“OT安全,是Fortinet的企业战略。”
虽然已经将引以为傲的 架构,应用于工业控制模型;虽然有穿上工装、带着安全帽的防火墙、ZTNA零信任、、沙盒、蜜罐、EDR等几员大将坐镇。
但还是认为,只有深入生产线,才能看见那些还在运行的 XP系统、才能认识工业大佬的那些私有工业协议和工业应用,也才能知道OT安全的下一步该怎么走。
【Fortinet中国区总经理 李宏凯】
OT的黑暗森林法则
“想,但有顾虑。”
好消息是,完全隔离的OT环境,基本已不存在。这意味着,制造企业正小心翼翼地打开OT网络的大门,准备迎接数字化转型。但坏消息是,OT与IT融合,并没有想象中快。OT安全仍是制造企业的“顾虑”,他们还是感觉将面临不可知的风险。
“顾虑”,也确实有道理。就像《三体》中描述的黑暗森林法则: “整个宇宙在暗处,我们在明处。我们在黑暗森林中就是一只拴在树顶上的小鸟,被聚光灯照亮,打击可能来自任何方向。 ”
OT系统何尝不是在树顶的小鸟。当OT网络敞开大门,准备迎接OT与IT融合,准备完成数字化转型时,它也就向宇宙广播了坐标。随之而来,黑客们打开了探照灯。
此前发布的《Fortinet 2023年OT与网络安全态势研究报告》,就映证了这一比喻。报告显示:75%的OT企业组织表示,在过去一年中至少遭到1次黑客入侵。而且近三分之一(32%)的受访者表示,IT和OT系统均遭受不同程度的负面影响。
不妨感同身受。
这相当于在你开车上班的路上,每四年就会发生三次交通事故。其中,两次可能是可以视而不见的小剐小蹭,但另一次会比较严重,可能把车交还4S店维修,可能导致生产线停顿、数据泄露,以及随之而来的信誉损失、股价波动、客户流失,甚至是处罚问责。
Fortinet的工业新安全
Fortinet,并不想让这样的事情持续发生。
作为一家常年出现在IT安全领导者象限的公司,作为一家将OT安全视为企业战略的公司,Fortinet拿出了整套战术体系,其北亚区首席技术顾问谭杰将其称为“全面、智能、弹性的工业新安全”理念。
【Fortinet北亚区首席技术顾问 谭杰】
其中,“全面”可以拆解为“融合+整合”,这是继承了Fortinet一贯的技术理念。Fortinet希望在OT领域首先实现“网安融合”——将安全能力融入IT网和OT网,融入从云端到广域网、局域网,再到工控网、生产网的每个环节,融入到有线、无线、4G、5G等各种网络通路。
这里有必要再次强调 OT安全解决方案的基石——OT网络微分段(SAA安全访问架构)。该架构的战术思想可以理解为“层层防御+坊里制”,即针对纵向的南北流量,设立边界安全,实现“层层防御”;针对横向的东西流量,则模仿唐长安“坊里制”的城市布局,设立微分段的内网隔离。
具体而言。
将 架构,应用于工业控制模型。可在纵向南北方向设立了数道“防线”——广域网和企业局域网之间,设立信息技术认证边界;企业局域网和操作控制区域之间,设立工业互联网边界;操作控制区域和操作区域之间,设立高安全认证边界。
与此同时。“内网隔离”则是模仿唐长安的“坊里制”城市布局,基于SAA安全访问架构,实现“控制区”的自由创建,将原本扁平的局域网划分成不同部门、不同业务线等类型的区隔子网,即A车间被攻破,B车间仍可固守待援。
不仅如此。
其中的技术细节处理,也很见的功底。其以解决方案,实现OT局域网的零信任接入,可对各类数字资产进行画像;以“+SASE+ZTNA”解决方案,实现OT广域网的零信任接入,其提供超越VPN的高强度用户身份认证。
如果感觉还不稳当。Fortinet还可在ZTNA零信任的基础上,升级部署FortiPAM特权访问管理,它的作用类似于“堡垒机”,这又将广域网零信任再向前推一步。
当然,“网安融合”也只是“融合”的一部分。与此同步,还在推进安全与业务融合。而且在技术上强调“融合”,战略上强调“整合”——即采用一致性、易用性、有效性的管理手段,把这样一个网安融合的体系管理起来。
原因很简单:在此之前,大型制造企业可能会采用30家以上安全供应商的产品和服务,但如今他们为了提升安全运营效率,减少供应商之间的“推诿扯皮”,更倾向于将安全供应商数量,减少至2~5家。这正如Gartner的调查显示,75%的企业组织正积极寻求安全供应商的全面整合,而2020年这一比例仅为29%。
Fortinet很欢迎这样的市场变化,甚至其正是此趋势的推动着。2016年,Fortinet Security Fabric安全架构正式推出,该平台由统一的FortiOS操作系统提供核心支撑,全面集成Fortinet安全和网络解决方案组合。
如今看来,这一研发动作颇具前瞻性。而且此又可突出Fortinet的又一理念——弹性。Fortinet既希望实现“融合、整合”,也特别强调“弹性解耦、深度集成”。其实,Fortinet Security Fabric方案的优点,就是具有很好的弹性。“处于不同阶段的制造企业可以选择方案中的不同产品组合,但最终,企业会得到覆盖生产链、供应链和办公,以及内部员工的完整数字底座的融合方案。”Fortinet中国区总经理李宏凯说。
也正是基于此方向。目前, 安全平台已原生集成旗下50多种企业级产品,以及与合作伙伴的500+安全和网络解决方案联动,真正形成了从网络风险到终端风险;从被动安全到主动安全;从设备风险到人员风险;从内部风险到外部风险的防御体系。
更重要的是,上述产品的“含AI量”很高,而且应用于OT场景,Fortinet还给它们配备了工装和安全帽。
针对终端安全解决方案,在工业场景中具有很强的适应性,其拿手的虚拟补丁,可支持老旧电脑系统。同时,它不依赖于特征库更新,而是基于行为分析和AI引擎,可对0day、勒索软件、恶意软件、内存攻击进行有效防御。
针对网络风险的解决方案,同样也有AI加持。通过深度神经网引擎,结合利用 Labs威胁情报,可根据异常网络活动识别0day病毒、勒索软件等网络安全事件。
而且特别适合OT网络。IT网络中用户行为杂乱分散,没有规律可循,但OT网络中的PLC系统、机台更像理工直男,正常业务流量相对纯粹和近似,异常行为很容易通过机器学习进行区分。当然,配合(沙盒)联动,更可完美地实现安全与效率的平衡。
还有就是“蜜罐”。全新升级的 5.2,在网络资产发现模块中增加9个OT协议,还扩展了OT设备诱饵,可全尺寸模拟菲尼克斯电气、西门子等公司PLC系统。只有黑客误打误撞进入“蜜罐”,就一定会露出尾巴。
可以看出,上述技术均广泛应用了AI技术。这正如北亚区首席技术顾问谭杰表示, “魔高一尺,道高一丈,攻击方在利用AI手段入侵,安全防御自然也需要AI去赋能产品,赋能威胁情报和安全服务,这也是全面、智能和弹性的工业新安全。 ”
专注才能专业
当然,的“工业新安全”,更还体现在其对OT安全的专向研究,以及不断推出全新OT专用产品。这其中就包括刚刚推出的 70F 系列下一代防火墙(NGFW)。其采用紧凑型设计,在单一处理器中全面融合网络和安全功能,是专为OT恶劣环境设计的坚固耐用型产品组合的最新成员。
同时,Fortinet发布的还有一款专为严苛工业环境设计的坚固耐用型漏洞检测设备FortiDeceptor Rugged 100G,广泛适用于恶劣工业环境。
此外,全新增强功能和服务也将助力SOC团队更快响应OT和IT环境安全威胁,其中全新统一安全分析管理平台,支持事件关联和模型安全事件映射;新增功能也可减少警报疲劳,并跨IT和OT环境实现安全编排自动化和响应;工业信息安全服务新增3000余种针对OT的应用协议识别和控制签名。
也就是说,Fortinet懂工业,更懂新安全。其思路就如李宏凯最后所说:
“ 数字化创新带来质量、效能等收益有目共睹,却也无法避免复杂、严峻的安全挑战,这是一把回报和风险并存的‘双刃剑’。而希望携手合作伙伴,助力制造企业在数字化转型过程中走得更稳、行的更远。 ”