10月18日,2024年电力行业网络信息安全交流大会在北京成功召开。 青藤作为网络安全企业代表受邀参与主论坛分享,青藤COO程度出席活动并发表《云原生安全攻击及防御技术分析》主题演讲。
图1 青藤COO程度发表主题演讲
数字化智能化是实现能源变革的重要推动力,是新型电力系统建设的重要支撑。依托各类数字化平台,新型电力系统实现源网荷储各环节协同运行、智能交互。确保能源流、业务流、数据流多流融合,与此同时也给新型电力系统带来更多网络安全风险。智能化也让源于终端设备、网络设备、数字化平台的网络安全隐患,极易传导至电力系统本身,从而引发重大安全事件。
在2024年电力行业网络信息安全交流大会,青藤分享内容聚焦于云原生安全攻击及防御技术,旨在为行业提供最新的安全策略和技术解决方案。此外,青藤在本次大会上,还对外正式发布了《新型电力系统安全建设指南》,欢迎扫码下载。
云计算入侵技术分析
云计算技术的发展带来了新的攻击面,包括虚拟机、K8S、容器等。这些新技术的复杂性增加了IT环境的复杂性,使得传统的安全防护手段需要进行技术型的云适配。 电力行业需要加强对这些新技术的安全研究,包括对虚拟机和容器的安全监控、对云基础设施的保护、对云服务配置的管理等。通过这些措施,可以提高电力行业对云安全威胁的防御能力。
云基础设施成为主要攻击目标
云平台成为电力系统创新的重要载体,支撑电力新兴业务孵化培育。随着云计算技术的快速发展和广泛应用,云环境在基础设施、数据、身份及访问管理、安全管理、隐私、审计与合规等维度面临的安全威胁日益增加。这些安全威胁不仅包括传统的网络攻击,如DDoS攻击,还包括针对云平台基础设施的安全漏洞,例如虚拟机管理程序、操作系统等存在的安全问题。因此,云基础设施正在成为网络攻击的新战场。
API逐渐成为新的安全关注点
新型电力系统更加开放,业务系统之间、业务系统与外界用户实时交互更加频繁。API作为系统间的通信桥梁,正成为攻击者的重点目标。API滥用已成为导致企业Web应用程序数据泄露最常见的攻击媒介。
API的安全性问题日益凸显,OWASP 2023年API安全Top 10列出了API安全的主要威胁,包括对象级别授权失效、身份认证失效等。电力行业需要加强对API的安全管理,以防止数据泄露和滥用。这包括对API的访问控制、监控、加密等措施。通过这些措施,可以确保API的安全性,防止API成为攻击者的目标。
应用供应链存在安全风险
应用供应链的安全风险主要来自于供应链条上的风险点,包括ICT供应商、软件使用方等。电力行业需要加强对供应链的安全管理,以防止供应链攻击。这包括对供应商进行安全评估、实施安全编码标准、定期进行安全审计等措施。通过这些措施,可以确保供应链的安全性,防止供应链成为攻击的渠道。
云集群配置存在安全风险
由于迁移到云的人员和组织数量日益增加,故意和意外安全风险的数量也与日俱增。虽然数据泄露很常见,但大多数错误仍是由云配置错误和人为错误导致的。
图2 用于配置策略的安全解决方案数量
云集群的复杂配置带来了安全风险,电力行业需要加强对云集群配置的安全管理,以防止因配置错误导致的安全问题。这包括对云集群的配置进行定期审计、实施最小权限原则、使用自动化工具进行配置管理等。通过这些措施,可以减少因配置错误导致的安全事件。
云原生安全防御技术
云基础设施安全防护
新型电力系统以“电力+算力”为核心途径和驱动力,总体遵循基础设施云化、生产运行云上智能、数据业务云上增值的路线。如下图所示,在进行云基础设施安全建设时,企业应在落实国家和行业网络安全相关要求基础上,继承“安全分区、网络专用、横向隔离、纵向认证”的电力行业安全建设方针,以“全域防御、纵深防御、实战引领”为理念,结合新型电力系统特性,打造电力云安全综合保护体系,并强化责任体系、组织体系、制度标准体系、监督体系,筑牢电力云安全保护屏障。
基于电力云安全综合保护体系建设思路,青藤打造新型电力系统云基础设施安全方案。如下图所示,该方案遵循合规要求、全栈覆盖、自适应安全、可视化运营四大准则。在云工作负载安全、应用安全、网络可视化微隔离、一体化联动防御运营等方面提升新型电力系统的云安全防护能力。
图3 新型电力系统云基础设施安全方案
全场景API安全保护
新型电力系统更加开放,业务系统之间、业务系统与外界用户实时交互更加频繁。API作为系统间的通信桥梁,正成为攻击者的重点目标。API滥用已成为导致企业Web应用程序数据泄露最常见的攻击媒介。
对电力企业而言,想要保障数据安全,全生命周期的API管理很有必要。而从高效防御的角度出发,企业可以从API的上线运行阶段入手,利用API数据安全综合治理方案,持续识别API资产潜在威胁和漏洞、评估安全风险、实时监测威胁、迅速响应安全事件,全面保护API的安全性和可靠性,最大化降低甚至避免API风险,具体方案内容如下图所示。
图4 API数据安全综合治理方案
应用安全
实时应用自我防护技术通过动态字节码修改技术,将安全防护逻辑写入业务代码中,以实现对应用漏洞的实时检测和防护。电力行业可以利用这一技术来保护应用系统,防止应用漏洞被利用。这包括对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及未知威胁,能有效防御新型SQL注入、任意命令执行、任意文件读写、Weblogic反序列化等基于传统签名方式无法有效防护的应用漏洞。通过这一技术,电力行业可以提高应用系统的安全性,防止应用漏洞被利用。
供应链安全
软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道安全的总和。
安全左移策略强调在软件开发的早期阶段就引入安全措施,以实现“上线即安全”的目标。DevSecOps是统一软件开发(Dev)、安全(Sec)和运维(Ops)的组织软件工程文化和实践。电力行业可以利用这一实践来提高软件的安全性。这包括在软件开发过程中引入自动化、安全性应用到软件的全生命周期。构建软件功能的同时,测试和保障安全,最终实现“安全往左走,上线即安全”。通过这一实践,电力行业可以提高软件的安全性,减少软件上线后的安全问题。
云安全配置管理
云安全态势管理通过聚合云平台管理API接口和相关日志,获取配置信息并进行安全分析;针对风险的配置可以通过API进行修复和变更。电力行业可以利用这一技术来管理云安全配置,防止因配置错误导致的安全问题。这包括对云平台的配置进行定期审计、实施最小权限原则、使用自动化工具进行配置管理等。通过这些措施,可以确保云平台的配置安全性,防止因配置错误导致的安全事件。
结语
电力行业在享受云计算带来的便利的同时,也面临着严峻的网络安全挑战。通过加强云原生安全防御技术的研究和应用,电力行业可以更好地应对这些挑战,保障电力系统的安全稳定运行。这包括对云工作负载、应用、API、供应链、云集群配置等方面的安全管理,以及对云安全态势的监控和管理。此外,青藤在本次大会上,还对外正式发布了《新型电力系统安全建设指南》,欢迎扫码下载。