自从工业4.0的概念被整个工业领域接受,成为一种共识,工业云、工业物联网和工业互联网似乎就成了实践工业4.0的捷径。这一方面说明,经历了机械化、自动化、电气化的工业企业领域,传统技术的发展已经遇到瓶颈,而IT技术的蓬勃发展,给了其更多的期待;另一方面也说明,IT技术迫切需要能够在更广泛的应用场景中,找到更大的生存空间。
然而这类工业云产品在市场推进过程中却遭遇了尴尬:自从全球第一个工业互联网解决方案问世至今,包括GE的工业云平台Predix、西门子的Mindsphere都已经因为各种原因消失在市场上——因为对于企业用户而言,工业云一类的产品在技术上所表现出来的大幅跃迁,恰好也说明其中存在更多不确定性和风险,而工业企业用户需要的是一种有节奏、风险可控、小步快跑进入工业4.0的模式和方法。于是,让IT与OT通过各种途径实现融合,就成了一个可实践的方法。与此同时,那些曾经困扰IT行业的数据安全、网络安全和信息安全等问题,也成了一个不得不解决的门槛问题,毕竟,对于工业企业而言,业务连续性和安全性是考量技术升级真实价值的唯一指标。
Fortinet中国区总经理 李宏凯
“对中国工业企业,根据过去几年的数字化转型,每个企业客户都能从中看到自己的数字化转型过程中属于哪个阶段:数字化1.0、数字化2.0或者数字化3.0。而我们最终希望的,是实践工业化4.0,这是一个全新的信息化工业革命时代,我们希望在这样一个变革的时代中,与我们的客户一起确保中国工业化转型走在全世界的前沿。”日前,在Fortinet 2023 OT Summit峰会上,Fortinet中国区总经理李宏凯强调:解决“IT、OT融合过程中所遇到的多样化安全风险”,是确保工业企业借助IT技术和能力实践工业4.0的关键保障。
事实上,作为在安全领域中尤其强调关注IT与OT融合技术和产品提供商,Fortinet在过去一段时间的确为此做了积极的技术、产品和实践路径方面的准备。
“OT安全现在已经是Fortinet核心战略之一,我们在这方面投入了十多年的时间。”在Fortinet北亚区首席技术顾问谭杰看来,对于工业企业而言,解决OT与IT融合过程中现实存在的OT安全问题,消除企业在OT安全方面存在的顾虑,是Fortinet一直考虑的方向。
具体而言,首先,随着IT与OT的融合,原本物理隔绝的OT环境不复存在,IT带来的风险必然会对OT系统造成一定的影响。“很多OT安全事件都是从IT的安全事件一步一步向下行传染过来的,因此当IT系统受到破坏并且允许威胁进入ICS/OT控制网络,是工业企业最常面临到的安全风险。”谭杰说。第二,从传统意义上说,作为自动化系统的一部分,OT系统通常是一个投资周期长、金额更高,且使用的生命周期会持续20~30年的系统。“一方面现在很多高科技先进制造用户用到了最新的IT技术,甚至IT才刚刚开始用,OT就用到前面,我们常常在参观一些高端先进制造的工厂时会发现:这些工厂的科幻程度要比IT数据中心要高得多得多,各种数字孪生、AI都在里头用;另一方面,我们又看到有很多二三十年前部署的OT系统也还在用。所以,如何兼顾工业企业OT系统存在的这种极度先进和非常传统旧系统并存的现实问题,这也是企业OT安全必须要解决的一个难题。”最后,由于工业企业当中存在相当多的老旧系统,因此在安全性方面就存在明显不足,就会出现很多安全事件事实上并没有真正暴露出来。“15%的受访者承认在过去一年被攻击过,经历过安全事件,曾经导致运营或者关键业务系统瘫痪,但只要我们稍微想一想就知道:实际上这个数字一定是被低估的,因为这只是被攻击的企业用户中,真正被勒索软件威胁过的那部分企业,更多企业在受到勒索威胁之前,并不会发现自己已经被攻击。”谭杰说。
因此与Fortinet在信息安全领域强调的一样,谭杰强调:在OT安全层面的基本逻辑也应该集中在融合、整合和智能三个方面:“融合要解决的是广度的问题,需要把技术安全手段融合到OT网络、OT业务系统当中,不能存在安全短板;整合,解决的是管理上的问题,需要保证安全系统的有效性,从而在企业用户当中形成一个广泛、集成和自动化的平台,一方面能够连接用户与设备、网络、云、应用以及NOC/SOC,另一方面本身也要具有很强核心能力和外延能力,从而解决安全系统弹性和灵活性方面的需求;至于智能化,随着AI手段被越来越多地应用于网络攻击,作为防御功能的安全系统,自然也需要通过AI、机器学习等能力去赋能系统,去帮助我们做好前面的融合和整合的工作,这就是Fortinet帮助工业企业实践全面智能弹性安全体系的整体思路。”
那么对于工业企业而言,具体该如何部署适合自己的OT安全架构?有哪些具体的策略和方法可以遵循呢?
“远程办公、对生产线进行端到端的管理,优化数字体验……这些都对新的工业互联网提出了一些要求和挑战。针对于这些挑战,Fortinet制定了一系列的安全战略。” Fortinet中国区技术总监张略认为,对于工业企业而言,需要从威胁检测与保护、威胁与漏洞管理、合规性和加速数字化等四个方面加强企业OT安全性的建设:“首先需要进行网络内容的识别和检测,然后进行内容的保护和漏洞的管理。接下来会进行一些合规方面的探索,满足Purdue模型,针对62443,或者等保2.0等方面的新要求,做合规方面的技术落地实施。最后通过全面的安全建设,实现企业的网安融合,最终帮助制造型企业加速数字化转型。”
借助Purdue/ISA99模型和Fortinet的Security Fabric产品架构,张略勾勒出了一张关于工业企业OT安全攻防布局:在企业的整个OT+IT体系当中,从内向外被分成4个区域:操作区、制造控制区、企业网络区和外部区。“企业的信息技术认证边界,在外部区和企业网络区之间,这里基本是IT居于主导的区域;但是在企业网络区和制造控制区之间,则是企业用户的IT、OT融合边界,因此也是企业工业互联网的认证边界,这里也需要做相关的隔离动作;最后在制造控制区和操作区之间,则是企业高安全区认证边界。”
张略强调,针对企业的四个区域,Fortinet会在几个边界上进行认证隔离:“在企业的信息技术认证边界,我们会执行诸如针对于报表的管理,针对集中策略的管理,针对于安全响应中心的管理,这些管理都是由FortiManager、FortiAnalyzer包括SIEM、SOAR和一些高级威胁管理的手段来实现。”而对于OT与OT融合的边界“我们能够应用的技术就更多:比如有工业防火墙——既是能够识别、保护OT协议的防护墙,同时也是非常先进的下一代的防火墙,具备了防病毒、防攻击、虚拟补丁、防外联、防钓鱼等各种实用技术和能力,同时,我们会提供主动防御技术,如沙盒,Deceptor以及EDR系统等,通过这些系统能够主动地发现一些刺探横向移动、渗透这种行为,主动的发现一些所谓0day攻击和位置攻击,在IT和OT网络同时联动。”至于在企业高安全区的认证边界,Fortinet则“更多关注应用程序,通过网络流量可视化等方面的技术,为企业用户提供安排保障。”
如果企业用户的安全域的划分和网络安全融合已经相对比较完善了,工业防火墙、接入交换机、核心交换机、上门核心防火墙和外联防火墙等已经部署完成,企业应该按照怎样的步骤逐渐加强自身的安全的防护体系建设呢?
张略提到了IEC62443参考架构。“首先,要进行最基本的集中管理,集中策略派发和集中的日志、报表的处理。即利用FortiAnalyzer和FortiManager对整个网络进行集中管理。其次,要构建一个认证访问体系,把ZTNA(比如零信任访问)接入到整个OT访问里面来。而针对应用型的保护,由于现在很多应用系统都是基于网页系统,漏洞中基于WEB漏洞占绝大多数,因此可以采用FortiWeb和FortiEDR:前者针对WEB漏洞提供防护,后者则既可以支持现代操作系统,也能支持旧系统,从而实现对企业OT系统的全面覆盖。”张略说。
写在最后
事实上,从工业企业发展的轨迹不难看出,将IT技术发展的成功融入OT,最终为企业现实的业务提供充分的动力,已经成为一种业界的共识。其中的问题仅仅在于:在将IT能力引入到OT应用的过程中,如何尽量规避曾经在IT系统中已知的风险,确保这种能力的导入和嫁接本身,不仅有效,而且安全。从这个角度讲,安全绝对可以称得上是OT与IT融合,甚至是工业4.0实践过程中,最重要也是最关键的第一道门槛。
“Fortinet一直在业界所推广的概念是安全驱动网络价值,我们所谓的安全网络,是希望看到更多生产制造业客户在整个数字化转型过程中,不再把安全当成一种拐杖,去保护你的网络,而是将安全当成是网络的一个组成部分,一个可以保证数字世界安全有效的组成部分,从而真正推动网络价值的实现,从而让企业的数字化转型可以走得更稳,走得更远。”李宏凯说。