正是看到这种趋势,日前以“工业发展 安全护航”为主题的工业互联网安全发展峰会在深圳召开,会上深入讨论了工业互联网面对的各类威胁风险,分享了全球最前沿的工业互联网安全技术策略展望。会后,Fortinet中国区总经理李宏凯、中国区技术总监张略和高级产品经理岑义涛接受了记者的采访,就OT/IT的融合带来的安全风险,如何识别和定义OT安全以及Fortinet工业安全防护方法论进行了深度探讨和交流,为制造企业应对安全挑战带来了新的思考与借鉴。
IT/OT加速融合,安全问题首当其冲
如今,制造企业的IT与OT系统加速融合,工业控制系统由封闭走向开放,并越来越多地与企业管理系统实现互联互通,导致OT系统安全风险和入侵威胁不断增加,OT系统所面临的安全威胁与隐患也显著增加。
造成这种趋势一方面是由于工业控制系统由原来相对封闭、稳定的环境变得开放、多变。制造企业要实现真正的智能化,必然要打通“任督二脉”,开放工业控制网络,使其与设计网互联互通,最大程度满足产品设计与生产的自动化需求。无论是制造企业上云还是工业互联网应用为首的转型升级模式,都造成了制造企业业务应用的不断增长,开放的环境让工业安全的脆弱性逐渐暴露出来。
另一方面,制造企业的系统大多数已经运行了十几年还在服役,OT系统不像IT环境频繁的更换软硬件设备。工业本身要求的高可靠、稳定性带来许多软件难以及时升级、系统补丁兼容性差、发布周期长等问题,使得企业不具备及时处理严重威胁漏洞的能力。例如传统信息网络所使用的通信协议大部分都是标准而开放的协议,而工业控制网络使用的大部分都是私有协议,协议的私密性对安全产品提出较高的要求,只有安全产品能够针对工业控制协议进行细粒度的解析,才能实现细粒度的安全防护能力与功能。
以目前火热的工业互联网为例,李宏凯介绍数字化转型与智能制造使得国内工业互联网发展如火如荼,然而由于终端和应用的融合化、多样化,工业互联网在给制造企业带来数据的互联互通与应用的快速迭代下,工业互联网设备、网络、应用等也面临着严峻的安全威胁。并且工业互联网越复杂,给黑客的可乘之机也越多:不安全的通信接入、不当的操作、不完备的防护等任何一个问题都会产生严重的事故和损失。
值得一提的是,OT环境中的安全风险还来自于企业对于工控安全的认知与重视度不足。张略表示在与国内一些头部制造型企业的沟通交流中发现,OT安全的认知与意识正在逐渐加强。在张略看来,工控系统面临的安全威胁和风险是动态的,必须配合安全制度、管理、人员意识、产品和技术的综合体系才是科学的保障。
如何构建科学的OT安全防护体系
从产业规模而言,我国现代工业规模为世界之最,具备完整的现代工业体系,因此在工业化、智能化建设中,中国工业更具后发优势。从需求而言,当工业互联网已成为企业转型升级的重要平台与助推器,保障工业生产安全,加强工控网络安全防范迫切性的日趋凸显,工控系统网络安全正在成为企业刚需。
从安全防护体系上看,如何实现产业结构变化下的安全防护,李宏凯认为如同我们的新冠病毒的防御体系,国内从上到下制定了分层分级管理模式,无论是地域和个体都得到了最佳的保护。这样体系化对OT安全来讲也是一样。通过体系和机制的联动,让OT安全中可能遇到的潜在威胁发生时,将风险控制到最小。
针对这种工业环境的安全策略实施,Fortinet希望以“航母群”的形式实现分层级的纵深安全防御。通过Fortinet Security Fabric工控安全整体解决方案,在检测、保护、发现、响应、恢复等各个环节帮助工业企业建立安全防护能力。在具体应用中,张略介绍主要分为八个阶段:分别是可视化、集中管理、安全域划分、网络准入、抵御已知与未知威胁、分析定位、OT态势感知与响应、信任评估。
在部署的过程中,Fortinet将秉承三个原则:
1. 借助最新的安全技术能力
工业安全防护作为防守方需要“补课”的地方很多,如果仅仅把传统的IT安全防护产品加上一些OT的功能和特性,是远远不够的。从数字孪生到人工智能,制造企业在新技术应用下正呈现出前所未有的速度,如果在OT安全防护上慢慢补课,势必导致差距越来越大,因此Fortinet认为工业安全防护必须有前瞻性,用目前最先进的理念和技术应对OT安全。
2. 注重OT环境的独特需求
工业安全相较于传统信息安全而言,有着自身的特点呈现出“倒三角”的形式。一个典型的例子是以OT环境以“可靠性”为首要需求,工控网络安全误报等同于攻击;而传统的IT系统则以“保密性”为首要需求。对于很多制造企业而言生产网的稳定性要求非常高,不稳定的系统或高时延极有可能导致工业企业生产混沌,使其蒙受经济损失。
3. 强调全方位体系建设
在Fortinet看来,一个科学、完善的防护体系非常重要。正如国内疫情的体系化建设一样,制造企业不仅需要加强安全风险的发现、管理与动态处置能力的建设,还需要加强深度防御,及安全事件的关联分析与安全预警机制的建设,形成安全事件的快速反应、快速处置。Fortinet将最前沿的零信任框架映射到OT网络下的Purdue模型中,从而形成一个全面的、体系化的安全架构。
从现在看未来,Fortinet的制胜之道
“工业安全的路,任重而道远。”李宏凯介绍早在10年前,Fortinet就已经开始关注工业安全领域,虽然当时的体系还没有那么完善,但Fortinet具有极强的执行力,可以说拥有全球第一的资源调动能力。经过这10年不断的探索与创新,Fortinet也形成了一套属于自身的“方法论”。
针对网络层面,张略介绍当OT用户面临新建一个生产线等场景时,Fortinet制定了零信任网络访问策略,对寻求网络访问的所有用户和设备进行识别和分类,评估它们的内部安全策略合规性状态,自动将其分配到控制区,然后持续监控其在连接和非连接网络时的活动。如果增加新用户行为例如OT设备,都需要满足对零信任的框架要求,才赋予它相应的访问权限,该策略不仅减少了以边界为中心的安全策略为OT环境带来的诸多风险,还提高了整个OT环境的可视性和控制力,同时简化了整体网络和安全管理。
此外,针对一些OT环境中的老旧系统,如98、XP操作系统等,Fortinet通过EDR(Endpoint Detection & Response )技术进行加固,填补了OT环境在高级威胁检测及响应方面的短板。岑义涛介绍EDR技术不仅是用特征软件进行防护,还基于人工智能和大数据绘制进程事件树实现攻击可视化,对疑似的威胁行为如恶意软件和勒索病毒进行远程遏制和修复。
面对制造企业的上云需求,Fortinet 提出了面向多云环境的安全 SD-WAN,可跨多个公有云和私有云虚拟网络无缝运行,通过云原生的模式将各种安全能力赋能到云上,通过跨多云环境统一部署安全策略和高级保护,以及通过高速加密和流量检查来保护应用流量,降低网络安全风险并提高合规性。
在高级威胁防御和自动化编排响应方面,张略介绍首先针对一些已知的高级威胁,Fortinet提供了FortiGate防火墙、FortiGuard威胁情报服务等组件,实现了从监控网络到流程控制网络的主动防护,以及对于常见的ICS/SCADA协议、基于工业协议的IPS特征的识别和监控,并可以通过集中安全管理报告实现自动化安全防护。当面对一些未知威胁时,Fortinet基于人工智能和机器学习技术,提供从监控网络到控制网络的主动防护,帮助用户对于未知的异常行为进行及时响应,实现一个AI驱动的安全运营。
值得一提的是,在OT环境中Fortinet还会故意设置一些“蜜罐”构建“迷宫网络”,以诱使攻击者进行攻击,进而检测到攻击者的活动详细信息,以在攻击真正造成损害之前进行遏制。
通过从云、网、端构建全面的安全防护“网状结构(Fabric)”,Fortinet为用户打造深度结合,动态协同能力。“这也是我们命名解决方案为Fortinet Security Fabric的原因之一。”岑义涛表示Fortinet希望为制造企业用户构建一个全面、完善的安全架构,对于已知威胁提供可视化和防御能力,基于工控协议的可执行威胁情报执行,以及沙箱与蜜罐技术的全面构建,另外开放的生态系统允许合作伙伴解决方案的集成,一起联动来发现和阻止异常行为,为工业企业更加放心地拥抱工业互联网提供可靠保障。
谈及未来,李宏凯表示Fortinet将持续加大在企业数字化转型方面的安全防护力度。在他看来,OT与IT融合是未来大势所趋,而安全可能是这条新赛道上暴露出的第一个绊脚石。“未来,Fortinet将帮助制造企业守护不断开放的工业控制网络,应对日益复杂多变的攻击,为企业带来IT/OT全方位融合的安全防御体系。”李宏凯总结道。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/166795.html