传统上,OT网络通过气隙(Air Gap)通常指物理隔离,与IT网络隔离,但这种物理上的分隔在现代化的生产环境中越来越少见。无论是在制造、能源、还是运输行业,OT系统与IT系统的连接不可避免,保障OT系统的安全也成为当务之急。OT系统的安全面临的主要挑战包括:
老旧设备与未修复的漏洞:许多OT设备使用的是较老版本的操作系统和应用,容易成为攻击者的目标。
扩展的攻击面:随着物联网(IoT)设备和工业网络、IT网络的互联互通,攻击者拥有了更多的潜在入口。
缺乏细粒度的控制与监控:OT环境中的许多系统难以实时监控与管理,攻击者能够在不被发现的情况下进行破坏。
应用控制的重要性
OT系统内的控制器和协议,例如PLC(可编程逻辑控制器)、RTU(远程终端单元)、HMI(人机界面)等,通常缺乏现代安全机制,如身份验证和授权。这些系统按照既定的指令执行操作,没有采取零信任的模式,攻击者可以利用这个弱点,对ICS系统发动恶意操作。
举例来说,在生产工厂中,某些PLC设备只能与特定的管理应用通信。如果未经授权的应用试图与PLC进行交互,应用控制可以立即阻止这些尝试,确保生产过程的连续性与安全性。这样不仅可以防止外部攻击者的入侵,还可以防止内部错误的操作带来的风险。
通过应用控制,企业可以设定严格的操作指令,防止不当或危险的操作被执行。FortiGate工控防火墙通过对流量的深度包检测,能够识别OT协议中的具体操作,从而根据应用设定的策略进行流量过滤,防止非授权指令执行。
入侵防御系统IPS的必要性
OT系统,尤其是工业控制系统,具有较长的生命周期,许多设备和软件可能不再收到制造商的安全补丁。这就导致了“未修补的漏洞”成为潜在的巨大威胁。IPS作为一种实时监控和防御技术,能够检测和阻止对网络的入侵行为。通过引入IPS,企业可以在不影响设备运行的情况下,对已知漏洞进行虚拟补丁,从而降低被攻击的风险。例如,某些攻击者可能会利用SCADA系统中的漏洞,控制传感器和执行器;IPS通过分析网络中的流量和行为模式,及时检测这些异常活动并采取阻止措施,防止攻击者获得进一步的控制权。
FortiGuard 工业安全服务为
OT 提供应用程序控制和IPS签名
应用程序控制是零信任安全模型的关键组成部分,该模型在 OT 环境中的采用越来越多。IPS 和应用程序控制通过控制哪些应用程序可以跨网络分段通信来支持网络分段策略,从而降低潜在威胁横向移动的风险。
在发生安全事件时,IPS 和应用程序控制可以提供有关网络活动和应用程序使用情况为事件响应团队提供帮助。
通过实施针对 OT 环境量身定制的 IPS 和应用程序控制,组织可以显著增强其安全态势并保护关键工业流程免受网络威胁,同时保持运营完整性和合规性。
多年的 OT 环境安全经验和最大的 OT 特定合作伙伴生态系统的成员资格使 Fortinet 对这些类型的威胁有了深刻的了解。FortiGuard全球威胁研究与响应实验室根据每天超千亿安全事件的分析开发了 OT 特定的威胁情报。FortiGate 的 FortiGuard 工业安全服务结合了专为 OT 开发的应用程序控制和 IPS 签名,提供了检测和防御网络级威胁的能力,同时实现了对工业应用程序的广泛可见性。
FortiGate IPS 引擎可以识别 55 多种不同的 OT 特定网络协议(例如 Modbus TCP、BACnet、OPC),这些协议中有超过 1,850 个独特的应用程序控制签名,用于特定的安全策略规则,可应用于网络中通信的各种 OT 系统。将这些功能与 FortiGuard 的 OT 特定威胁情报相结合,使 OT 运营商能够识别和监控其网络中流动的流量类型,并对限制其环境中数据流的协议功能和值的使用进行精细控制。(图 1 显示了当前支持的 ICS/OT 协议列表。)
(图1)
应用程序控制签名可减少
ICS 和 OT 的攻击面
应用程序控制签名对协议有效负载执行深度数据包检查 (DPI),并提供识别协议功能和值的能力。可以在 FortiGate 防火墙策略中配置签名,以允许和拒绝通过网络通信通道传输的某些协议参数。一些应用程序控制签名可以支持在 FortiGate 策略配置中匹配多个参数,从而可以定义细粒度的安全策略来管理和控制 ICS 网络内的网络通信。FortiGate的 FortiOS 网络操作系统 6.4 版及更高版本提供基于 GUI 的策略配置,用于为某些应用程序控制签名定义多个参数(例如,结合 AND/OR 逻辑运算定义特定协议功能的值或值范围)。
FortiGate FortiOS 中的自定义签名
和会话助手功能
FortiOS 还支持自定义应用程序控制签名。如果签名尚未成为 FortiGuard提供的 IPS 数据库的一部分,对 FortiGuard IPS 技术有足够了解的最终用户可以创建自定义应用程序控制签名并将其部署在 FortiGate防火墙上。
由于协议的设计或功能方式,某些复杂和传统的 ICS/OT 协议可能有特殊要求。在这种情况下,FortiOS 使用会话助手来处理具有特殊要求的任何网络通信会话。会话助手的功能类似于代理,通过从会话中获取信息并执行所需的支持功能。例如,传统的开放平台通信操作(如数据访问、历史数据访问以及警报和事件)在动态网络端口上运行,这些端口在定义网络防火墙的安全策略时可能会带来挑战,因为它们可能因会话而异。通过使用 Fortinet 的内置会话帮助程序功能,最终用户可以有效地管理操作的动态网络端口分配并保护它。
同样,如果无法及时修补易受攻击的 ICS 平台,FortiGuard全球威胁研究与响应实验室可以开发一个 IPS 签名,该签名可以通过虚拟修补部署在 FortiGate NGFW 上,以保护易受攻击的平台免受网络威胁。例如,为施耐德电气 Triconex 平台开发了一个 IPS 签名,防护Triton/Trisis 恶意软件的攻击。
通过应用控制与IPS服务增强OT网络
可视性及实施更细腻的管控策略
应用程序识别和网络通信过滤的能力使企业能够实施细粒度的防火墙策略,防范复杂威胁同时不会对运营或 OT 环境的生产力产生负面影响。
例如,作为 ICS 操作的一部分,数据历史学家可能需要对多个 PLC 进行读取访问,以便收集和存储操作数据。但是,用于发出这些数据获取请求的底层 ICS 协议可能会被威胁行为者用来向 PLC 发送恶意命令。数据历史学家和 PLC 之间必须存在网络连接才能启用数据的读取访问,简单地阻止两个系统之间的所有流量并不是可行的解决方案。但是,过滤两个系统之间的传输以区分合法读取和恶意命令需要了解底层 ICS 协议中包含的特定命令。
应用程序控制可以提供适当级别的过滤。可以配置 FortiGate以允许数据历史学家对 PLC 进行受限访问。如果恶意威胁行为者破坏了数据历史学家的访问权限并试图向 PLC 发送命令,则 FortiGate将识别并阻止此恶意请求,同时会自动生成警报并通过日志机制将其传输到安全运营中心 (SOC),该中心可以调查事件并在必要时采取措施加强安全防御。
随着 OT 威胁形势的扩大和发展,OT 运营商需要对到达其 ICS 的网络流量类型有细致的可视性。所有 FortiGate 防火墙都内置了应用程序控制和 IPS 签名功能,添加 FortiGuard工业安全服务可进一步将这些功能扩展到 OT 环境。
