工業(yè)互聯(lián)網(wǎng)走向開放，網(wǎng)絡(luò)安全敲響警鐘

如同疫情防控有一天一定會放開一樣，在制造業(yè)數(shù)字化轉(zhuǎn)型的過程中，工業(yè)互聯(lián)網(wǎng)技術(shù)（OT）也一定會走向開放，因為開放是一種數(shù)字化的狀態(tài)。然而，近幾年隨著OT產(chǎn)業(yè)開放的推進，網(wǎng)絡(luò)安全態(tài)勢變得越發(fā)嚴峻，網(wǎng)絡(luò)安全已經(jīng)成為當今每個企業(yè)最優(yōu)先考慮的事情。

圖 | 數(shù)字化轉(zhuǎn)型的挑戰(zhàn)

OT安全邊界正在坍塌

在過去十年中，OT和IT系統(tǒng)之間的數(shù)據(jù)流不斷增加，但從工業(yè)互聯(lián)網(wǎng)中的專有通信和硬件升級到整個企業(yè)的開放式連接后，讓網(wǎng)絡(luò)安全威脅更加難以檢測、調(diào)查和修復(fù)。

之前，工業(yè)控制系統(tǒng)（CIS）和其他OT設(shè)備都是孤立部署的，缺乏安全保障措施。IT人員沒有必要擔心安全問題，因為工業(yè)技術(shù)已經(jīng)從傳統(tǒng)的IT網(wǎng)絡(luò)中隔離出來?，F(xiàn)在，隨著OT與IT網(wǎng)絡(luò)的融合，工業(yè)設(shè)備擁抱TCP/IP協(xié)議已經(jīng)成為網(wǎng)絡(luò)生態(tài)系統(tǒng)的一部分，傳感器和其他控制器成為了IT/OT融合網(wǎng)絡(luò)上的工業(yè)物聯(lián)網(wǎng)節(jié)點，這些以前受保護的隔離設(shè)備的安全邊界正在坍塌。

解決OT安全挑戰(zhàn)刻不容緩

根據(jù)IDC 在《全球物聯(lián)網(wǎng)支出指南》中的預(yù)測數(shù)據(jù)顯示，2021年全球物聯(lián)網(wǎng)（企業(yè)級）支出規(guī)模達6902.6億美元，并有望在2026年達到1.1萬億美元，五年（2022年-2026年）復(fù)合增長率（CAGR）達10.7%。其中，中國企業(yè)級物聯(lián)網(wǎng)市場規(guī)模將在2026年達到2940億美元，復(fù)合增長率（CAGR）達13.2%，全球占比約為25.7%，繼續(xù)保持全球最大物聯(lián)網(wǎng)市場體量。

然而，F(xiàn)ortinet中國華東區(qū)技術(shù)負責人卜嬋敏透露，在我們熟悉的半導(dǎo)體領(lǐng)域，強如臺積電，也曾遭受過勒索病毒的威脅，最后分析給出的事故報告中指出是因為外部供應(yīng)商有問題的U盤導(dǎo)致了操作系統(tǒng)的感染。這類風險非常常規(guī)，因此國際大公司，例如蘋果公司，每年都會審查下游制造商的安全防御情況。

圖 | OT安全威脅中哪些觸目驚心的數(shù)字

實際情況確實如此，根據(jù)Fortinet全球威脅情報響應(yīng)與研究團隊（FortiGuard Labs）統(tǒng)計，僅2022 年上半年，F(xiàn)ortiGuard Labs累積捕獲 10,666 種全新勒索軟件變體，而去年下半年僅為 5,400 種。僅半年時間，新型勒索軟件變體數(shù)量增長近 100%。雖然有很多廣受關(guān)注的事件成為國際新聞頭條，但真正受到影響的是數(shù)以萬計的組織，從大企業(yè)到小企業(yè)，從聯(lián)邦機構(gòu)到地方政府，無一幸免。

據(jù)悉，2020年第一季度，受害企業(yè)的平均贖金為178，254美元，這還未包含比實際贖金數(shù)額更大的停機成本，通常為贖金數(shù)額的5-10倍，而這些企業(yè)在支付贖金后，文件成功恢復(fù)的概率只有96%，有4%會丟失，且恢復(fù)勒索軟件時間平均所需的時間為16天。此外，80%勒索病毒的受害者仍將成為攻擊的目標。

因此，面對全球蓬勃發(fā)展的OT市場，與相對成熟的IT安全相比，OT安全正處在起步狀態(tài)，解決OT領(lǐng)域不斷出現(xiàn)的安全挑戰(zhàn)已經(jīng)刻不容緩。

中國OT安全市場發(fā)展向好，但與國際水平尚存差距

Fortinet中國區(qū)總經(jīng)理李宏凱表示：“在OT安全領(lǐng)域，每一年市場的增長都在30%左右?！?/p>

市場的增長來自于企業(yè)對安全的重視和投入，當下各家企業(yè)通常會根據(jù)自身的資產(chǎn)規(guī)模為基礎(chǔ)，然后設(shè)定一個百分比作為安全防御方面的投入。

Fortinet中國區(qū)技術(shù)總監(jiān)張略告訴與非網(wǎng)：“假設(shè)整個OT資產(chǎn)是100%，那么現(xiàn)在國際上比較合理的安全投入占比值是在5%左右，5%是不小的投入，這是一個理想的狀態(tài)。而國內(nèi)剛剛起步，更多的是在1.5%-3%左右，所以國內(nèi)確實是需要補齊這一塊，從而追趕國際上比較流行的方法，包括一些預(yù)算投資?！?/p>

圖 | 中國工業(yè)互聯(lián)網(wǎng)安全市場規(guī)模未來保持樂觀形勢

IDC研究總監(jiān)王軍民表示：“2021年，中國OT安全市場的規(guī)模在120億美元左右，預(yù)計到2026年，該市場規(guī)模將擴展至319億美元，雖然與美國的1327億美元還有很大的差距，但中國的復(fù)合增長率在全球來看是非常高的，是全球平均值的2倍，所以長期看好中國網(wǎng)絡(luò)安全市場的發(fā)展。”

OT安全防御可部分借鑒IT安全防御經(jīng)驗

“IT與OT網(wǎng)絡(luò)的融合，已經(jīng)是一個大趨勢?！?張略多次強調(diào)。而在這樣的趨勢下，我們可以看到，OT安全防御和IT安全防御也有著同之處，因為它們面臨的安全威脅很趨同。

Fortinet北亞區(qū)首席技術(shù)顧問譚杰舉了個例子：“10多年前，F(xiàn)ortinet開始做OT安全的時候，就是簡單的一個OT防火墻，但是在很多的OT網(wǎng)絡(luò)里面是插不進去的，因為當時使用的都不是TCP/IP協(xié)議?？墒鞘嗄赀^去，現(xiàn)在新的一些OT系統(tǒng)，包括以前一些老系統(tǒng)的改造，基本上都變成了TCP/IP協(xié)議，所以有了這樣的變化?！?/p>

那么，具體哪些部分是可以借鑒的呢？事實上，在OT升級的過程中，可以用很多IT方法論指導(dǎo)OT網(wǎng)絡(luò)的安全建設(shè)，包括零信任的方法論、Gartner提出的CSMA的架構(gòu)。

“在零信任過程當中，所有OT的網(wǎng)絡(luò)設(shè)備，甚至包括操作的人員，都應(yīng)該先要經(jīng)過身份認證、安全的認證以后才能夠以合適的權(quán)限接入到OT網(wǎng)絡(luò)里面，對OT進行操作和更改，我們沿用了IT的零信任網(wǎng)絡(luò)，發(fā)現(xiàn)把它映射到OT安全環(huán)境里面是非常貼合的。所以，我們認為利用零信任的架構(gòu)去做OT網(wǎng)絡(luò)安全依然是可行的”，張略解釋道。

OT安全防御又有別于IT安全防御

雖然在很多地方，OT安全和IT安全有著相似之處，然而OT還是有其特殊性的，比如我們就從上面提到的方法論來看，對于機密性、完整性和可用性方面三者的權(quán)衡，在IT和OT當中是不一樣的。在OT當中我們認為可用性要求最高，因為無論如何不能讓生產(chǎn)線中斷，不能讓石油管道停止輸油，不能讓電網(wǎng)停止供電；此外，在OT當中，實時性要求也是非常高的，以制造業(yè)為例，如果在車間里面進行操作的時候，因為延時導(dǎo)致流程上的Delay，會導(dǎo)致良品率的下降，甚至更加嚴重的后果。而在IT網(wǎng)絡(luò)里面，我們認為機密性的要求更高一些，因為IT網(wǎng)絡(luò)收郵件遲一分鐘應(yīng)該沒有什么太多的感觸。

此外，IT和OT網(wǎng)絡(luò)的組建生命周期也大不相同，當前IT網(wǎng)絡(luò)建設(shè)是5年左右可以更新一波，出現(xiàn)安全漏洞時，打補丁相對容易。但是我們經(jīng)?？梢钥吹?，在生產(chǎn)線上，10年、20年以上的設(shè)備和軟件依然在運行，此時的硬件和軟件不論是在功能還是性能上，都是大大落后的。如果出現(xiàn)安全漏洞，對于這些老舊設(shè)備來說，很少有人能夠百分之百確定打了補丁后整個生產(chǎn)線還能繼續(xù)正常運行，這也是困擾OT建設(shè)者的一大難題。

值得一提的是，Purdue模型是在國際上比較通用的網(wǎng)絡(luò)安全架構(gòu)，業(yè)內(nèi)可以參考這個模型來開展OT安全防護的工作，但是這個模型有一個問題，比如透明度較差等。

圖 | Fortinet OT安全解決方案框架圖

因此，F(xiàn)ortinet的做法是采用Fortinet Security Fabric結(jié)合Purdue模型做頂層設(shè)計，在儀表總線網(wǎng)絡(luò)、流程控制局域網(wǎng)、區(qū)域總控網(wǎng)絡(luò)、生產(chǎn)區(qū)域、企業(yè)環(huán)境等不同層面構(gòu)建全方位、立體化、多層次、多維度的安全控制能力與階段性、覆蓋生產(chǎn)周期的安全保護。

面對威脅情報，正確的做法是怎樣的？

關(guān)于從威脅情報的提供等角度，F(xiàn)ortinet實際幫助客戶解決問題的流程是怎樣的，包括攻擊前、攻擊發(fā)生以后的處理都有哪些工作？

Fortinet資深安全工程師莊喆皓表示：“威脅情報其實是一種泛稱，F(xiàn)ortinet有單獨的實驗室也就是威脅情報中心，同時也是全球威脅情報聯(lián)盟的成員之一，收到威脅情報后，我們會通過人工智能和機器學習的方法對情報進行篩選、去重，與上一個時間點做對比、做更新，如果判定是高危的情報，就會交給安全研究院進行小范圍的測試，充分的測試通過后將高危漏洞下推到安全特征庫，同步推送威脅情報給客戶機，阻斷和監(jiān)控來自互聯(lián)網(wǎng)的攻擊?！?/p>

寫在最后

“做OT安全也需要硬件的加持，對于Fortinet來說我們有專用硬件，用微秒級別設(shè)備來解決引入了安全體系以后的延時問題”，張略如是說，“其實在整個安全架構(gòu)設(shè)計上，延時是可以通過計算得出來的，比如交換機是納秒級別的延時，防火墻是微秒級別的延時，經(jīng)過一些高級技術(shù)的時候，可能變成毫秒或者是秒級別?？傊ㄟ^良好的設(shè)計，加上良好的產(chǎn)品是完全能夠滿足客戶對于要求?！?/p>

而值得一提的是，為何Fortinet的專用硬件可以做到如此低的延時，這是因為Fortinet采用了自研的ASIC芯片，專門針對網(wǎng)絡(luò)通訊中的協(xié)議站、對防病毒進行加速。比如，F(xiàn)ortiNDR產(chǎn)品能夠用機器學習專用芯片去對未知的威脅進行快速計算，原來可能要花一分鐘得出結(jié)果，現(xiàn)在花幾秒鐘就能夠得出。