随着数字化转型的持续推进,工业互联网的作用和地位日益加强。而 OT 安全作为工业互联网体系不可或缺的部分,虽然受到越来越多企业的关注,但仍然面临着多方面的挑战。11月16日,一年一度的 OT 安全盛会——2022 Fortinet工业互联网安全发展峰会(Fortinet 2022 OT Summit,以下简称:峰会)在苏州成功举办,本届峰会以“数字工业 弹性安全”为主题, 汇集了来自中国工业互联网行业的专家、IT商业领袖以及第三方研究机构,深度探讨在新的数字工业OT安全常态下的行业趋势洞察、前沿技术探索、弹性安全策略以及最佳实践分享。
工信部数据显示,中国的工业互联网已经全面融入到45个国民经济大类,助力制造业、能源、矿业、电力等各大支柱产业数字化转型升级,形成东中西部错位发展、均衡分布、协同互补的良好格局。工业互联网正在向研发、制造等核心环节延伸,促进传统企业提质降本增效。随着工业互联网的广泛普及、深化发展,诸多安全问题也接踵而至,攻击平面暴增、威胁破坏骤升、传统手段失效,企业在享受数字化带来的降本增效的同时,亟待解决安全风险带来的新挑战。
补齐安全短板,用好“数字工业”利刃
Fortinet 中国区总经理李宏凯在致辞中表示,工业企业走向开放的数字化世界,实现IT和OT的融合,使生产力更高效,竞争力更强大,这符合工业4.0的发展方向,也是企业发展的必然趋势。但是企业也应该看到全面的数字化也将带来巨大的安全挑战,并有所认知。Fortinet 的网络融合安全理念,能够有效地解决IT和OT融合带来的威胁挑战,为用户的数字化转型提供安全防护能力。
对此,IDC咨询有限公司研究总监王军民在《中国工业互联网安全发展趋势》报告解读中表示,IDC预测工业互联网未来有着很大发展空间,但也面临着多重安全风险,主要包括网络边界、异常行为、运维管理和计算环境安全四大风险。对此,IDC 建议用户能够遵从法律法规的要求,优先保证业务稳定运行,构建主动防御体系,实现全覆盖、可感知,通过自动化编排降低人为操作失误, 同时构建 IT/OT 融合的安全团队。
面对日益严峻的OT安全态势,Fortinet 中国区技术总监张略在《全面、智能、弹性的OT安全》中指出,OT/IT融合势不可挡,针对OT系统的攻击持续升级。企业应该以零信任思维为指导,结合普渡模型和Fortinet Security Fabric 安全架构,构建全面、智能、弹性的OT安全体系,建设可信任的OT数字空间,实现网络微分段、资产全面可视化、设备准入控制、高级威胁防御,并借助主动安全、OT安全态势感知平台,保护产业数字化转型。
作为工业领域的代表性服务商,SAP 装备制造业行业专家团队负责人陈超在《打造安全的工业互联网,构建全连接产业协同》中表示,工业互联网进入深水区,场景化的典型应用已经逐渐成熟。SAP在智能制造、智能运维、智能决策和广义协同等四大核心场景应用中发现,基于工业互联网的应用实现了横向、纵向和端到端的集成和连接,带来广泛性、互联性特点的同时,也带来了安全性挑战。这些应用需要Fortinet 这样的安全合作伙伴,以及亚马逊云科技等平台提供方共建“生态圈”,构建全连接产业协同体系。
作为数字工业领域的代表企业,施耐德电气对OT安全有着深刻的认知和丰富的经验。施耐德电气工业信息安全负责人王勇在《全生命周期工业信息安全保障工业企业数字化转型》的演讲中指出,数字化转型过程中OT 安全最根本的价值是保护整个系统的可靠、可持续、安全运行。施耐德电气从产品设计之初就着手提高安全能力,同时在系统设计上通过纵深防御的办法使用多种手段应对安全威胁。在实现上,施耐德电气通过结合 Fortinet 等安全合作伙伴提供的解决方案,给客户提供全生命周期的安全服务,从而达到提升用户系统安全风险防护能力的目的。
护航OT,生态协同构建“弹性安全”体系
现场,半导体、医疗设备制造等行业代表也从最终用户的角度分享了自身构建OT安全体系的经验。结合这些代表的分享,Fortinet 华东区技术负责人卜婵敏在分享中表示,工业企业之间在产线、系统、设备等方面有着很大的差异,协议众多、系统老旧,还有很多设备无法安装代理,这些都给工业网络安全建设带来了很多挑战。基于Fortinet Security Fabric安全架构构建OT弹性安全体系,秉承统一设计、分步实施的理念,能够灵活应对各种场景的安全挑战,保障工业互联网应用的可靠性与安全性。
对于工业互联网未来的安全建设,远景能源平台运维总监潘怡鸿在《对未来工业互联网安全的理解》中表示,随着万物互联、碳中和的发展,工业互联网的范畴将超过IT互联网世界,而工业互联网客户对安全的要求也将超过IT互联网。OT安全有时关系到生命安全、生产持续,需要秉承开放的理念和严谨的精神,并要持之以恒、不断探索、追求极致。在这方面Fortinet从很多细微处的产品功能创新为客户带来了很大的便利。
除了开放的理念,Fortinet认为OT安全的关键还在于生态伙伴的协作和联动,因为制造体系庞大深邃,任何一家服务商都不可能全部覆盖,必须通过开放协作实现紧密集成。Fortinet合作伙伴Nozomi 亚洲区业务拓展总监杨锐在《2022年上半年OT/loT安全报告》的分享中体现了这种思想。他认为工控安全建设首要的是增强工控环境的可见性,但这绝不仅仅是指资产发现和展示,而是涵盖了资产行为、网络行为、资产配置参数、生产运行参数等的可视化。在可视化、全球威胁情报和访问策略的加持下,Nozomi Guardian在灵活、全面、实时的安全基线监测的基础上,能够与 FortiGate 下一代防火墙进行联动,实现自动化的安全防护。
Fortinet产品和方案良好的开放性、兼容性也为系统集成商带来了极大的便利。岱凯信息技术(上海)有限公司咨询和解决方案部门总监林刚在《NTT工业互联网安全最佳实践》分享中表示,很多工业企业看到了工业互联网的安全挑战,但却不知道从何开始建设。NTT从三个角度帮助客户做OT安全的梳理,首先是“业务角度”确定OT安全侧重点,其次是“架构角度”确定最终目标,第三是“安全控制点和运维”角度确定在哪些控制点引入Fortinet等相关安全产品和方案。在此基础上明晰并执行OT安全路线图,形成联合安全解决方案。
不仅如此,Fortinet还与其他互补安全厂商实现联动。Tenable中国区总经理赵阳在《提高“安全可见性”,抵御网络威胁》的分享中展现了Tenable与Fortinet联动的场景。他认为良好的安全实践始于完整和持续的风险可视化措施,制造型企业需要对产线安全从5个方面加以重视,分别是:“全量IT/OT资产追踪”、“ 漏洞管理”、“ 流量威胁/异常检测”、“ 工业配置审计”、“ 风险可视平台”,在此基础上与 FortiGate NGFW强联动实现对威胁的解除。
“工控安全远比我们想想的要脆弱,似乎工控安全与各种角色和企业都有关系。” Fortinet 资深安全工程师庄喆皓在《从威胁与运营视角建立OT安全防御体系》中表示,“即便PLC这种工业场景的核心关键设备,做了密码访问授权的防护,仍然存在被攻击的风险。针对OT环境,黑客往往通过IT环境进行侵入,再通过OT环境中的薄弱PC、HMI、PLC等进行横向扩散。在了解了黑客攻击思路,就需要针对性的构建OT安全防御体系,首先是建立在普渡模型之上,实现IT/OT环境隔离,HMI、PC、PLC等OT环境系统和设备实现微隔离,并部署陷阱系统对隐蔽攻击进行提前感知和拦截,建立SOC系统,实现安全可控,可自愈的智能联动系统。”
峰会的成功举办,让我们看到工业数字化势不可挡,OT安全对于工业企业也是迫在眉睫。作为一个覆盖云平台、工业安全、网络安全、通信等多领域、生态化的峰会,各OT安全生态角色的思维碰撞也让我们看到,多角度、全面了解OT安全,秉承科学合理的基础架构,实现资产和态势的可视化,通过覆盖全部攻击平面以及全部攻击链环节的弹性安全体系的构建,才能确保OT安全,保障工业企业的业务可持续。