fortinet希望通过自身的工控安全实施经验,帮助制造企业守护不断开放的工业控制网络,让“全面、智能、弹性”的security fabric与制造企业数字化转型之旅一路同行。
在新一代it技术和先进ot技术深度融合的今天,制造业已不再满足于原有自动化系统的封闭环境。从plc、dcs走向云端,到对工业控制系统的可互操作性、可移植性能力加强,以及设备“即插即用”、“软硬解耦”等功能的强调,“更开放”无疑成为工业数字化领域的新常态。
然而纵观it与ot融合带来的各项数字化红利,其背后隐藏的安全风险却不容忽视。根据fortinet发布的《2023上半年全球威胁态势研究报告》显示,2023年上半年勒索软件攻势不减,攻击数量与年初相比超过13倍。针对ics(工业控制系统)和ot领域的攻击持续上升,其中能源和公用事业领域组织位列攻击榜首。
面对制造企业的数字化转型升级,未来ot环境只会更加开放,绝对物理隔离的ot环境将不复存在,随之而来的网络安全威胁也会愈加猖獗。对此,fortinet在2016年就前瞻性的提出security fabric架构,以一种“全面、智能、弹性”的方式守护新常态下的ot安全。在9月初举办的fortinet 2023 ot summit大会上,fortinet中国区总经理李宏凯、北亚区首席技术顾问谭杰、中国区技术总监张略等专家进一步对弹性、工业化的安全矩阵ot security fabric进行了解读,助力制造企业构建起一个覆盖生产线、供应链和办公等全部场景的完整数字化安全底座。
fortinet中国区总经理 李宏凯
未雨绸缪,以全局性思维看待ot风险
如今,数字化转型已经成为全球制造业的共同选择。虽然国内制造企业早已明确将智能制造作为主攻方向,但全面实施智能制造不仅涉及工厂底层自动化改造,更意味着整体业务流程的变革、it与ot的深度融合。李宏凯表示如今国内许多制造企业对于数字化转型的认知已经发生改变,率先实践数字化转型的行业先行者与跟随者之间的差距已日益显现,越来越多的制造企业从“试点”走向“深化”,推动着企业自身业务重塑及转型。
虽然从目标导向看,各个制造企业都朝着数字化、智能化迈进,打造自身的核心竞争力。但现实是处在不同数字化转型阶段的企业,存在着不同开放程度的ot环境,再考虑到企业在研发、生产不同环节面临的实际问题,必然对于ot安全有着差异化的需求。
实际上,在七年前fortinet提出专门针对ot安全的security fabric架构时,就将全面、弹性作为其主要特征。李宏凯表示对于数字化水平不尽相同的ot组织而言,融合、互通、弹性的数字化安全底座能够满足任意数字化阶段、各种数字化形态的安全防护需求,是ot组织关键基础设施和数据保护的最佳选择。
他解释,一方面ot安全需要“识大体”,站在全局性思维的角度,帮助企业获得从网络、防火墙到关键ics设备的可见性和控制能力。这也是为什么fortinet将“全面”作为关键词之一,不断扩充自身的产品矩阵,包括前些年大力推动sd-wan和混合云构建,持续在gartner sd-wan魔力象限中评选为领导者。
另一方面,ot安全还需要“识小节”,面对不同行业、不同领域的用户,提供弹性、差异化的凯发k8官网下载的解决方案,其弹性优势支持组织在数字化的不同阶段选择适配的方案组合,帮助其解决数字化过程中遇到的复杂化、多样化风险。例如针对许多工厂plc等设备常年服役,存在漏洞的情况,fortinet配备ot特定ips签名的fortigate ngfw可为此类环境提供虚拟补丁,确保未及时修复漏洞的老旧系统可继续在ot网络中正常运行,并将漏洞利用风险降至最低。
多措并举,为企业数字化进程全方位保驾护航
在不断爆发的安全事件面前,不少制造企业已经意识到了ot安全的重要性,正在或者计划加大力度,完善提高工控安全技术和管理水平。然而由于工控系统的稳定性需求高、信息资产更新迭代慢,以及工业环境特有的复杂性和敏感性,很难一劳永逸地全面解决安全问题。在《fortinet 2023年全球运营技术与网络安全态势研究报告》对全球570名运营技术(ot)专业人员进行的一项专项调查报告显示,在严峻威胁形势压力和日渐升温的组织关注下ot网络安全成熟度水平正逐渐提高,但当前ot网络安全凯发k8官网下载的解决方案挑战可能源于单点凯发k8官网下载的解决方案和供应商的持续叠加,使威胁检测、拦截和协调响应变得愈加困难。
在张略看来,一个科学、完善的防护体系对于制造企业而言非常重要。他表示目前数字化世界面临着多样化的网络挑战,企业不仅需要加强安全风险的发现、管理与动态处置能力的建设,还需要加强深度防御,及安全事件的关联分析与安全预警机制的建设,形成安全事件的快速反应、快速处置体系。
fortinet中国区技术总监张略
在这个过程中,由于制造企业信息化建设是一个长期的过程,信息安全的技术也层出不穷,因此在网络安全建设上企业或多或少都面临设备数量繁多,供应商碎片化问题。而fortinet致力于通过“整合 融合”的方式,为企业打造一个完整、科学的立体防护网。他解释这里面不仅涉及到安全产品技术之间的整合,也包括与基础架构、网络之间进一步整合。不管是云还是人工智能等新兴应用刚面世的时候,其中存在着很多未知的隐患。现在看来,企业管理者是知道这些技术存在一定的风险,那么如何有意识地提升这方面的能力就变得很重要,fortinet的策略就是“弹性解耦” “安全组件”。
fortinet通过“整合 融合”的方式打造立体化的ot防护网
例如借鉴成功抵抗新冠病毒的分层分级防御体系,fortinet security fabric采取了分层级的纵深安全防御架构,通过体系和机制的联动,让ot安全中可能遇到的潜在威胁发生时,将风险控制到最小。
fortinet security fabric采取了分层级的纵深安全防御架构
通过将安全网关(swg)、零信任网络访问(ztna)、下一代双模式云访问安全代理(casb)、防火墙即服务(fwaas)和安全sd-wan集成,fortinet security fabric可以为用户提供端到端的防护能力。
最后,从数据资产保护的角度,fortinet security fabric可以覆盖防护物联网和云的广阔范围。首先,用户可以通过fortios对设备进行安全认证和分类、构建风险概况,使it管理能够洞察并管理其基础设施内部关键节点;其次,fortinet的内网分段防火墙支持企业对其网络和设备进行微分段,使it系统能够根据特定设备类型和网络访问需求,采用分层安全策略;最后,security fabric架构还可以对网络内部多个节点感染病毒的物联网设备进行隔离和修复,以遏制威胁传播并确保恶意流量无法波及重要的it系统或企业数据。
fortinet security fabric构建全面的安全网络防护体系
持续创新,深耕工业场景打造专属ot安全产品
工业安全防护作为防守方需要“补课”的地方很多,如果仅仅把传统的it安全防护产品加上一些ot的功能和特性,是远远不够的。谭杰介绍随着大数据、云计算、数字孪生等新兴技术的深化应用和交叉融合,制造企业在新技术应用下正呈现出前所未有的速度,如果在ot安全防护上慢慢补课,势必导致差距越来越大,因此企业工控安全防护必须有前瞻性,用目前最先进的理念和技术应对ot安全。
fortinet北亚区首席技术顾问谭杰
正因如此,在本次大会上fortinet发布了面向全新ot环境的专用软件硬件系列产品和服务,这也标志着fortinet的工业新安全已经进入ot安全深水区。全新ot专用产品包括fortigate 70f rugged系列下一代防火墙(ngfw),采用紧凑型设计,在单一处理器中全面融合网络和安全功能,是fortinet专为ot恶劣环境设计的坚固耐用型产品组合的最新成员。同时发布的还有一款专为严苛工业环境设计的坚固耐用型漏洞检测设备fortideceptor rugged 100g,广泛适用于恶劣工业环境。
fortinet发布面向全新ot环境的专用软硬件系列产品
谭杰介绍专为ot环境精心打造和优化的产品及服务,支持原生集成至fortinet security fabric,实现it/ot无缝融合与互联,有助于企业提升整个攻击面的可见性和实时威胁响应能力,赋能安全运营中心(soc)团队跨工厂、车间、远程办公地点和交通工具快速响应威胁。
值得一提的是,伴随着aigc带来的大模型训练热潮,人工智能在制造企业的部署和应用脚步也在加快,例如针对供应链的智能决策和质量检测的机器视觉应用场景不断落地。这种ai技术的快速发展也在颠覆安全攻守之道,传统安全思维和产品已无法有效应对新时代安全挑战。在谭杰看来,“魔高一尺,道高一丈”,现在很多攻击方用ai手段入侵,安全防御更需要ai去赋能。因此,fortinet持续开发应用于网络安全用例的人工智能(ai)技术,并将其纳入fortiguard labs实验室和各类产品组合中,这一创新举措可有效加速对已知和未知威胁的预防、检测和响应。
例如fortiguard ai驱动的安全服务可跨网络和云基础架构的终端和应用程序部署的安全控制组件加以利用。基于ai引擎和云分析(包括edr、ndr等)的专用检测和响应技术也可作为此类控制组件的集成扩展功能进行部署。此外,fortinet还提供xdr、siem、soar、drps等集中式响应工具,利用不同ai技术、自动化和编排功能加速威胁修复,从而显著抵御整个攻击面和网络攻击杀伤链上的网络犯罪活动。
安全合规,在开放的ot环境中布局未来
近年来,国家对于工控安全越发关注与重视。在国家层面,《工业控制系统信息安全防护指南》、《网络安全法》、《工业互联网行动发展计划》、《关键信息基础设施安全保护条例》、《工业信息安全标准化白皮书》陆续出台。例如《工业信息安全技术洞察》全面梳理了相关法规和标准,并以此为背景对工业系统网络的演变,以及信息安全的护航作用进行了阐述。
面对这些合规性要求,张略介绍企业首先需要进行网络内容的识别和检测,然后进行内容的保护和漏洞的管理,第三需要参考等保2.0等进行合规方面的部署,其落地架构应该契合purdue模型等,通过网安融合的建设最终帮助ot企业加速数字化转型,保护产业数字化转型,建设可信任的ot数字空间。
从2000年成立以来,fortinet就致力于提供覆盖面广、真正集成的高性能安全保护。目前,fortinet已经实现与300多家fabric-ready技术联盟凯发k8官网下载的合作伙伴的500多项先进技术全面集成,并由fortiguard labs为用户持续提供威胁情报支持,工业新安全成功应用案例更是遍布全球,为超过50万用户提供服务。作为这一行业的领军企业,李宏凯表示fortinet希望通过自身的工控安全实施经验,帮助制造企业守护不断开放的工业控制网络,让“全面、智能、弹性”的security fabric与制造企业数字化转型之旅一路同行。
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权凯发k8官网下载的合作伙伴,应在授权范围内使用。e-works内容凯发k8官网下载的合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。