随着企业数字化转型的加速与工业4.0物联网的兴起,以往封闭在厂房、车间的OT设备更多的与IT网络、互联网和云连接,在提高了生产效率的同时,也为互联网的威胁进入并攻击OT网域提供了通道。近十年间,工业 OT 安全呈现攻击越来越频繁、攻击手法平民化、造成损失越来越大的三大趋势,给企业OT安全带来了巨大的挑战。
在此背景下,Fortinet 亚太区工业安全高级顾问王海涛在“FortiOS 安全无所不达”系列讲座第七期——《构建纵深防御体系,保障工业网络安全》的讲座中,以普渡模型为参考架构,层次化的深入分析了工业 OT 网络面临的安全问题,并针对五大工业 OT 网络安全问题提出了对应的最佳实践,从技术的角度指导、规范企业OT网络安全建设,也为FortiOS 安全无所不达” 系列讲座画上了圆满的句号。
工业 OT 网络面临五大安全问题
为什么OT 网络让攻击者有机可乘?王海涛认为首先要从 OT 网络自身特性、弱点说起。而要真正认清 OT 网络,则要从专业的 OT 网络架构——普渡模型入手。普渡模型是相关国际标准、国内标准的基础,也是企业认识、理清工业 OT 网络最常用的参考架构。该模型根据业务功能和覆盖范围将整个 OT 网络进行了层次化划分,这种层次化的思维也把OT网络安全问题分解为了五大类:
首先就是现场设备层,缺乏 OT 设备及 OT 协议可视化,安全设备部署没涉及“最后一公里”,一旦一台机器中毒,容易导致全厂停产。
第二是陈旧的和非标准化的 OT 系统和应用有很大的漏洞风险,且很多系统和设备已经过了厂商的安全支持周期,比如Windows XP系统仍然在大量工业场景使用。
第三是本地和远程登陆人员和设备缺乏认证,无登录授权认证和日志记录,也就难以定位威胁和调查取证。
第四是缺乏 OT 安全运维管理中心,意味着 OT 网络的日常运营状态缺乏统一监管,也不存在 OT 应急响应方案。
第五是物联网( IoT )设备使用无线或 LTE 网络与 IT 网络、互联网和云连接,这些设备普遍缺乏带外管理或层次化的安全区域划分,互联网威胁很容易在这样的 OT 网络散播。
最佳 OT 安全实践打造纵深防御体系
普渡模型层次化思维不但便于人们分解 OT 网络安全问题,也为组织制定“各个击破”的威胁应对策略提供了基础。Fortinet提出了 OT 网络安全建设的5个最佳实践,也对应等保 2.0 工业控制系统安全要求,包括安全网络边界、安全网络运维、安全计算环境和安全网络通讯。
针对设备的可视化,最佳实践推荐进行 OT 网络区域和管道划分,进行网络分段和微分段;针对漏洞的利用,需要进行 OT 设备的 IPS 入侵防御;针对 OT 设备和人员的接入管理,要求基于角色的认证和授权;针对安全的运维,需要进行安全运营中心的建设;针对来自互联网的威胁,要求 IT 和 OT 进行单独组网以及控制,并对 OT 通讯数据加密。
王海涛进一步指出,最佳实践不仅要从 OT 网络自身出发,还要从攻击者视角入手找到防护薄弱点。在熟知网络攻击流程的基础上,构建一套行之有效的纵深防御体系。从攻击者最初的社会工程、钓鱼邮件到载荷投递、安装、植入,到最后进行外联活动和入侵破坏,整个过程时长不定、方式不同、目标各异,相应的组织对其监测和阻止的方法也必然是不同的。
比如在载荷投递阶段,能够通过沙盒文件扫描的方式进行文件的监测和过滤;在漏洞利用阶段,通过具有 IPS 入侵检测能力的下一代防火墙进行检测和阻止;在外联活动阶段,通过用户终端的 EDR 系统对终端的行为或者进程进行分析来阻止威胁。
企业将各司其职的这些安全产品部署在不同防护层,建立一套“洋葱模型”一样的纵深防御体系,把网络安全建设统一在一起,通过部署手段间的联动打破整个OT 网络攻击链,在威胁实施数据层的破坏之前、实质影响 OT 过程控制之前,进行有效的,及时的阻止。
Fortinet 四大板块构建 OT 安全方案
目前,Fortinet 的 OT 网络解决方案已经实现了对这套纵深防御体系的完整部署和全面覆盖,包含安全组网、准入控制、安全运维和安全服务四大板块产品和功能。
安全组网板块包含的产品主要有FortiGate 下一代防火墙、 FortiSwitch 安全交换机、FortiAP 安全接入点,以及支持云端部署的FortiGate-VM,还有基于 FortiGate 的 SD-WAN 解决方案。
准入控制板块主要产品和功能有 FortiNAC 网络准入控制,FortiAuthenticator多因素的验证,以及 Fortinet ZTNA解决方案,在实现零信任网络建立的同时,也支持企业目前广泛使用的 SSL VPN 等。
安全运维板块主要产品和功能有 FortiSIEM 安全事件管理、 FortiManager 中心化的设备管理以及 FortiAnalyzer 中心化的日志管理,终端检测和响应(EDR) 和 安全编排自动化响应(SOAR)产品。
安全服务板块主要包含订阅服务功能,针对 OT 网络,板块内有 500 多个针对 OT 的入侵检测数字签名,以及 2000 多个针对 OT 的应用协议识别和控制签名。
这四大板块中所有产品和功能,都是基于统一的操作系统 FortiOS ,所以这些产品和功能之间能够进行非常有效的联动以及原生的集成,这样也能够帮助企业构建效益最大化的纵深防御体系。
三大 OT 安全场景应用最佳实践
Fortinet纵深防御方案覆盖包含以下三大OT安全场景应用的最佳实践,分别是:基于意图的 OT 网络微分段、设备及人员的准入认证与高效和简洁的 OT 安全运维。
基于意图的 OT 网络微分段。该实践采用 FortiGate、FortiSwitch 和 FortiAP等产品和功能实现网络分段、微分段,目的是建立不同需求的逻辑安全区域和管道,结合FortiGuard 对2000多个工控协议、及60多种工控指令的深度识别能力,实现同一VLAN区域内、不同设备间流量的精准管控,避免威胁的横向移动。
设备及人员的准入认证。该实践采用 FortiNAC、FortiAuthenticator 和 FortiToken 等产品和功能实现移动设备、新进设备或者是维护设备等不同类型、不同区属的网络动态接入控制。结合网络微分段该实践能够实现设备自动归区、自动应用区域策略以及自动接入或屏蔽。同时对于人员认证,Fortinet方案通过多因素认证和多重认证结合,基于“最小特权原则”,实现对不同人员、不同用户组和不同场景的登录认证及应用权限的管控。
高效和简洁的 OT 安全运维。该实践主要基于 FortiSIEM 安全信息事件管理系统。该系统在对全局安全信息和事件广泛采集的基础上,通过数据的泛化和丰富化预处理,匹配预制的告警规则,进而实现对事件和告警的自动化分类和处置,协助减少业务的停机时间,提升企业的整体运维效率。
Fortinet OT 方案五大优势应对威胁
Fortinet OT安全解决方案屡次获得 Westlands Advisory、Frost & Sullivan 等权威第三方机构的广泛认可。这不仅仅归功于优质的体系化产品和功能,还有活跃且不断发展的合作伙伴生态系统,能够有效解决 OT 网络环境多供应商、多平台部署、多产品共存的集成挑战,通过开放生态和API技术等实现有效集成和高效运维。
总结来说,Fortinet OT安全解决方案具有“产品互联和安全功能集成”、“IDS检测与 IPS防护结合”、“专有工业加固安全设备认证”、“全球威胁情报网络支持” 以及“拥有全球广泛 OT 行业成功案例”等五大优势,这亦是Fortinet OT 安全解决方案收获行业和客户点赞的基础。未来,Fortinet 还将继续看好 OT 网络安全的发展,并持续加大在 OT 安全领域的投入,保障更多 OT 场景下客户的网络安全。