Colonial Pipeline,美国最大成品油管道运营商,支撑着东海岸45%的燃油供应。然而1个月前的一次勒索软件攻击,致使燃油管道系统被迫关闭,并且让美国17个州及华盛顿特区一度进入紧急状态。
最终,Colonial Pipeline选择妥协,在向DarkSide勒索软件组织支付440万美元赎金后,管道系统逐步恢复。虽然,日前FBI称追回了支付赎金的大部分(比特币),但显然,此次勒索攻击无论是为企业还是给社会带来的损失和影响都是巨大的。
OT/IT融合中,愈加严峻的工业互联网安全风险
毫无疑问,这是一次典型的OT工控安全事件,自从世界上第一个专门针对工业控制系统编写的破坏性病毒Stuxnet蠕虫病毒面世以来,工控安全攻击事件此后频发,OT系统成为新兴攻击的目标。
特别是随着工业互联网的发展,OT与IT不断融合,传统互联网风险不断向工业互联网环境中的主机、网络、应用系统渗透并造成危害。
“OT/IT的融合带来了产业结构和体系建设的巨变,由此而来的勒索事件等网络安全黑天鹅情况在工业领域频发。”作为战斗在网络安全一线近二十年的老兵,Fortinet中国区总经理李宏凯对此感受明显。过去,工业控制系统和其他OT设备都是孤立部署的,现在,工业设备启用IP成为网络生态系统的一部分。
“工控安全风险不断升级,工业企业需要一个成体系的联动机制,能够将安全检测和威胁探测等能力实现全面融合,随时理解业务中潜在问题,防患于未然。”李宏凯指出。
在国内,特别是随着《工业互联网创新发展行动计划(2021-2023年)》的颁布,在OT与IT融合过程中,如何有效防御网络攻击减少损失,成为工业企业迫切需要解决的难题。
建立安全体系,打造可信任的OT数字空间
IDC预测,到2022年10%的安全事件将来源于智慧城市物联网设备,驱动两位数的安全软件和员工培训的预算增加。到2023年,由于物联网生态系统漏洞,部署的地方政府设备中将有35%受到恶意软件和勒索软件攻击,从而提高了AI / ML的 SOAR功能的普及率。
为什么会产生如此高强度的攻击,在Fortinet北亚区首席技术顾问谭杰看来,由于OT系统承载了最核心的业务,自然最容易成为黑客组织的攻击目标。此外,目前防守方还处在“补课”的阶段, 市场上大量的OT安全产品都是在传统的IT安全产品加上集成一些OT的功能和特性,以此来进行防御,显然,双方的力量处于不对等状态。
那么,究竟OT安全该如何建?谭杰给出的答案是,建设一个与业务紧密集成的、强壮的OT安全体系尤为重要。“就像我国抗击疫情取得很好成绩的原因,不只在于我们出色的药物和疫苗,更重要的是建立了整套体系化的抗疫防线。从14天的隔离到小区封闭的'微分段',再到健康码,持续的态势感知和大数据分析等发挥起了关键作用。”
从一个典型的OT安全攻击行为来看,其首先是攻击和渗透IT系统,其次在内网横向移动感染更多主机,接着外联黑客并准备破坏,最终实施窃取完成攻击行为。
在这一个攻击流程中,我们不难发现,和防御疫情一样,防御OT攻击同样需要建立一套体系,以最前沿的IT安全架构,打造可信任的OT数字空间。
Fortinet为工业互联网安全护航
同时具备保护OT与IT环境的能力,拥有完整的IT和OT安全防护方案,并建立起一整套安全防护体系,Fortinet在此方面表现出色。
在体系建设方面,Fortinet Security Fabric工控安全整体解决方案提供了基于SCADA(数据采集与监视控制系统)安全的主动防御能力,使企业安全与Purdue模型(工业自动化和控制系统指南)保持一致,能够在仪表总线网络、流程控制局域网、区域总控网络、生产区域、企业环境等不同层面,构建全方位、立体化、多层次、多维度的安全控制能力与阶段性、覆盖生产周期的安全保护。
那么,如何构筑OT安全基础架构?Fortinet中国区技术总监张略介绍了五大步骤:识别、保护、检测、响应与修复。对应这五大步骤,Fortinet建立了可视化、集中管理、安全域划分、网络准入、抵御已知与未知威胁、分析定位、OT态势感知与相应、信任评估等全方位的保护方案。
举例来说,在可视化方面,Fortinet提供了FortiGate防火墙、FortiSwitch安全交换机、FortiAP无线接入点、FortiNAC网络访问控制、FortiGuard威胁情报服务和专有OT协议,以及漏洞防护等组件,实现从监控网络到流程控制网络的可视化;在安全域划分上,Fortinet的内网分段防火墙和交换机支持企业对其网络和设备进行微分段,IT系统能够根据特定设备类型和网络访问需求,采用分层、分域的安全策略;在网络准入方面,建立以行为分析为中心的零信任安全体系,提升企业整体安全运营能力;在抵御已知与未知威胁方面,Fortinet提供了FortiGuard威胁情报服务,以及针对OT网络的蜜罐FortiDeceptor、FortiSandbox沙箱、FortiGate下一代防火墙和FortiClient终端安全软件等组件,从而抵御威胁。
从中可以发现,无论是采用网络微分段隔离,亦或零信任、OT蜜罐等技术,Fortinet的一个个硬实力被充分展现出来。以网络微分段隔离技术举例,其有助于让物联网环境受控,和传统隔离技术不同,采用微分段技术,策略被应用于每个工作负载,能更好地防止攻击,与VLAN等技术相比,这些工具能够对数据流进行更细粒度的分段。从而可以在物联网设备和其他敏感资源之间增加一层安全防护,减少OT系统的漏洞暴露和办公网络恶意代码进入生产环境。
当然,说到Fortinet的硬实力,必然不得不提其明星产品——FortiGate防火墙。在OT安全防护上,Fortinet工业防火墙FortiGate依然担当主角,它支持50多个主流协议和应用,能够识别超过1800个工业应用程序,能够保护超过400个工业系统的漏洞,是业界最全面的特征库之一。
这些硬实力得到了工业企业的充分认可。
Fortinet获工业企业认可的背后
在某工控安全项目中,原本初始阶段未能入选的Fortinet,在客户的尝试测试中,凭借出色的检出率和纯网络层、IPS、防病毒性能,态度逆转,并最终赢得认可。
当然,这样的案例有很多,在服务于某大型制造业案例中,用户采用基于零信任的细颗粒安全域划分与设计,希望从边界开始并扩展到内部网络分段,更好地控制数据流,保护网络免受高级威胁。在Fortinet提供的方案中,其帮助客户规划了不同的安全防控等级,并将物联网设备和通信分为策略驱动的群组,授予特定了的适合工业互联网的基准权限。同时采用高、中、低等级的访问安全策略,部署与之对应的安全管理产品,所有的流量都通过防火墙、沙盒联动,从而使企业能够更好地控制设备之间不断增加的横向通信量。
此外,针对愈加频发的勒索攻击,Fortinet在汽车制造、芯片制造、家电制造等各个领域的工业互联网中,验证和部署了专门针对APT和勒索软件的防护体系,从而助力保护企业免于工业互联网的高级可持续性威胁。
在服务于众多工业互联网安全实践中,Fortinet似乎已经总结出一套经过验证的方法论:按照客户自身特点,做好隔离,设计零信任防护,进行未知威胁防控,进一步构建及时的安全响应体系,一个最大化保护工业互联网的安全能力就此形成。
