palo alto networks中国区大客户技术总监张晨总结了智能制造热潮下的工业安全发展趋势,剖析了如何利用平台化的方式打造it与ot融合的新型安全防御壁垒。
在智能制造热潮影响下,以云计算、大数据、人工智能为代表的新一轮数字浪潮正在孕育各种新兴的工业应用场景,不断丰富的新兴应用正在以工业互联网等模式展开。这种it与ot的深度融合带来的是工业体系的全面变革,由此而来的网络攻击路径和攻击平面也跳出了传统局限,促使企业在实施常规的it防御措施外,还需要以平台化的理念打造新环境下的安全壁垒。
在palo alto networks(派拓网络)日前举办的线上媒体沟通会上,palo alto networks中国区大客户技术总监张晨总结了智能制造热潮下的工业安全发展趋势,剖析了如何利用平台化的方式打造it与ot融合的新型安全防御壁垒,保障企业在数字化转型升级途中不留安全风险,顺利驶向价值新蓝海。
图 palo alto networks中国区大客户技术总监张晨
it与ot融合带来安全风险加剧
由于工业控制系统广泛采用通用软硬件和网络设施,面对逐步开放和互联的工业控制网络,以及与企业管理信息系统的深度集成,工业控制系统边界逐渐模糊,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。
张晨介绍一个典型的场景就是工业互联网的应用。制造企业信息化从工业1.0到4.0一路发展而来,大量物联网设备正在被企业投入生产一线,加上对于产线高度自动化和管理系统的高度自治要求,企业面对的未知威胁也随之产生。在企业进行现场大量数据采集、数据传输、数据分析的数据链条中,任何一个环节都可能成为黑客攻击的目标,从利用未公开漏洞的高难度攻击方式延伸到常规手段组合式攻击,甚至绕过工控底层知识的壁垒,进而导致整个数据链条被破坏。
一方面,这是因为工业物联网的应用特性使然。在工业4.0环境下,数以万计的物联网设备导致企业和工业网络之间的边界隔离不足,以及无法检测到关键系统非法访问活动,扩大了整个企业的“防守面积”。
另一方面,以云计算、大数据、人工智能为代表的新一轮科技革命正在孕育兴起,并以前所未有的速度和方式影响和改变着工业信息化进程。制造企业上云、人工智能为首的转型升级模式,造成了制造企业数据经历本地、多云等复杂环境,但原有软件难以及时升级、系统补丁兼容性差、发布周期长等问题却没有很好解决,使得企业不具备及时处理安全风险的能力。
日益凸显的五大安全风险
作为国家网络和信息安全的重要组成部分,工业安全是推动企业智能制造发展的基础保障。面对工业4.0环境下的安全风险,张晨总结为以下五个方面:
1.物联网安全:许多制造企业正在加速部署传感器、可穿戴设备和自动化系统,以通过数据收集和分析简化生产、物流和员工管理流程。而存在的现实问题是许多企业采购物联网设备时直接上线应用,甚至忘记修改出厂默认的口令和配置,这无疑是巨大的安全风险。张晨强调企业需要确保联网设备能够利用诸如内置诊断、持续漏洞扫描和高级分析等自动化功能,以保持对物联网威胁的掌控。
2. 数据安全:以往网络上的安全监控设备,其表面只是一些简单的信息,比如ip地址和端口。如今随着数据信息的增多,企业需要加强对于数据安全的管控,提升自身的数据分析能力,去将传输中的数据包彻底打开,检查是否有数据篡改、恶意代码或软件。
3. 云安全:越来越多的企业也开始利用容器(即操作系统虚拟化)来提高效率和一致性并降低成本。但是,暴露和配置错误的容器的潜在危险将很快出现,使企业容易受到针对性的侦察。尽管许多云服务供应商提供了基础架构的安全防护工具,但云上业务中的数据和应用安全仍然需要企业自身去维护。特别是在多云环境中,企业需要一个统一的平台来提高效率和一致性并降低成本。
4. 零信任隔离:随着it与ot的深度融合,设备很多时候是一种逻辑上的隔离而非实际物理隔离,为了更好地确保数字业务的安全性,采用零信任的方式将用户身份验证与业务策略相结合提供对应用和资源的直接访问权限,有效地实施零信任网络安全。
5. 安全运维管理自动化:随着工业4.0环境下各类新应用的上线,数据传输量将大幅度提升,对于soc也提出了更高的要求。企业不能一味地查缺补漏,需要更加精准的自动化响应和编排方式,自动进行智能反馈和调节,才能更好地避免安全攻击的发生。
palo alto networks为企业数字化进程保驾护航
在日益复杂的攻击态势下,工业网络安全需要一种全新的方法。而palo alto networks利用云处理能力实现内联深度学习,为由机器学习赋能的下一代防火墙开辟了一条新道路。张晨表示企业应该以零信任、平台化、前瞻性的思维去构建数字浪潮下的新型安全防线。
在张晨看来,零信任既是对当前网络安全机制和理念的升级,也从一个更全面的视角进行网络安全的管理。随着网络边界的模糊,涉及从本地到多个公有云之间的接入,采用零信任的方式可以避免企业因难以发现的“漏洞”而受到攻击。
平台化则是强调企业安全工具的集成和一致性。由于数字化驱动的工业4.0环境下,整个it架构变得十分弹性,企业需要将安全工具动态整合,以保证网络通信的端到端可视性,以及全面的安全策略控制和管理功能。
前瞻性是多数安全方法往往过于依赖被利用的初始受害者,随着眼下攻击者的行动变得越来越敏捷和多变,包括从本地到云端的跨网络、端点和云安全。对于企业而言,需要采用现代化网络安全凯发k8官网下载的解决方案,来提升应对复杂威胁的自动化分析和防御能力。
对此,palo alto networks也进一步强化了saas安全、高级url过滤、dns安全、云身份引擎和新型机器学习防火墙等功能。例如palo alto networks的零信任架构包含业界首款集成的云访问安全代理(casb),用于对未批准的、可接受的和批准的saas应用的可视性、审计及控制。通过按用户/组进行的细粒度风险控制来监管影子it,跨dlp和saas的数据保护统一控制台,可以识别出超过1,500种主流的saas类应用,并展开相关策略的制定。
在平台化能力建设上,palo alto networks根据客户需求,在安全平台中集成了iot安全、dns安全、沙箱、sdi等。并且网络安全平台后台是以情报为统一和核心的驱动,不管在全球任何一个地方,只要是部署了palo alto networks的客户,都可以在第一时间享受到最新的安全情报,从而这些安全情报会自动推到前端产品上,为客户提供更好的安全保护。
最后值得一提的是,张晨强调了企业需加强自身soc团队的转型升级。例如palo alto networks在全球拥有超过1万名员工,但实际安全运营团队规模却只有10人左右。她指出企业在使用安全工具建立防护体系的同时,还必须建立相匹配的安全组织架构,使企业免受攻击危害。