数字化的得与失
在多数行业中采用人工智能、机器学习和分析技术,意味着将有更多的运营技术(OT)系统与外部世界互联。这项新技术将助力组织利用更少的资源生产更多的产品,并汇集整个企业的生产数据以进行ESG报告。随着对碳中和的日益关注,亚洲还将实现能源生 产和分配更加紧密衔接的目标,以便从碳排放的角度更好地匹配供需。所有这些趋势都将表明,将有更多的OT系统实现互联。
实时报告生产数据的运营优势、执行远程维护和操作程序的能力,以及加速云部署以减少IT基础设施建设和运维成本的同时,加快产品上市时间,这些优势功能固然出色,若部署不到位也将令组织不堪重负。例如,由于IT和OT的深度融合,传统的物理隔离环境已不复存在,威胁将通过互联的供应商、员工和系统横冲直入OT系统。企业部署的物联网(IoT)设备越多,需防御的攻击面也随之扩大。此外,更多的挑战还包括,如何保护不同地区不同供应商提供的私有云或公有云环境,以及如何有效监控和保护此类复杂的网络环境。据Fortinet近期发布的一份OT安全报告显示,过去一年中,近80%的组织遭受三次以上威胁入侵。影响层面包括被迫停机、财务信息、关键数据泄露、品牌降级甚至威胁人身安全。
保护 OT 基础设施的
五大关键挑战
OT 网络由于扁平化设计、专业技术、操作敏感性以及通常将可用性凌驾于安全性之上的特殊需求,而更加难以保护。假设制造车间因安全漏洞或安全瓶颈而被迫关闭,由此造成的生产损失可能无足轻重。但每分钟产生的运营成本势必会令企业不堪重负。
01
IT/OT 融合曝露了扁平化网络的风险
随着 IT 和 OT 环境融合的需求日益增加,致使 OT 系统与外部复杂的网络世界深度互联。OT 网络的传统扁平化设计允许横向和纵向数据的可见性。通常,连接至网络的工业控制系统之间可实现相互通信,并接入上游企业网络层。然而,这种设计在增强数据可见性且更易于访问的同时,也让威胁攻击者极易植入恶意软件并入侵IT系统,从而肆无忌惮地横向蔓延至 OT 网络,渗透并控制整个系统。
02
传统系统与现代系统的融合
不难理解,已为寿命为 20-30 年的遗留系统投入大量资金的企业,无法就此停用这些系统。鉴于 IT 创新步伐的加速,系统的升级更新始终是一个不断增长的挑战。与此同时,大多数工业控制系统设计之初未曾考虑安全性,因此尽早进行系统修复是重中之重。然而,随着OT网络覆盖范围的不断扩大,特别是互联技术的广泛应用,遗留系统早已无法跟上补丁和更新的步伐,致使企业极易遭受威胁攻击。
03
运营商/承包商需访问 OT 网络进行维护
第三方运营商或员工通常需远程访问 OT 网络,以进行工业设备的日常维护。第三方网络访问已成组织目前面临的最大安全隐患,因为这种访问需求使网络极易遭受非预期访问或数据泄露风险。
04
更多物联网设备
截至目前,全球已部署超110亿台联网 IoT 设备。预计到 2030 年,物联网设备数量将逼近 300 亿台。连接至 OT 网络的工业物联网设备增多,可帮助企业收集实时仪器数据,实现运营的实时优化。然而,潜在的攻击面也伴随着远程连接点数量的增加而显著扩大。
05
IT 和 OT 团队之间的不同优先级
因网络安全技能人才短缺而变得更加复杂
传统而言,OT系统远离互联网而孤立运行。但随着更多互联资产的出现,这一局面已彻底改变,也给试图保护运营技术的OT团队带来了全新的挑战。此外,OT 和 IT 网络也分属不同团队单独管理。虽然它们通常使用相同的工具,但这些工具的使用方式却不尽相同。这是因为,在 IT 领域,对机密性的需求是重中之重,其次是完整性和可用性。而在 OT 领域,这些优先事项的排序往往反其道而行之。安全性和可用性始终是最关键的因素,其次才是完整性,最容易被忽视的则是机密性。当IT和OT团队尝试融合系统和最佳实践时,这些相互竞争的优先事项则会引发严重的安全问题。
另一大安全挑战,主要源于网络安全专业技能人员短缺,致使企业无法有效解决 IT 和 OT 网络孤立运行所引发的各类风险。新兴风险包括系统和运营人员之间的隐式信任、未设置适当访问控制的前提下,使用不安全的密码和协议、由于接入点配置错误而导致不必要的攻击面暴露,以及使用未升级的老旧操作系统。拥有专业的安全技能并明确每个参与者的安全责任,是一切业务正常运行的基础。应对这一挑战需要多学科团队协同合作,审查角色和职责、全盘评估风险和安全异常事件,从而制定事件响应计划并付诸实践。
构建弹性网络安全架构的
六大侧重领域
网络安全不仅关乎技术因素,仅凭技术无法完全应对重重挑战。部署任何新的网络安全解决方案之前,必须全盘考虑人员、流程和技术三大要素。安全能力取决于网络最薄弱的环节。多数情况下,企业最薄弱的安全环节往往是员工自身。除了实施关键安全系统之外,企业亟需加强并提升OT团队的信息安全意识。面向最佳实践的最终用户培训同样至关重要,例如针对恶意软件、电子邮件和入侵行为检测的方法培训。
另外,可利用如威胁和网络对手行为模拟工具(如 MITRE ATT&CK for ICS 框架),帮助企业有效识别当前安全措施中的漏洞和风险,以便更有效地集中资源。在该框架下,映射工具在模拟攻击期间的行为,也有助于安全团队评估安全流程和防御措施的有效性。例如,威胁和网络对手行为模拟工具(如 MITRE ATT&CK for ICS 框架),可帮助企业组织有效识别当前安全措施中的漏洞和风险,以便更有效地集中资源。在该框架下,映射工具在模拟攻击期间的行为,也有助于安全团队评估安全流程和防御措施的有效性。
通过引用该框架,企业组织可部署安全策略和物理应用程序控制层等多层防御机制,全方位保护关键资产。一旦系统发生故障,另一机制应立即发挥效能加强防御,有效拦截威胁。这种冗余为当今网络系统提供了所需的弹性,以有效防御不断演进的威胁态势。
为有效保护运营技术环境,可依照普渡模型或风险管理模型,部署多个安全控制措施:
01
网络微隔离,支持基于用户、设备和应用程序定义访问区域和权限,大幅缩小攻击面,增加入侵者发现并利用漏洞的难度。这是避免入侵者、恶意软件和病毒横向移动的关键所在。网络隔离支持跨不同区域的南北流量控制,而微隔离则在同一信任区域内实现东西向流量控制。Fortinet 下一代防火墙(NGFW)解决方案可提供动态网络隔离和微隔离技术,采用基于端口的安全和应用层组合策略,有效检测和拦截针对 Modbus、EtherNet/IP、OPC UA 等易受攻击平台的异常网络流量。
02
针对远程办公用户及第三方工业控制系统(ICS)提供商,亟需采取严格的访问控制措施、密切监控和日志管理来构建安全的远程访问和端点保护体系。Fortinet Security Fabric 安全平台为企业提供了一套强大的访问控制解决方案,涵盖多因素身份验证、基于角色的网络访问、网络访问控制及零信任网络访问(ZTNA)策略,可有效拦截针对 ICS 网络系统发起的未经授权的访问活动,还可将 FortiSandbox 集成至该平台,保护文件传输,避免零日威胁攻击。
03
威胁行为的最终目标旨在破坏用户设备、服务器或 ICS/SCADA 控制等端点。蜜罐技术可助力企业快速创建一个伪造的“迷宫 网络”,诱使攻击者进行攻击,进而检测到攻击者的详细活动信息,以在攻击杀伤链的早期阶段,未真正造成损害之前成功拦截内外部攻击行为。作为一款专门针对 OT 网络的蜜罐解决方案,Fortinet 的 FortiDeceptor 通过高度互动的诱饵设备,支持企业快速创建一个精心布置的欺骗环境,这些诱饵设备配备了高度仿真的IT和OT资产欺骗令牌,还支持组织集中管理和自动化部署预构建 或自定义的诱饵虚拟机,如Windows 7,10、Server 2016,2019、Linux、IoT / OT系统以及可快速部署的新一代诱饵(数据、应用程序、服务)。
04
安全信息和事件管理(SIEM)技术,将 IT/OT 可见性、关联、自动响应和修复等优势功能全面整合至一个可扩展的解决方案,助力企业轻松简化网络管理和安全运营的复杂性,有效释放资源、优化漏洞检测,快速识别并拦截入侵行为。Fortinet FortiSIEM 和 FortiSOAR(安全编排、自动化和响应解决方案,面向 SOC 环境的先进技术),可对 OT 环境进行工作流建模、编排,并根据普渡模型快速启用修复,自动执行多种常见安全操作。此外,支持轻松整合 Mitre Attack ICS 框架,帮助安全团队评估安全覆盖范围,分析结果可用于 OT 环境安全事件的调查和报告。
05
当今网络威胁在数量、复杂性和速度方面均呈现迅猛激增的趋势,组织应善用人工智能和机器学习等先进技术,从容应对日益严峻的安全挑战。AI 可赋能企业团队增强技术能力,有助于纵向扩展安全运营覆盖范围。而自动分析威胁数据的机器算法可以机器速度快速解析攻击模式,实时检测已知和未知等各类威胁。
06
部署强大的通用型云安全解决方案,可无缝部署并提升不同云和本地基础设施的安全态势,助力组织实现合规性和高效运营。Fortinet 云安全解决方案有助于统一操作环境,确保跨云和应用程序启用一致的安全策略,为用户打造简化和自动化的威胁防御体系。
对于有效简化工作流并降低整体安全风险而言,安全解决方案之间的互操作性至关重要。然而,多数单点安全解决方案往往孤立运行,既造成了可见性分散,也同样限制了管控能力。强大的网络安全平台,其解决方案应采用单一系统运行设计,便于组织有效地编排和同步管理所有不同的安全元素,降低操作复杂性的同时,填补网络专业人才短缺造成的安全差距影响。作为一款全面覆盖、深度集成和动态协同的安全框架,Fortinet Security Fabric安全平台,不仅全面集成支持在同一操作系统上运行的业内领先安全解决方案组合,还支持与第三方 OT 安全解决方案无缝集成,以实现最大的互操作性。相比在 IT 和 OT 环境中孤立运行的单点安全解决方案,这种支持全面集成、自动化且内置业内标准完美结合的解决方案,可最大限度地简化 OT 安全管理的复杂性并降低运营成本(OpEx)。
助力某大型汽车制造商
实现数字化转型
近期,Fortinet 为某亚洲大型汽车制造商打造生产网络安全防护解决方案时,便集成各类先进解决方案,为其打造全新的架构模式。该集成解决方案可实现网络微隔离和流量的深度控制,帮助企业增强未知威胁检测、识别和控制能力的同时,提高安全事件响应速度,确保及时报告和自动解决安全漏洞。这种全新 OT 安全基础架构,还为整个分布式网络构建了一个分界点,可在不增加安全风险的前提下,跨办公地点、ICS、移动设备和服务器实现互操作性。
Fortinet 解决方案兼容广泛的工业通信协议,支持通过主动问询和被动流量功能,自动发现并监控 OT/IT 网络和资产,从而在更深的 OT 层进行异常检测,以实现更强大的安全态势,有效保护关键业务与数据资产。
结论
数字化转型为多数企业创造了巨大的经济价值,使其始终保持敏捷性,优化运营和资产,以满足不断升级的用户和客户需求。在这种新常态下,数字化转型也将继续成为董事会议程的关键讨论议题。为了充分适应数字化转型加速,企业得以在竞争加剧的环境下扩大运营规模,业务模式也随之不断调整。与此同时,安全解决方案同样必须具有与之相匹配的敏捷性和适应性。为有效保护这些关键数字化投资,企业必须考虑将 OT 集成安全策略作为其数字化转型之旅的重要一环。
与企业自身转型一样,网络安全转型之旅也并非一蹴而就。CISO 必须以确保 OT 系统持续正常运行以及可用性为安全目标,提高运营效率。Fortinet Security Fabric 为 CISO 提供了一种高效并确保持续运营的安全解决方案, 无论 OT 环境的安全态势如何升级, 均能在持续合规的前提下,得以全方位保护,满足企业不断变化的业务需求。
