威胁情报在我国工业互联网安全中的应用前景

  当前，网络安全风险不断向工业领域转移，工业互联网正在成为网络安全的主战场。传统被动式的防御手段以及针对单点的攻击取证与溯源技术难以应对高级持续性威胁（APT）、新型高危漏洞等复杂安全威胁。利用威胁情报技术能够收集整合分散的攻击与安全事件信息，支撑选择响应策略，支持智能化攻击追踪溯源，实现大规模网络攻击的防护与对抗，进而构建融合联动的工业互联网安全防护体系。

  一是威胁情报赋能工业互联网安全事件管理与响应。按照威胁情报标准对安全信息与安全事件进行记录，便于信息共享、关联分析以及事件响应。根据威胁情报反映的工业互联网安全态势，有助于预判后续可能的安全风险，使得响应网络威胁的速度更快，准确度更高，防范能力更强。

  二是威胁情报支持工业互联网攻击分析与溯源。威胁情报技术可用于分析攻击手法还原攻击路径。结合关联威胁情报，可以对攻击方进行组织画像和溯源，利用威胁情报构建攻击知识库，能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。最新威胁情报框架ATT&CK支持引入知识图谱等AI技术，支撑工业互联网攻击智能分析。

  三是威胁情报支撑工业互联网安全防护体系建设。主动防御方面，利用威胁情报制定和组织攻击计划，能规避可能的防御手段。被动防御方面，基于威胁情报研究攻击路线，可探索应对抗检测手段的新方法。在工业互联网设备层，集成威胁情报快速识别攻击行为的优势，能实现工业互联网设备轻量化攻击检测。对工业互联网企业，可利用威胁情报模拟攻击，测试和评估其防护系统的检测和防御效果，指导制定安全增强方案。

  在工业互联网应用威胁情报技术面临收集、共享、分析以及利用等方面的挑战。

  一是工业互联网对象海量异构，威胁情报收集难度升级。当前威胁情报主要来自网络爬虫、针对特定属性漏洞扫描以及共享交换。而网络爬虫和漏洞扫描不能满足威胁情报对于准确性、可靠性和实时性的高要求。加上工业互联网边缘连接对象海量异构，相较于传统互联网威胁情报收集难度升级。

  二是威胁情报共享不足，难以支撑关联事件的分析。当前工业互联网威胁情报共享机制尚未成熟，企业间、行业间的威胁数据未形成标准格式的威胁情报，加上共享渠道尚未打通，威胁信息难以交互同步。加上不同组织间存在利益竞争，很难将各自掌握的威胁情报信息和研究成果完全分享。

  三是工业互联网威胁情报利用不足，基于情报的防御和响应机制有待完善。勒索病毒在工业系统的泛滥表明传统互联网安全威胁也能对工业系统造成影响。 “永恒之蓝”爆发两年多以后，工业主机仍然频频遭受该勒索病毒攻击，可见当前工业系统尚未做好对威胁情报的利用。