如何构建更积极主动的工业互联网安全运营防御体系？

近年来，工业互联网遭受的攻击面不断扩大，病毒、木马等传统网络威胁开始向工业控制系统蔓延，勒索攻击等新型攻击模式层出不穷，工业场景中的安全挑战逐渐增大。

新型工业互联网时代，企业应如何构建更积极主动的安全思路，以构建高效的安全体系？本期产业安全专家谈，我们邀请到腾讯安全资深安全运营专家刘桂泽，结合多年深耕工业互联网安全的实战经验，分享企业的“主动防御”手段和思路。

Q1：如今发展工业互联网已成为国家级战略部署，如何判断我国工业互联网安全部署的成熟度象限，有什么参考依据？

刘桂泽：工业互联网安全的整体水平不仅关乎企业发展，也是国家安全的重要组成部分，政府和企业可以参考2021年工信部发布的《智能制造能力成熟度模型》判断安全部署的成熟度象限。该标准规定了智能制造能力成熟度模型的构成、成熟度等级、能力要素和成熟度要求，有利于帮助企业识别智能制造短板，还可以提供智能制造能力自诊断。

这些年来，政府和企业投入了大量的精力和资源推动工业互联网安全，相关技术和产品也在不断地升级优化，但我国目前工业互联网安全整体仍然面临严峻的挑战，比如标准制定、漏洞发现和修复、安全理念普及等方面，整体都需要不断完善。

Q2：工业领域企业上云已成为必然趋势，目前我们面临的云安全挑战有哪些特征？

刘桂泽：《2023上半年云安全态势报告》显示，各行业遭受攻击的频次呈现明显差异，其中互联网、金融、工业三大行业是遭受攻击次数最多的行业，合计占比近70%。数据窃取、建立僵尸网络和恶意挖矿是攻击者的主要目的；暴力破解、DDoS攻击、漏洞利用和API Key攻击成为最常用的手段。

（工业领域数字化安全建设的核心转变、要求与三大挑战）

Q3：为什么工业互联网容易成为被攻击的行业，核心挑战的地方在哪里？

刘桂泽：一是工业行业安全水平仍然现阶段处于数字化转型安全体系建设初期，存在企业对于安全部署态度不均衡的问题，比如重发展轻安全、重建设轻防护等，大部分企业更关注安全事件应急。

此外，企业在不同的发展阶段有不同的安全需求和挑战，因此需要根据自身实际情况制定相应的安全运营策略。在今年腾讯数字生态大会上，我们也提出了针对企业不同发展阶段的安全运营策略思考，包括合规驱动、攻防驱动和智能化驱动。企业需要根据自身发展阶段和实际需求，制定合适的安全运营策略，并持续优化和完善，以保障企业的安全稳健发展。

Q4：我们了解到，其实现在也有很多工业互联网企业在积极加强安全建设，但仍然收效甚微，您认为这个过程中还存在哪些难点？

刘桂泽：很多工业企业虽然部署了较为完备的基础安全产品，但防御体系仍以异构设备堆叠式为主，各设备相互割裂、难以深度协同，缺乏全局数据的可见性和主动防御能力。面对指数级增长的威胁和告警，传统的安全防御往往力不从心。

同时，当攻防对抗不对等时，攻击者总能找到新型攻击手法，从企业最薄弱的环节突破安全防线，因此企业亟需一款成熟的、有体系、现代化的SOC，及时发现、响应、解决问题，驱动安全运营整体能力朝“实战化”不断升级和演进。

Q5：以目前工业场景中常见安全事件为例，腾讯安全是帮助企业减少安全威胁的？

刘桂泽：针对工业场景中常见的钓鱼邮件、网络攻击等安全威胁，腾讯安全NDR不仅能够识别南北向的流量，也能识别东西向的，在发现威胁的同时及时做出响应阻断。

• 在检测方面，腾讯NDR应用AI算法+威胁情报+哈勃沙箱+规则引擎等等多层次的检测方式，可发现多种新型威胁，其特点和传统的防火墙、WAF的检测规则有所不同，所以能够发现一些以前设备没有能够发现的威胁，我们称之为“未知威胁”。

• 在闭环-响应方面，腾讯“NDR天幕”可实现毫秒级的方式阻断海量攻击，阻断成功率高达99.99%，在多云、混合云的场景下满足用户的实际需求。另外，我们还有国内领先的威胁情报库，可以实时联动，快速响应最新漏洞和事件。

除了工业场景外，腾讯安全NDR已成功为政务、金融、关基单位在重保期间的网络安全保驾护航，帮助客户快速发现网络威胁、响应安全事件，智能化部署网络安全防御体系。

Q6：腾讯安全有什么解决方案可以帮企业建设成熟的安全运营体系？

刘桂泽：腾讯安全基于20多年攻防实战经验，业内领先安全实验室的安全能力、算法算力平台的安全大数据和AI技术，率先推出腾讯“SOC+安全运营体系”，通过原子力、产品力和生态力打造全新的安全运营体系与架构。

如之前我们提到企业发展阶段，腾讯安全会伴随具体企业需求、企业安全特征打造定制化的安全策略。腾讯SOC+支持更多企业从“安全建设”向“安全运营”转变，由“满足合规要求”导向“提升安全能力”，从被动式防御过渡到“原生式”主动安全建设，最终迈进具备成熟、智能、可持续的安全“进阶优化”阶段，不断提升高阶安全防护、安全运营能力。

Q7：结合目前的工业安全现状，您如何理解腾讯安全SOC+的“原子力、产品力和生态力”的优势？

刘桂泽：我认为未来的安全架构将更加注重提高威胁检测和响应效率，以适应不断变化的安全态势。在这个过程中，单产品的协同效应和整体效率将发生深刻变化，以适应更多不确定性的挑战。

腾讯安全致力于推动构建企业安全运营架构的现代化进程，并保持着对未来的敏锐洞察，例如不断挖掘GenAI的攻防能力，感知更多的有效风险信息，以预测攻击，提升响应效率等，都要求有在多个维度具备非常扎实的安全原子能力作为基础。

同时，腾讯安全认为采用可组装的方式来集成厂商和生态的安全原子能力将变得越来越重要，通过这种可组装的方法，安全厂商可以将各种安全原子能力组装成统一的安全平台，从而实现更加高效和智能的安全运营。

我们非常有信心以此作为基座推动现代化安全运营从中心化向网格化进行长期演进，并将构建面向未来的统一威胁网格防御平台，创造一种新的防御态势,  使工具/检测/预测分析之间更好地协作，增强对入侵和攻击的响应能力。

Q8：在安全挑战外，工业场景的数字化趋势也逐渐深化，腾讯安全有哪些措施可以帮企业加强数字安全建设？

刘桂泽：首先，网络攻击的手段更加多样化、复杂化，企业需重视工业网络建设和管理，防止外部攻击和内部恶意行为对生产造成影响。例如，企业可以通过加强网络安全运营、入侵检测系统等措施，确保网络的安全和稳定；加强工业网络安全的监测和安全日志数据的审计策略，及时发现和处理网络安全事件。

其次，企业规模增长、数字化程度加深和安全设备增加，安全日志数量呈指数级增长，高昂的人力成本、授权成本和性能瓶颈都滞后了企业数字化转型的最新需求。同时，从行业角度来看，以Splunk为代表的国外安全数据厂商无法满足国产化信创要求，且随时面临退出中国市场的风险，国内很多安全厂商目前比较缺乏成熟的解决方案。

因此，腾讯安全打造新一代云原生安全数据湖，通过100%自研“高性能数据平台”+全技术栈国产化“智能分析引擎”，主打Splunk国产化替换以及实现海量安全数据的实时分析。腾讯云原生安全数据湖是基于云原生的自研数据分析平台，利用“列存储”、“无索引”、“智能压缩算法”等特性进行了数据分析平台底层技术创新，具备高性能、低成本、一体化、易扩展的四大核心优势。

（腾讯云原生安全数据湖产品架构）

Q9：能否简单介绍一下腾讯今年提出的“数字安全免疫力”模型框架？这个框架给企业带来了哪些启示？ 

刘桂泽：腾讯安全联合IDC于2023上半年发布“数字安全免疫力”模型框架，提出用免疫思维应对新时期下安全建设与企业发展的协同关系，以企业数据和业务为目标，建设弹性、自适应、可扩展的安全免疫体系。

网络安全已从有界进化到无界，企业面临新形势的考题，需要以终端为核心重塑信任边界。不仅如此，企业要构建持续进化的免疫力，还需要将安全工作前置，并且建设智能化的安全运营平台，实现人机协同，提升安全效能。

- END -

原文始发于微信公众号（腾讯安全）：如何构建更积极主动的工业互联网安全运营防御体系？