基于飛騰+麒麟

配合可信根模塊，支持國(guó)密算法

100%國(guó)產(chǎn)化工業(yè)防火墻已蓄勢(shì)待發(fā)

...

最后，由于安全圈+工控圈的特殊性

具體的客戶案例，就不能點(diǎn)名了

總之，那些“關(guān)基”扛把子工程

這只威猛努力特持久的“戰(zhàn)狼”

都在默默守護(hù)、全力以赴！