【IT168 访谈】“红灯停,绿灯行,黄灯亮了等一等...”这是所有老司机耳熟能详的一句顺口溜,也是上路行驶的重要安全保障。那如果红绿灯系统遭受不法入侵发生故障呢?一场惨重的车祸或许会因此发生。
为了满足大家的好奇心,Fortinet技术总监张略就通过“红绿灯模拟系统”给大家做了一场Demo演示,在演示中张略能够通过几行简单的代码让红绿灯系统发生紊乱,实现红绿灯齐闪效果甚至无任何规律可寻。而这场Demo演示仅仅是万千工控系统遭受网络攻击的一个小缩影。
近年来,针对工控系统的网络安全攻击频有发生,乌克兰大断电、委内瑞拉大断电以及台积电遭受勒索病毒攻击等安全事件,都造成了巨大的经济损失和不良后果。
毫不夸张的讲,在工业互联网的发展浪潮中,工业控制与运营技术(Operational Technology)正面临着严峻的安全威胁。针对OT的网络攻击可能导致关键基础设施的中断,进而带来灾难性的社会、经济影响,并严重损害公众信心。如何保障OT安全俨然成为必须面对的社会问题,尤其对于身为制造业大国的中国来讲,这一问题更为严峻!
IT+OT,融合背后的安全风险
根据张略介绍,之前的OT生产是完全隔离的,运行的是专有的控制协议,并运行在专有的硬件上以及专有的嵌入式操作系统上并由铜缆或双绞线进行连接。但随着业务需求的转变,为了实现生产闭环(从客户的反馈到下单到柔性制造到快速反应),将OT和IT进行互联从而提升效率和精确度,而OT与IT进行融合,IT环境当中存在的安全漏洞、病毒、攻击都会影响到OT系统,甚至造成严重破坏,而这都是企业不想看到的结果。他提到,目前我国OT系统的现状主要包括以下几点:
●构网两极化:网络较为开放,OT/IT网络共用同一网络设备互联;或OT/IT网络物理隔离;
●缺少网络安全设备有效地针对OT/IT网进行安全区域划分和进行安全运行状态的统一监控;
●OT网接入设备以有线/无线方式接入,网络安全设备部署没涉及“最后一公里”的安全体系联动防御;
●缺乏主动阻止外部恶意攻击和发现与阻挡高级可持续性攻击的能力,易造成OT网络瞬间瘫痪;
●OT网设备接入缺乏必要身份或资产识别,定位安全威胁与取证过程低效;
●OT网服务器存在安全和管理风险点:因历史原因,OT网系统、版本等老旧、漏洞多等安全问题;
●终端电脑/工控机: 因历史原因,设备系统存在非标准化,造成管理杂乱、漏洞多等安全问题;
●终端电脑/工控机: 缺乏定期病毒查杀习惯与机制; 感染主机处理不及时,存在安全隐患;
●移动设备接入缺乏管理和制度,容易造成终端病毒感染与传播;
●安全教育意识不足;没形成网络安全规范,指引日常安全操作;
扩展生态 布局OT安全
面对当前OT系统的现状, Fortinet作为全球知名网络安全企业,将OT安全列为三大主要安全产品线(SD-WAN、云安全、OT安全)之一,并正式公布了最新的OT安全架构,以及Fortinet工控安全整体解决方案。
根据张略介绍,该解决方案能够不仅可以提供网络的可视化能力,同时防御已知及未知威胁的防御能力,及可管理的良好操控。他指出,通过将Fortinet的参考架构应用于工业控制Purdue模型,Fortinet目前能够在仪表总线网络、流程控制局域网、区域总控网络、生产区域、企业环境等不同层面构建安全控制能力与分段安全保护。
此外,Fortinet还在积极扩展OT安全合作伙伴以加速生态体系建设,扩大OT客户可用的解决方案范围。目前Fortinet已经与Nozomi、RAD、Indegy以及SecurityMatters四家全球领先的OT技术方案提供商达成长期合作。Fortinet表示,通过生态体系的扩展,能够将安全能力与细分的OT行业解决方案商形成协同与联动,各自将优势发挥到极致。
“例如,Fortinet Security Fabric安全架构与Nozomi Networks解决方案的集成,提供了基于SCADA(数据采集与监视控制系统)安全的主动防御能力。”张略如是说道。
而为了满足不同场景的安全需求,Fortinet Security Fabric的风险管理框架在不同场景下均能提供高适应性的安全能力,这些场景包括:
●针对已知威胁的可见性和分段保护:在此类场景中,Fortinet方案提供了FortiGate防火墙、FortiGuard威胁情报服务等组件,实现了从监控网络到流程控制网络的主动防护,以及对于常见的ICS/SCADA协议、基于工业协议的IPS特征的识别和监控,并可以通过集中安全管理报告实现自动化安全防护。
●异常检测和响应:FortiSIEM安全信息与事件管理解决方案可以在统一可扩展的解决方案中提供可见性、关联性、自动响应和补救措施建议,FortiGate防火墙则可以提供从监控网络到控制网络的主动防护,在与Nozomi Networks安全解决方案的协同,对网络的被动监控能力融合起来之后,帮助用户对于异常行为进行及时响应。
●OT Security Fabric自动化联动:通过与Nozomi终端等第三方OT安全解决方案商的的联动与集成,增强在检测、发现、响应异常行为,并作出自动阻截攻击的能力。
●攻击欺骗:FortiDeceptor作为一个轻量级的,专门针对OT网络的蜜罐,可以快速创建一个伪造的“迷宫网络”,以诱使攻击者进行攻击,进而检测到攻击者的活动详细信息,以在攻击真正造成损害之前进行遏制。
写在最后
张略表示,Fortinet有着丰富的工控安全实施经验,在帮助用户进行安全区域划分、网络隔离设计、防火墙访问控制策略设计、安全网络规划等方面独到的见解;为OT工业互联网安全保驾护航。
最后,为了帮助用户建立更为安全的OT环境,张略向用户提出了几点安全建议,他认为用户应该制定自身的备份和恢复计划并保持软件的更新和补丁修复,要使用多层次的深度防御,将网络分段到不同的安全领域中,并建立实施权限分配和特权管理。此外还应该强制实施BYOD安全策略,并对企业内部人员进行相关安全培训等。