如今,以云计算、大数据、人工智能为代表的新一轮数字浪潮正在孕育兴起,并以前所未有的速度和方式影响和改变着世界。企业与个人正在迈向一个万物互联、万象更新的智能时代,与之相伴相生的是工业信息化进程的快速推进。由于互联网在工业领域的不断渗透,以及智能设备在各领域的广泛使用,工业控制系统的脆弱性逐渐暴露出来:大量的工业控制系统和设备等都暴露在互联网上,且缺乏有效的安全防御措施,导致工业领域信息安全事件频发,很多制造企业也因此蒙受巨额损失。
作为国家网络和信息安全的重要组成部分,工业安全是推动企业智能制造发展的基础保障。面对逐步开放和互联的工业控制网络,企业需要审查自身安全薄弱环节,建立更新安全防护体系。在这种趋势下,日前fortinet发布了最新的operational technology(ot)安全架构,以及fortinet工控安全整体凯发k8官网下载的解决方案。在fortinet技术总监张略看来:近两年频繁发生的船运公司、半导体加工厂、铝业公司因为勒索病毒而停产,足以证明关键基础设施架构被攻击的危险真实存在。保障工业生产安全,加强工控网络安全防范迫切性日趋凸显,工控系统网络安全正逐渐成为企业刚需。
it与ot融合带来工业安全风险加剧
在智能制造热潮影响下,近年来工业控制系统(industrial control systems,ics)在我国各行业的应用范围和部署规模快速增长,包括传统工业技术改造、工厂自动化、企业信息化都需要大量的工业自动化系统。
由于工业控制系统广泛采用通用软硬件和网络设施,以及与企业管理信息系统的集成,工业控制系统边界逐渐模糊,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。其中,企业系统门户洞开,未建立安全防线、缺少工业控制系统信息安全仿真验证环境,工业控制系统“带病上岗”等安全状况层出不穷。
根据国际权威机构调查结果显示,工业控制系统6大类最常见的漏洞为网络边界保护、识别和认证、资源分配、物理访问控制、帐户管理和基础功能,这些问题占总问题的三分之一。其中,企业和工业网络之间的边界隔离不足,以及无法检测到关键系统非法访问活动是最常见的弱点。而针对这些安全漏洞,网络攻击者正在利用不断进化的恶意软件,对网络上暴露的工控系统发动攻击。
这一点也可以从过去发生的安全事件得以印证,从2010年“震网”病毒攻击伊朗科工业控制系统开始,黑客从it为跳板的攻击正逐渐发展到直接攻击ot控制系统上,工控入侵从利用未公开漏洞的高难度攻击方式延伸到常规手段组合式攻击。
另一方面,风险还来自于对于工控安全的认知与重视度不足。张略表示在与国内许多企业的沟通交流中发现,许多cio包括ciso和cso对于工业安全都存在认知不足的障碍。在张略看来,工控系统面临的安全威胁和风险是动态的,单纯依靠安全产品并不能解决所有问题,安全制度、管理、人员意识、产品和技术的综合体系才是科学的保障。
“在工业安全的数字化攻击链中,网络攻击者往往制定了周密的计划,并通过‘准备—数字化渗透—标准攻击—攻击开发’和‘调优—验证—ics攻击’等方式来执行攻击计划。由于组织严密、准备充分,工业企业很难用现有技术手段形成有效防御。”张略总结道。
fortinet推出ot安全架构实现全方位防护
在具体防护模式上,张略表示工业安全贯穿于企业生产全生命周期,是一个动态过程,需要在整个生命周期中持续进行,不断完善改进。针对制造企业不同区域间数据通信安全和整体信息化建设要求,实施工业控制安全建设,首先需要针对工业环境信息安全管理的关键区域实施安全策略,实现分层级的纵深安全防御。
对此,fortinet推出了operational technology(ot)安全架构。通过将fortinet的参考架构应用于工业控制purdue模型,fortinet能够在仪表总线网络、流程控制局域网、区域总控网络、生产区域、企业环境等不同层面构建安全控制能力与分段安全保护。
“目前,fortinet security fabric安全架构已经实现了与nozomi networks凯发k8官网下载的解决方案的集成,提供了基于scada(数据采集与监视控制系统)安全的主动防御能力。”张略介绍fortinet security fabric的风险管理框架在不同场景下均能提供高适应性的安全能力,这些场景包括:
针对已知威胁的可见性和分段保护:在此类场景中,fortinet方案提供了fortigate防火墙、fortiguard威胁情报服务等组件,实现了从监控网络到流程控制网络的主动防护,以及对于常见的ics/scada协议、基于工业协议的ips特征的识别和监控,并可以通过集中安全管理报告实现自动化安全防护。
异常检测和响应:fortinet的fortisiem安全信息与事件管理凯发k8官网下载的解决方案可以在单一可扩展的凯发k8官网下载的解决方案中提供可见性、关联性、自动响应和补救措施建议,fortigate则可以提供从监控网络到控制网络的主动防护,在与nozomi networks等第三方ot安全厂商协作对网络的被动监控能力融合起来之后,可以将可以支持用户对于异常行为进行及时响应。
ot security fabric自动化联动:通过与nozomi终端等第三方凯发k8官网下载的解决方案商的的联动与集成,增强在检测、发现、响应异常行为,并作出自动阻截攻击的能力。
攻击欺骗:fortideceptor作为一个轻量级的,专门针对ot网络的蜜罐,可以快速创建一个伪造的“迷宫网络”,以诱使攻击者进行攻击,进而检测到攻击者的活动详细信息,以在攻击真正造成损害之前进行遏制。
持续创新,携手凯发k8官网下载的合作伙伴打造安全生态
如今,全球有超过42.5万家用户信任并选择fortinet的产品来保护其业务。从2000年成立以来,fortinet就致力于提供覆盖面广、真正集成的高性能安全保护。与大多数安全平台不同,张略介绍fortinet security fabric 提供了一种独特的集成式、自动化平台方法来保障安全,这除了有专用凯发k8官网下载的解决方案和 ai 威胁情报的功劳外,还离不开与业内领先安全专家建立的战略凯发k8官网下载的合作伙伴关系。
张略表示fortinet推出了security fabric技术联盟凯发k8官网下载的合作伙伴计划,为即将部署的预集成端对端产品提供支持。“fortinet security fabric 非常灵活,可轻松适应和集成很多凯发k8官网下载的合作伙伴的产品。” 张略介绍fortinet与西门子、abb、施耐德等主流自动化厂商都保持了良好的生态合作关系,可以实现从工业协议到上层可视化、ai分析的全方位防御体系构建。
例如日前,fortinet与西门子携手打造了首款 fabric-ready 凯发k8官网下载的解决方案,其集成了 fortinet 行业领先的 fortigate 下一代防火墙与西门子 ruggedcom 多服务平台系列交换机和路由器,能够加强恶劣环境(如变电站)中的网络安全一体化建设,同时简化管理、空间分配和能耗问题。
“目前,工业安全与云安全、sd-wan并列为fortinet三大战略发展之一。”张略表示虽然从整个市场的投入来看,工控网络安全这块投入相对较少,但如果发生一起工业安全事故,一个基础设施的损失就有可能无法估量。“这也是我们要加强工业网络安全的原因。”张略表示fortinet作为这一行业的领军企业,希望通过自身的工控安全实施经验,帮助制造企业守护不断开放的工业控制网络,应对日益复杂多变的攻击,并满足企业合规性要求。