通过“微软蓝屏事件”再一次反观工控安全技术路线选择

=====================================================================================================================================================================================

一、引言

2024年7月19日的全球Windows大规模蓝屏事件，不仅震撼了个人与企业办公系统，更深刻揭示了工业控制系统在安全防护上的短板，尤其是在应对第三方软件更新与系统兼容性挑战时的无力。从这一事件中，我们更应坚定工业控制系统安全防护应遵循白环境的“零特征库”主动防御技术理念，构建纯净可信的运行环境，实时动态检测未知威胁，以应对日益复杂多变的网络攻击，确保工业控制系统的安全与稳定。

图1 7.19 Windows大规模蓝屏事件

二、“微软蓝屏事件”事件对

工业控制系统安全防护的启示

1

事件回顾与影响

7月19日，全球多地Windows系统用户遭遇蓝屏死机问题，这一事件迅速蔓延至多个行业，包括金融、航空、制造等。据初步调查，此次蓝屏事件源于网络安全公司CrowdStrike的一次杀毒软件更新与Windows系统组件不兼容。虽然CrowdStrike随后承认问题并紧急回滚了相关更新，但事件已对全球范围内的工业控制系统稳定运行构成了潜在威胁。

图2 CrowdStrike对事件的回复

2

对工业控制系统安全防护的启示

7.19 Windows大规模蓝屏事件的发生，再一次证明传统安全防护手段不适用于工业控制系统，工业控制系统需要建立自己的安全防护体系。此次事件对工业控制系统安全防护提出了以下几点重要启示：

**第三方软件依赖风险：**工业控制系统往往高度依赖第三方软件和服务，这些软件和服务的更新或故障可能直接威胁到工业控制系统的稳定性和安全性。因此，工业控制系统的安全防护需要更加注重对第三方软件和服务的监控和管理。通过实施严格的软件更新和补丁管理策略，以及对第三方服务的定期安全审计，可以降低因依赖第三方组件而带来的风险。

**主动防御的重要性：**传统的被动防御机制，如简单的签名匹配和规则过滤，已经难以有效应对突发的安全事件，现代工业控制系统安全防护需要更加注重主动防御理念的应用。这包括实时监控工业控制系统的网络流量和系统行为，通过机器学习和人工智能技术自动识别和响应潜在的安全威胁。

**工业控制系统白环境：**构建一个纯净、可信的工业控制系统运行环境，对于防止恶意软件和非法操作至关重要。这可以通过实施严格的应用程序管控、网络访问控制和工控指令下发来实现。采用白名单机制，只允许已知和可信的软件在工业控制系统上运行，只允许可信的流量在网络中传输，只允许可信的工控指令在工业控制器上执行，最终达到识别潜在威胁和阻止新的“零日”攻击或APT攻击的目标。

**“零”特征库安全防护：**面对不断演变的新型威胁，依赖固定特征库的安全防护机制已显得力不从心，“零”特征库安全防护理念成为新方向。传统的基于特征库的防护方法往往只能识别已知的威胁，而对于新型和未知的威胁则无法有效应对。因此，工业控制系统安全防护需要考虑采用行为分析和机器学习技术来实时检测和响应潜在的安全威胁，而不仅仅依赖于固定的特征库。

图3 对工业控制系统安全防护的启示

3

基于白环境的“零特征库”主动防御技术

工业控制系统基于白环境的“零特征库”主动防御技术，首先应进行全面资产梳理与风险评估，明确资产清单及潜在威胁。其次，构建工业控制系统白环境，通过白名单机制确保只有可信的设备、软件及指令在工业控制系统中运行，提升系统纯净度与安全性。同时，采用基于“零特征库”的主动防御与动态防御技术，利用无监督学习等AI算法实时检测异常行为，不依赖于固定的特征库，从而有效应对未知威胁和新型攻击，全面提升工业控制系统的安全防护能力。

三、基于白环境的“零特征库”

主动防御技术具体措施

1

全面资产梳理与风险评估

全面资产梳理与风险评估是工业控制系统安全防护的第一步，是整个防护体系建设的基石。通过全面、深入的资产梳理，用户能够清晰地掌握工业控制系统的构成，包括硬件、操作系统、应用软件和数据等各个方面，从而确保后续的安全防护措施能够覆盖到每一个关键组件。同时，风险评估能够帮助我们识别出潜在的威胁和脆弱性，分析可能的安全事件及其影响，这为我们制定针对性的防护措施提供了有力的依据。只有在对资产和风险有充分认知的基础上，我们才能制定出符合实际运行环境和业务需求的防护措施，确保工业控制系统的安全稳定运行。

威努特统一安全管理平台USM作为工业控制系统安全防护体系的安全运营管理中心，可以提供从资产发现、确认、属性扩展、变更记录到风险评估和资产画像绘制等一系列完善的资产全生命周期管理功能。

图4 资产全生命周期管理

USM通过主动和被动两种方式有机结合，实现了对不同网络条件下的资产全面识别，确保了资产信息的准确性和完整性。主动方式基于网络扫描和深度会话交互技术，能够识别多种类型的资产及其详细信息。而被动方式则通过工业防火墙和工控安全监测与审计系统等设备上报的网络会话数据来识别资产信息，进一步补充和完善了资产库。

图5 资产发现原理

USM还提供了基于资产价值、脆弱性、合规指数和威胁告警信息的资产风险评估功能，通过量化评估资产的风险值，帮助用户更好地了解资产的安全状况，并采取相应的防护措施。

图6 资产风险管理

USM还为每一个资产绘制了详细的资产画像，从多维度描述了资产的信息和状态，包括基本信息、风险评分、漏洞信息、端口信息、通信信息、告警信息、变更记录等，使得用户能够全面、直观地了解资产的安全状况和运行状态。

图7 资产画像

2

建立工业控制系统可信白环境

构建工业控制系统可信白环境是一个复杂而系统的工程，它涉及到工业主机应用程序、工业控制网络、工业控制指令以及业务行为逻辑等多个层面。

通过威努特工控主机卫士IEG，构建工业控制系统主机应用程序白名单。威努特工控主机卫士采用“白名单”防护机制，通过应用锁定的方式，严格锁定工业主机上应用程序的运行，确保只有经过授权和认证的程序才能在主机上执行，从而有效阻止任何白名单外的程序运行。这一机制能够最大限度地避免恶意代码、非法程序在工业主机上的运行，为工程师站、操作员站以及服务器等重要设备提供了安全稳定的运行环境。同时，威努特工控主机卫士还结合了系统锁定、网络锁定和外设锁定等多重防护措施，从多个层面保障工业主机的整体安全，确保工业控制系统的稳定运行和数据的安全。

图8 工控主机卫士功能

通过威努特工业防火墙TEG，构建工业控制系统网络白名单、工控指令白名单和业务工艺行为白名单。

工业控制系统网络存在设备老旧、操作系统版本低以及漏洞更新不及时等特点，这使得传统的“黑名单”技术在工业安全防护中难以奏效。针对这些问题，威努特从工业控制系统的业务特性和需求出发，创新性地提出了“白环境”技术路线。该技术路线旨在解决传统“黑名单”技术存在的传输时延高、特征库频繁升级以及无法有效阻止未知威胁等问题。

“白环境”技术理念从能力上可分为三个等级，业界安全厂商普遍已经具备了访问控制白名单和工业协议白名单的能力，而威努特则更进一步，率先达到了业务工艺白名单的能力。威努特工业防火墙采用无监督学习的AI算法，首次实现了基于指令周期和时序逻辑的生产业务行为逻辑防护。该技术不依赖历史数据训练，而是动态地从工业网络实时流量中学习，建立业务模型，并自行制定遏制威胁的行动。同时，它能随数据环境变化不断发展，实现动态业务模型建立，最终达到识别潜在威胁和阻止新的“零日”攻击或APT攻击的目标。

图9 工业防火墙三重白名单固化

通过对工业控制系统工业主机应用程序、工业控制网络、工业控制指令以及业务行为逻辑四个方面的白名单固化，构建可信任的数采通信及工控网络区域间通信的模型，形成工业控制系统可信白环境，过滤一切非法应用程序、网络访问、工控指令和业务控制行为，确保只有可信任程序可以在主机上运行，只有可信任的流量可以在网络上传输，只有可信任的工控指令和业务工艺可以在控制系统上实现，为控制主机的稳定运行、控制网与管理信息网的连接、控制网内部各区域的连接提供安全保障。

3

建立基于无监督学习的

“零特征库”异常检测机制

通过在工业控制系统部署威努特工控安全监测与审计系统SMA，对工业控制系统网络所有流量进行实时监测和审计，及时发现针对工业控制系统的网络攻击、用户误操作、用户违规操作、非法设备接入、非法指令控制、非法业务调度以及蠕虫、病毒等恶意软件的传播，同时详实记录一切网络通信行为，包括值域级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

传统基于特征库更新的安全检测设备在工业网络中应用存在显著问题：一是漏报误报现象严重，正常业务行为常因包含特定特征而被误判为攻击，且大数据量下计算资源消耗大，易导致入侵行为未被识别；二是需频繁更新特征库，但工业网络通常与互联网隔离且缺乏维护人力，难以保证检测效果，同时特征库的更新会致使工业控制系统由稳定状态进入到不确定状态，从而发生类似于上述Windows大规模蓝屏事件，造成生产瘫痪。

威努特工控安全监测与审计系统SMA采用基于无监督学习的“零特征库”异常检测技术，可以处理非常高维的实时流数据，具有较高的准确率和鲁棒性，在工业场景中应用广泛。

无监督学习中的随机切割森林算法（Random Cut Forest, RCF），通过对数据进行随机切割，构建多棵随机切割树，并利用树的结构进行异常检测。在构建随机切割树的过程中，算法随机选择数据的一个维度，并在该维度上进行随机切割，将数据随机分配到左右两个子节点中。通过不断地进行随机切割，最终可以得到多棵随机切割树。

在进行异常检测时，算法首先计算数据点在每棵随机切割树中的深度，并根据深度计算数据点的异常分数。当数据点在多棵随机切割树中的深度较浅，即异常分数较高时，被认为是异常点。由于随机切割树的构建过程中，每一次切割的位置都是随机的，因此算法对于不同类型的异常点都具有较好的检测能力。

图10 插入新点后的随机切割森林

随机切割森林算法具有较高的可扩展性和计算效率，可以应用于多个领域的异常检测任务。通过人工智能检测算法实施的异常检测，不会受限于传统攻击的特征，可自适应工业客户业务数据环境的不断变化，进而实现业务模型动态建立，最终与工业客户业务系统深度融合，将潜在威胁识别出来并可以阻止新的“零日”攻击或APT攻击。

使用基于无监督学习的异常检测技术，保证了工业现场用户的稳定可用要求，对一切非业务需要的异常进行检测和拦截，异常识别率高达99%以上，让客户的业务更安全。

图11 异常检测实施效果

四、结语

针对7.19 Windows大规模蓝屏事件的深刻教训及其广泛影响，我们深刻反思了工业控制系统安全防护的建设策略，并明确提出工业控制系统安全防护应坚定不移地遵循白环境的“零特征库”主动防御技术理念。这一理念强调通过全面资产梳理与风险评估，构建工业控制系统的可信白环境，只允许已知和可信的设备、软件及操作在系统内运行。同时，引入“零特征库”的异常检测机制，利用无监督学习等先进技术，实时动态地识别并响应未知威胁，摆脱对传统特征库的依赖，确保工业控制系统在复杂多变的网络环境中能够稳定运行，有效抵御各类安全威胁。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121