也许已经落了厚厚的一层灰,但丝毫不影响工业设备的正常生产。10年不停机,在工业制造领域,并不在少数。尤其对于流程型工业生产而言,产品制造的各道工序紧密相连,局部停机意味着全线停机和巨大的经济损失。
(相关资料图)
所以,无论是改造或者升级,工业制造企业都希望将设备的停机发生次数降到最低,他们最在意的是连续性生产。
随着工业互联网从概念普及走向落地深耕,一场围绕工业制造领域的数字化革新在所难免。工业制造企业深知,OT与IT的融合不仅带来的是降本增效,还有安全风险。在此过程中,如何为融入数字化的工业生产线补上安全“窟窿”?
一个弹性的OT安全成为必然。
OT领域有一个倒置的CIA模型
我们知道,在信息安全领域,机密性、完整性和可用性组成了著名的 “CIA”金字塔安全模型,IT网络安全对机密性有着较高的要求。不过把这个模型放到OT网络中,CIA模型发生倒置,与IT安全不同,OT安全最在意的是可用性。
也就是说,OT企业对于可能影响连续性生产的改造都持谨慎态度,安全建设的最终目的是保障业务连续性,但如果因此增加停机风险显然不是他们愿意看到的。正如Fortinet中国区技术总监张略在日前召开的2022 Fortinet工业互联网安全发展峰会上所说,“OT的安全体系需要更加有弹性,更有适应性,才能够真正在OT环境中进行落地。”
显然,在提升安全性的同时,把对业务的影响降到最低,并且让安全服务于业务连续性保障是OT安全的核心,这是弹性安全的重要表现。
保持对OT安全的敬畏之心
OT系统有着其特殊性,“要对OT安全保持一份敬畏之心,如果只是把IT安全解决方案简单地改改,加一些与OT业务系统相关的特征,拿来作为OT安全的解决方案,这是缺乏对OT系统的尊重和敬畏的。”Fortinet北亚区首席技术顾问谭杰如是说。
那么,怎样才能称得上对OT安全有一份敬畏之心呢,或者说如何打造一个适配且能够发挥价值的OT安全解决方案?
首先,一定要懂工业、懂工业互联网安全场景。OT网络中运行了大量的专有工控协议,如果对协议识别不足、不清楚运行的应用、不能分辨正常还是恶意流量,显然也就做不到对OT安全的有效监控、控制和防御。
其次,一定要具备创新能力。随着勒索攻击的兴起,在巨大的利益面前,针对OT系统的攻击逐渐呈现APT化,所以在高级的威胁面前,需要用前沿的IT思维和IT安全方法论保护OT系统,当然前提一定要对OT业务和场景进行兼容适配。
再者,一定要对OT安全产品进行特殊的设计和打磨,以满足工业环境的要求。众所周知,工业制造涉及能源、机械、电子电器等众多细分行业,不同的行业呈现出温度、粉尘、振动等不同的工业环境,这就需要OT安全设备在一些严苛的工业环境中保证稳定正常运行。
这一系列因素不仅是对OT安全保持的敬畏之心,也是OT系统下弹性安全的具体体现,最终满足工业制造企业对可用性的高要求。
适应OT系统特殊要求,以前沿IT安全架构赋能OT安全
带着一份对OT安全的敬畏之心和在IT安全领域的成功技术积淀,Fortinet对OT安全进行了深入布局,并已取得成功。根据Fortinet发布的2022年第二季度财报显示,Fortinet OT订单收入增长超75%,显现出自身OT安全解决方案的市场欢迎度。
既然OT的未来发展方向是与IT进行融合,在安全保护方面自然也需要用前沿的IT安全模型进行部署,显然这对于IT安全领域的领导者Fortinet来说是一个先天优势。谭杰将Fortinet具备的优势总结为四大方面:专用硬件、软件适配、专用威胁情报和丰富的实践案例与服务经验。
以专用硬件举例,针对IEC 61850和IP防护等级要求,Fortinet设计了一系列加固型的防火墙产品,并采用了专用安全处理器从根本上提高了硬件设备的运行速度、支持的网络规模、安全过滤的效率等,从而提升了设备的稳定性和对复杂工业环境的适应性。在软件能力及OT安全体系协同上,Fortinet DPI适用于70多种OT协议,500+ Security Fabric生态系统集成的威胁情报、安全运营、软硬件协同等打造了一流的集成解决方案。特别是Fortinet Security Fabric将自身和专业伙伴的产品、安全能力有机整合到一个平台中形成一个智能联动、弹性灵活的防御体系。
这套体系映射在OT环境的Purdue模型分层框架中,能够为工业制造企业提供充分理解且适应OT系统要求的全面安全保护。
除了在适应OT系统的特殊性之外,以普适性的前沿IT安全架构赋能OT安全同样能够发挥巨大价值。其中,以零信任架构最为典型。“通过沿用IT零信任架构,将所有OT的网络设备甚至包括操作的人员先经过身份认证、安全认证后才再以合适的权限接入到OT网络中对OT进行操作和更改,我们发现把它运用到OT安全环境里面是非常贴合的。”张略表示。
此外,微隔离、蜜罐等也是应用OT网络防护的利器。站在攻击者的视角,当他们侵入OT网络一定会横向移动寻找生产PC、攻击控制更多的PLC,如何应对?通过防火墙+交换机联动的系统开启微隔离模式,建立白名单基线,开启HMI到PLC的定向定点访问,PLC之间互访进行严格控制和安全过滤,可防止黑客进行横向迁移。
进而还可以在OT网部署HMI和PLC的蜜罐陷阱系统实现主动安全捕获,并主动发邮件通知安全运营团队实施隔离阻断。Fortinet资深安全工程师庄喆皓表示,通过部署OT蜜罐对攻击流量做嗅探,这是Fortinet的一大创新,OT蜜罐并不影响业务连续性,它对于在工业互联网中发现未知威胁来说,是一个关键的技术。
数字工业 弹性安全
所以看得出,无论是针对OT网络特殊性的定制化,还是以普适性的前沿IT安全架构赋能OT安全,Fortinet带给OT企业的防护体系是弹性灵活而全面的。工业制造企业可以根据业务需求、根据场景的区别,像搭乐高积木一样从这套体系中拼出针对不同业务环境的安全解决方案。
数字化浪潮与新工业革命形成历史交汇,工业互联网的发展已是势不可挡。Fortinet中国区总经理李宏凯希望,以Fortinet的网络融合安全理念,以Security Fabric整体协同的一体化安全矩阵,能够有效地解决IT和OT融合带来的威胁挑战,为工业制造企业的数字化转型提供“数字工业 弹性安全”。