数字化转型方略 第12期 2021/07/15

Fortinet谭杰:OT安全没时间慢慢“补课”了,打造体系化OT安全才有出路

文/李超
IT、OT融合一日千里,面对海量新型高强度、针对性的APT攻击,已经没有时间让OT安全慢慢“补课”了。而将前沿的ZTA体系与OT系统分层Purdue模型结合,打造体系化OT安全,才是目前OT安全建设的最好出路。

目前在工业互联网中,最热门的话题莫过于IT(Information Technology,即信息技术)与OT(Operation Technology ,即操作技术)的融合。两者无论从技术路线,还是技术标准都存在着很大的差异。但随着工业4.0目标的确立,制造业将逐渐向智能制造升级,并将实现中国制造2025等一系列目标,这些都促使了IT与OT的加速融合。

IT与OT融合带来的安全挑战

不可否认,IT与OT的融合给工业领域带来了新的安全挑战。对此,至顶网就相关问题采访了Fortinet北亚区首席技术顾问谭杰,据谭杰表示,“IT在向OT赋能,不断提高OT效率的同时,也不可避免地带来所有与IT相关的安全风险(如病毒、勒索软件、木马、数据泄漏等)。”

Fortinet北亚区首席技术顾问 谭杰

另外,谭杰表示,“随着两者融合的不断加速,越来越多的工业控制系统将通过IT网络暴露于互联网中,面临的安全风险是物理隔离时代无法想象的。即使在相对隔离的环境下,OT网络内部同样会遭到移动存储、第三方合作伙伴等带来的相关安全威胁。”

同时,IT中的很多新技术,如5G、IoT、AI、云计算、大数据等在为OT赋能的同时,也引入了新的安全风险,让网络边界变得更加模糊,导致安全防御部署难度加大。

IT与OT在安全层面的差异

在谈及IT与OT在安全需求方面的差异及特点时,谭杰表示,“两者的CIA安全模型基本倒置,在IT的安全需求中,私密性、完整性的优先级较高,而在OT安全需求中,可用性排在第一位,必须确保全天候不间断的生产、运营。因此对安全产品及方案的稳定性要求非常高。”

同时,谭杰指出,“在软件应用层面,OT环境中,ICS、SCADA等系统、应用、协议与通用IT系统有很大区别。在IT、OT融合的今天,安全保护需要同时兼顾所有应用和数据,不可偏废。而在物理环境中,OT系统可能在高温、高湿、高电磁辐射等户外的苛刻环境中运行,必须符合IEC 61850-3、IEC 60529等规范的要求。”

工业互联网面临前所未有的严峻安全形势

几年前,某著名芯片制造商遭到勒索软件攻击。根据公开信息,在该事件中,U盘中的勒索软件感染了机台,机台未经扫毒便接入网络,导致勒索软件在整个OT网络扩散,损失惨重。

而随着勒索软件攻击的泛滥,这种事件在工业领域中将会频频出现。谭杰认为,“勒索软件、暗网、加密货币的兴起,让黑客攻击更容易实现收益变现。几重因素叠加,必然导致更大量、更专业、更具针对性的APT攻击。”

另外,谭杰指出,市场上的一些OT安全方案,只是在传统的IT安全产品(如防火墙、IDS等)上添加了一些针对OT系统的功能和攻击特征。这种将IT安全产品逐一“移植”为OT安全产品的“补课”思维效率太低,已经无法跟上新型勒索软件及APT攻击的节奏。OT安全更需要前瞻性思维,用最前沿的安全框架和技术,整体设计、建设OT安全体系。

而对于这起典型的勒索软件攻击事件,谭杰表示,“虽然该事故最终被定性为人为失误,但如果采用零信任理念进行体系化防护,例如使用下一代防火墙结合安全交换机实现OT生产区的微隔离,便能及时自动地将染毒机台隔离于网络之外,损失能够降到最小。这完全体现出了体系化安全的价值和重要性。”

如何应对工业互联网安全威胁

在过去的10多年里,IT技术不断对OT赋能。在IT安全领域,单点产品方案已逐步被体系化平台方案所取代。其中,零信任体系(ZTA)整体安全框架,具备整体性、动态化、持续化、智能化等特点,为安全业界广泛接受,并非常适合于应用到OT安全体系的建设当中。

而这些IT安全技术如何才能够更好的为OT安全提供助力,实现更大的价值呢?对此,谭杰给出了详细的解释:

首先,需要按照零信任体系的思路,来构建无处不在的PEP(策略执行点),覆盖终端(EPP/EDR等)、网络管道(工业防火墙、交换机、AP、SD-WAN、SASE等)、云(混合云安全、SDN集成、容器安全等)、应用(WAF及API安全等)。这些PEP节点既可以随时执行防御操作,动态调整信任关系及权限策略,同时也是安全数据的生产者。

其次,在控制平面上,PDP(策略决策点)通过收集各类PEP产生的安全、流量、行为等数据,再通过大数据、AI、威胁情报等方法,发现0day等未知威胁,并对全网的风险态势进行多维度的评估计算,以此为依据,动态调整业务信任等级和权限策略,并自动化下发至相关PEP执行。整个安全体系将具有全面覆盖、深度集成、动态协同的特性。

最后,安全方案还需要覆盖IT、OT相关的应用、协议,例如OT系统相关的入侵、应用特征,针对OT系统的沙盒行为分析、ICS蜜罐等。另外,该方案还必须满足OT严苛环境的相关要求。

从“攻击面”转向“保护面”

那么,从安全角度如何才能做到体系化安全的程度,并做好工业环境中的威胁防护呢?谭杰认为,“这需要将目光从“攻击面”转向“保护面”,在建设OT基础设施时,就应基于零信任理念,将安全能力整合到业务环节中,使之与业务流程深度融合。”

谭杰指出,整个零信任的建设将是持续不断的过程。首先可以从OT网络的微分段(隔离)及可视化做起,在OT网络中使用具有安全能力的交换机和无线AP,与下一代OT防火墙进行整合,实现安全驱动的网络基础架构,同时实现端口级安全控制及可视化能力,为未来的OT安全体系迭代(高级威胁防御、基于数据的安全、OT态势感知、SecDevOps等)预留出升级扩展的能力。

另外,谭杰表示,“包括AI技术在内的一系列新技术都能为OT安全进行赋能。例如,安全产品可以利用深度神经网络AI技术,对海量恶意、正常文件样本进行学习、建模,从而快速对未知新文件进行判断分类,这样可以不依赖病毒特征库升级也能及时发现0day等病毒。”

总而言之,在谭杰看来,IT、OT融合一日千里,面对海量新型高强度、针对性的APT攻击,已经没有时间让OT安全慢慢“补课”了。而将前沿的ZTA体系与OT系统分层Purdue模型结合,打造体系化OT安全,才是目前OT安全建设最紧迫的任务。

本文章选自《数字化转型方略》杂志,阅读更多杂志内容,请扫描下方二维码

《数字化转型方略》杂志