“哪些是OT设备?哪些是IT设备?”
但凡问一家数字化做得还不错的制造工厂负责人,这个问题都将变得让其难以回答。原因在于,在日新月异的工业4.0时代,IT与OT的边界变得越来越模糊,一些工业设备不仅在物理上连接OT与IT,它们在功能上也跨越了两者的界限。
拿PLC(可编程逻辑控制器)举例,传统的PLC是典型的OT设备,用于控制工厂中的机械设备、自动化生产线等。而智能化的PLC或直连云端,或以软PLC的形态运行在Windows等PC硬件中,或变身云化PLC直接部署在云端,而已无法简单归类为OT还是IT设备。
随着工业互联网、智能制造的推进,一些智能传感器、工业网关、边缘计算设备等,既参与生产过程中的控制和监测,又具备数据处理、通信和分析能力,体现了现代工业发展的融合趋势。
像IT安全一样思考
OT现代化代表了与IT的加速融合。那么,安全怎么办?这是摆在工业制造企业管理者面前的现实问题,因为物理隔离已经成为过去。
“60%的企业已将OT安全职责交由C级高管负责。”Fortinet发布的《2024年全球运营技术与网络安全态势研究报告》,凸显了OT安全在企业运营和治理中的重要性提升。
不难理解,回顾过去数年以来发生的重大OT安全事件,导致的企业生产中断、巨额勒索赎金支付等,都是难以承受之重,此外,因网络攻击导致的数据泄露、名誉受损等同样是巨大的风险损失。究其背后原因,这些攻击是如何发生的?Fortinet报告显示,钓鱼邮件、勒索攻击、DDoS攻击、恶意软件等是工业制造企业遭遇的主要威胁入侵,它们又因工控安全漏洞、Web/应用程序威胁、物联网/网络设备威胁、内部数据泄露等原因导致。
看得出,这些攻击手段与IT安全所遭遇的威胁并无本质差别,只因工业互联网的升级,将原本工业园区在厂房内的风险点暴露在了互联网上,所以借鉴IT安全在方法论、技术和架构上的实践是一种必然,这也是OT与IT融合的体现。
例如,进行有效的漏洞管理,采用虚拟补丁等技术,协助OT硬件和软件的漏洞修补;进行边界防护,阻断异常的网络流量;实施网络分段,缩小攻击面;引入零信任模型,确保每个访问请求都经过身份验证和授权;厘清内部资产,提升工业互联网的可视性;建立应急响应机制等。
以上均是保障OT安全的有效手段,但还不足,而需进一步增强。
其一,搭平台。
无论是IT安全还是OT安全,孤立分散的单点防护弊端越来越明显,例如安全信息不共享致使缺乏协作响应能力,单产品独立工作使得整个OT网络可见性存在盲点,以及带来较高的管理复杂性和维护成本等。
Fortinet提供了一种平台化思路和方案。
“跨所有网络边界、用户和设备实现安全与网络融合,全面整合安全运营平台、加速威胁检测与响应,确保安全访问并保护网络以及任意云上应用程序和数据。”在日前于广州举办的“2024年Fortinet OT工业安全高峰论坛”上,Fortinet中国区总经理李宏凯道出了Fortinet护航OT安全的方法论,即以安全组网、安全运营和统一SASE为基石,打造统一的OT安全平台方案。
Fortinet OT安全平台根植于Fortinet Security Fabric与旗舰级操作系统FortiOS,通过集成各种安全工具、系统和流程,能够助力工业制造企业实现自动化的威胁检测、分析和响应,“且能够精准契合企业在不同发展阶段及多样化场景下的安全需求,这也是Fortinet引以为豪的特色。”李宏凯表示。
具体来看,从FortiGate防火墙、FortiSwitch交换机到FortiAP无线接入点,再到OT Security Service、FortiEDR端点检测与响应、FortiAuthenticator身份认证、FortiToken双因素认证,以及FortiSOAR安全编排与自动化响应等,这些组件协同工作,实现了网络分段与微分段、虚拟补丁、端点保护、广域网优化、安全远程访问及合规性报告等全方位防护。
其二,要懂工业场景。
需要说明的是,OT安全不是简单地对IT安全架构产品的复制照搬。只因工控领域有大量的专有协议、OT系统追求稳定性和可用性、OT设备要避免高频度的变更、工业控制对实时性要求更高,以及一些独特的工业环境限制等。
因此,安全方案和产品的引入,要求供应商要懂工业场景。
在此方面,Fortinet无疑是工业领域的懂行人,深度契合OT网络架构、协议及应用需求,支持3200个以上不同的工业协议,支持1200多个OT虚拟补丁规则,以及支持超过1100个OT应用程序检测规则等,让Fortinet向一个“专业OT厂商”变身;在产品上,Fortinet打造了专为严苛OT环境设计的FortiGate Rugged系列、FortiSwitch Rugged系列、FortiAP室外系列,以及车联网方案FortiExtender Vehicle等,强化网络可靠性和满足工业场景需求。
并且,为了满足一些工业生产不间断需求,同时保障安全,Fortinet在产品服务上做出了一系列创新。例如,提供工业级的蜜罐,不影响生产任务正常运行;FortiGuard OT安全服务新增虚拟补丁签名功能,实现更广泛的漏洞防护,有效隔离和保护未修复OT资产等。
此外,Fortinet在OT安全运营的AI能力上还进行了显著增强。
用AI对抗AI
为什么要强化AI能力?因为,对手已经用起来了!
Fortinet研究发现,通过足够的训练,以生成对抗网络生成的恶意软件可以规避几乎所有的防病毒和IPS引擎的检测;利用生成对抗网络+迁移学习,训练后的模型可以攻破全球排名前50的网站的文本验证码系统;利用智能网络逃逸技术,能够生成“最低程度被检测出”的软件。
Fortinet中国区南区技术负责人玉文锋感叹说,“AI赋能的智能网络攻击对传统的防御系统或者检测系统来说是一个降维打击。”
“应对智能化的攻击,我们的方案是用AI对抗AI,用魔法打败魔法。”玉文锋表示,Fortinet凭借超过10年的AI/ML经验,构建了包括第6代机器学习技术和59项AI专利在内的强大技术体系,并开发了近百个AI相关的应用,以及42个AI驱动的解决方案。Fortinet的产品几乎涵盖了主要的机器学习算法,对AI的运用是全景式的。
对Fortinet OT安全平台来说,通过深度融合AI技术,在威胁情报、恶意软件检测、网络检测和SecOps能力上得到了赋能和提升。
在威胁情报上,FortiGuard Labs每天通过AI/机器学习处理数万亿安全事件,从而在云上训练出FortiGuard神经网络大模型,通过对大模型裁减微调,推送到不同的客户端设备上,有效抵御了基于AI的高级威胁。
在恶意软件检测上,Fortinet的一系列产品进行了革新。AI增强的防病毒引擎取代FortiGate老旧的启发式引擎,使得FortiGate防火墙也具备0day防御能力;FortiEDR完全抛弃了特征库的模式,采用了云端AI模型,并结合本地机器学习的方式进行恶意软件的检测;FortiNDR经过云端大模型预训练和本地训练后,对勒索软件、挖矿软件、信息盗取软件有着快速准确的识别能力;FortiSandbox基于行为的ML检测,大大提升了威胁识别的准确率和效率。
在网络检测上,AI为DDoS攻击防御带来惊人的变化,FortiDDoS通过监控高达23万多个参数,学习流量模型、区分合法和攻击,实现全自动学习、监控和攻击清除;FortiNDR除了以上对文件的精准检测外,通过机器学习应用于流量分析,在触发的46万个网络异常报告中,误报率小于1%,获得极佳的准确率表现;FortiWeb使用2层机器学习模型,本地模型进行异常检测解决效率问题,云端预训练进行威胁检测大大提升了精确率。
在AI驱动的SecOps方面,FortiAI赋能FortiManager、FortiAnalyzer、FortiSIEM、FortiSOAR等,为OT安全运营带来革命性变革。以集成FortiAI的FortiAnalyzer举例,它能高效解读安全事件,提供有关补救措施的洞察和建议,包括威胁响应建议和威胁狩猎指标。还可针对恶意软件特征分析、攻击者配置文件和策略提供价值信息,并具备使用自然语言进行复杂数据库查询和报告创建的能力,简化了安全运营管理,提升了效率。
玉文锋指出,从2012年开始,Fortinet便在使用机器学习技术,基于长时间的技术积累,领先的机器学习算法,以及FortiGate、FortiGuard等积累的品类最齐全、最丰富的攻击大数据,在AI的安全方案场景应用上,FortiAI是名列前茅的。
与伙伴深度合作与集成
当然,无论是用AI对抗新挑战,还是完善OT平台化安全,以及做到更好地懂工业场景和业务,离不开广泛的生态系统合作,支持协同互操作,联合方案创新。
通过与500多家IT/OT伙伴的深度合作与集成,Fortinet OT安全平台简化了安全复杂性,不断促进产业链上下游企业的协同创新。
此次论坛上,Fortinet携手施耐德电气就共同发布了基于关键装置、关键设备微隔离防护的 “Fortinet X Schneider Electric工业零信任联合解决方案”,方案融合了Fortinet在网络安全领域的领先理念和技术,以及施耐德电气在工业自动化领域及各行业应用的经验和知识,构建了深入工业控制系统内部的零信任网络架构;以及在项目落地实践中,Fortinet与罗克韦尔自动化联合合作,在某客户的攻防演练行动中打造了一个全方位、立体化的Security Fabric全面防护体系,构建起了一道抵御恶意邮件、APT攻击、钓鱼攻击等多种安全威胁的坚固防线,取得了零扣分的优异成绩。
以平台方法构建OT安全新架构,与伙伴一起实现更紧密的集成,“以AI对抗AI”创新技术,Fortinet与生态伙伴一道,正拉起一条坚不可摧的OT安全新防线。