工業(yè)互聯(lián)網(wǎng)走向開放，網(wǎng)絡(luò)安全敲響警鐘

如同疫情防控有一天一定會(huì)放開一樣，在制造業(yè)數(shù)字化轉(zhuǎn)型的過程中，工業(yè)互聯(lián)網(wǎng)技術(shù)（OT）也一定會(huì)走向開放，因?yàn)殚_放是一種數(shù)字化的狀態(tài)。然而，近幾年隨著OT產(chǎn)業(yè)開放的推進(jìn)，網(wǎng)絡(luò)安全態(tài)勢(shì)變得越發(fā)嚴(yán)峻，網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)今每個(gè)企業(yè)最優(yōu)先考慮的事情。

圖 | 數(shù)字化轉(zhuǎn)型的挑戰(zhàn)

OT安全邊界正在坍塌

在過去十年中，OT和IT系統(tǒng)之間的數(shù)據(jù)流不斷增加，但從工業(yè)互聯(lián)網(wǎng)中的專有通信和硬件升級(jí)到整個(gè)企業(yè)的開放式連接后，讓網(wǎng)絡(luò)安全威脅更加難以檢測(cè)、調(diào)查和修復(fù)。

之前，工業(yè)控制系統(tǒng)（CIS）和其他OT設(shè)備都是孤立部署的，缺乏安全保障措施。IT人員沒有必要擔(dān)心安全問題，因?yàn)楣I(yè)技術(shù)已經(jīng)從傳統(tǒng)的IT網(wǎng)絡(luò)中隔離出來。現(xiàn)在，隨著OT與IT網(wǎng)絡(luò)的融合，工業(yè)設(shè)備擁抱TCP/IP協(xié)議已經(jīng)成為網(wǎng)絡(luò)生態(tài)系統(tǒng)的一部分，傳感器和其他控制器成為了IT/OT融合網(wǎng)絡(luò)上的工業(yè)物聯(lián)網(wǎng)節(jié)點(diǎn)，這些以前受保護(hù)的隔離設(shè)備的安全邊界正在坍塌。

解決OT安全挑戰(zhàn)刻不容緩

根據(jù)IDC 在《全球物聯(lián)網(wǎng)支出指南》中的預(yù)測(cè)數(shù)據(jù)顯示，2021年全球物聯(lián)網(wǎng)（企業(yè)級(jí)）支出規(guī)模達(dá)6902.6億美元，并有望在2026年達(dá)到1.1萬億美元，五年（2022年-2026年）復(fù)合增長(zhǎng)率（CAGR）達(dá)10.7%。其中，中國(guó)企業(yè)級(jí)物聯(lián)網(wǎng)市場(chǎng)規(guī)模將在2026年達(dá)到2940億美元，復(fù)合增長(zhǎng)率（CAGR）達(dá)13.2%，全球占比約為25.7%，繼續(xù)保持全球最大物聯(lián)網(wǎng)市場(chǎng)體量。

然而，F(xiàn)ortinet中國(guó)華東區(qū)技術(shù)負(fù)責(zé)人卜嬋敏透露，在我們熟悉的半導(dǎo)體領(lǐng)域，強(qiáng)如臺(tái)積電，也曾遭受過勒索病毒的威脅，最后分析給出的事故報(bào)告中指出是因?yàn)橥獠抗?yīng)商有問題的U盤導(dǎo)致了操作系統(tǒng)的感染。這類風(fēng)險(xiǎn)非常常規(guī)，因此國(guó)際大公司，例如蘋果公司，每年都會(huì)審查下游制造商的安全防御情況。

圖 | OT安全威脅中哪些觸目驚心的數(shù)字

實(shí)際情況確實(shí)如此，根據(jù)Fortinet全球威脅情報(bào)響應(yīng)與研究團(tuán)隊(duì)（FortiGuard Labs）統(tǒng)計(jì)，僅2022 年上半年，F(xiàn)ortiGuard Labs累積捕獲 10,666 種全新勒索軟件變體，而去年下半年僅為 5,400 種。僅半年時(shí)間，新型勒索軟件變體數(shù)量增長(zhǎng)近 100%。雖然有很多廣受關(guān)注的事件成為國(guó)際新聞?lì)^條，但真正受到影響的是數(shù)以萬計(jì)的組織，從大企業(yè)到小企業(yè)，從聯(lián)邦機(jī)構(gòu)到地方政府，無一幸免。

據(jù)悉，2020年第一季度，受害企業(yè)的平均贖金為178，254美元，這還未包含比實(shí)際贖金數(shù)額更大的停機(jī)成本，通常為贖金數(shù)額的5-10倍，而這些企業(yè)在支付贖金后，文件成功恢復(fù)的概率只有96%，有4%會(huì)丟失，且恢復(fù)勒索軟件時(shí)間平均所需的時(shí)間為16天。此外，80%勒索病毒的受害者仍將成為攻擊的目標(biāo)。

因此，面對(duì)全球蓬勃發(fā)展的OT市場(chǎng)，與相對(duì)成熟的IT安全相比，OT安全正處在起步狀態(tài)，解決OT領(lǐng)域不斷出現(xiàn)的安全挑戰(zhàn)已經(jīng)刻不容緩。

中國(guó)OT安全市場(chǎng)發(fā)展向好，但與國(guó)際水平尚存差距

Fortinet中國(guó)區(qū)總經(jīng)理李宏凱表示：“在OT安全領(lǐng)域，每一年市場(chǎng)的增長(zhǎng)都在30%左右?！?/p>

市場(chǎng)的增長(zhǎng)來自于企業(yè)對(duì)安全的重視和投入，當(dāng)下各家企業(yè)通常會(huì)根據(jù)自身的資產(chǎn)規(guī)模為基礎(chǔ)，然后設(shè)定一個(gè)百分比作為安全防御方面的投入。

Fortinet中國(guó)區(qū)技術(shù)總監(jiān)張略告訴與非網(wǎng)：“假設(shè)整個(gè)OT資產(chǎn)是100%，那么現(xiàn)在國(guó)際上比較合理的安全投入占比值是在5%左右，5%是不小的投入，這是一個(gè)理想的狀態(tài)。而國(guó)內(nèi)剛剛起步，更多的是在1.5%-3%左右，所以國(guó)內(nèi)確實(shí)是需要補(bǔ)齊這一塊，從而追趕國(guó)際上比較流行的方法，包括一些預(yù)算投資?！?/p>

圖 | 中國(guó)工業(yè)互聯(lián)網(wǎng)安全市場(chǎng)規(guī)模未來保持樂觀形勢(shì)

IDC研究總監(jiān)王軍民表示：“2021年，中國(guó)OT安全市場(chǎng)的規(guī)模在120億美元左右，預(yù)計(jì)到2026年，該市場(chǎng)規(guī)模將擴(kuò)展至319億美元，雖然與美國(guó)的1327億美元還有很大的差距，但中國(guó)的復(fù)合增長(zhǎng)率在全球來看是非常高的，是全球平均值的2倍，所以長(zhǎng)期看好中國(guó)網(wǎng)絡(luò)安全市場(chǎng)的發(fā)展?！?/p>

OT安全防御可部分借鑒IT安全防御經(jīng)驗(yàn)

“IT與OT網(wǎng)絡(luò)的融合，已經(jīng)是一個(gè)大趨勢(shì)。” 張略多次強(qiáng)調(diào)。而在這樣的趨勢(shì)下，我們可以看到，OT安全防御和IT安全防御也有著同之處，因?yàn)樗鼈兠媾R的安全威脅很趨同。

Fortinet北亞區(qū)首席技術(shù)顧問譚杰舉了個(gè)例子：“10多年前，F(xiàn)ortinet開始做OT安全的時(shí)候，就是簡(jiǎn)單的一個(gè)OT防火墻，但是在很多的OT網(wǎng)絡(luò)里面是插不進(jìn)去的，因?yàn)楫?dāng)時(shí)使用的都不是TCP/IP協(xié)議。可是十多年過去，現(xiàn)在新的一些OT系統(tǒng)，包括以前一些老系統(tǒng)的改造，基本上都變成了TCP/IP協(xié)議，所以有了這樣的變化。”

那么，具體哪些部分是可以借鑒的呢？事實(shí)上，在OT升級(jí)的過程中，可以用很多IT方法論指導(dǎo)OT網(wǎng)絡(luò)的安全建設(shè)，包括零信任的方法論、Gartner提出的CSMA的架構(gòu)。

“在零信任過程當(dāng)中，所有OT的網(wǎng)絡(luò)設(shè)備，甚至包括操作的人員，都應(yīng)該先要經(jīng)過身份認(rèn)證、安全的認(rèn)證以后才能夠以合適的權(quán)限接入到OT網(wǎng)絡(luò)里面，對(duì)OT進(jìn)行操作和更改，我們沿用了IT的零信任網(wǎng)絡(luò)，發(fā)現(xiàn)把它映射到OT安全環(huán)境里面是非常貼合的。所以，我們認(rèn)為利用零信任的架構(gòu)去做OT網(wǎng)絡(luò)安全依然是可行的”，張略解釋道。

OT安全防御又有別于IT安全防御

雖然在很多地方，OT安全和IT安全有著相似之處，然而OT還是有其特殊性的，比如我們就從上面提到的方法論來看，對(duì)于機(jī)密性、完整性和可用性方面三者的權(quán)衡，在IT和OT當(dāng)中是不一樣的。在OT當(dāng)中我們認(rèn)為可用性要求最高，因?yàn)闊o論如何不能讓生產(chǎn)線中斷，不能讓石油管道停止輸油，不能讓電網(wǎng)停止供電；此外，在OT當(dāng)中，實(shí)時(shí)性要求也是非常高的，以制造業(yè)為例，如果在車間里面進(jìn)行操作的時(shí)候，因?yàn)檠訒r(shí)導(dǎo)致流程上的Delay，會(huì)導(dǎo)致良品率的下降，甚至更加嚴(yán)重的后果。而在IT網(wǎng)絡(luò)里面，我們認(rèn)為機(jī)密性的要求更高一些，因?yàn)镮T網(wǎng)絡(luò)收郵件遲一分鐘應(yīng)該沒有什么太多的感觸。

此外，IT和OT網(wǎng)絡(luò)的組建生命周期也大不相同，當(dāng)前IT網(wǎng)絡(luò)建設(shè)是5年左右可以更新一波，出現(xiàn)安全漏洞時(shí)，打補(bǔ)丁相對(duì)容易。但是我們經(jīng)?？梢钥吹?，在生產(chǎn)線上，10年、20年以上的設(shè)備和軟件依然在運(yùn)行，此時(shí)的硬件和軟件不論是在功能還是性能上，都是大大落后的。如果出現(xiàn)安全漏洞，對(duì)于這些老舊設(shè)備來說，很少有人能夠百分之百確定打了補(bǔ)丁后整個(gè)生產(chǎn)線還能繼續(xù)正常運(yùn)行，這也是困擾OT建設(shè)者的一大難題。

值得一提的是，Purdue模型是在國(guó)際上比較通用的網(wǎng)絡(luò)安全架構(gòu)，業(yè)內(nèi)可以參考這個(gè)模型來開展OT安全防護(hù)的工作，但是這個(gè)模型有一個(gè)問題，比如透明度較差等。

圖 | Fortinet OT安全解決方案框架圖

因此，F(xiàn)ortinet的做法是采用Fortinet Security Fabric結(jié)合Purdue模型做頂層設(shè)計(jì)，在儀表總線網(wǎng)絡(luò)、流程控制局域網(wǎng)、區(qū)域總控網(wǎng)絡(luò)、生產(chǎn)區(qū)域、企業(yè)環(huán)境等不同層面構(gòu)建全方位、立體化、多層次、多維度的安全控制能力與階段性、覆蓋生產(chǎn)周期的安全保護(hù)。

面對(duì)威脅情報(bào)，正確的做法是怎樣的？

關(guān)于從威脅情報(bào)的提供等角度，F(xiàn)ortinet實(shí)際幫助客戶解決問題的流程是怎樣的，包括攻擊前、攻擊發(fā)生以后的處理都有哪些工作？

Fortinet資深安全工程師莊喆皓表示：“威脅情報(bào)其實(shí)是一種泛稱，F(xiàn)ortinet有單獨(dú)的實(shí)驗(yàn)室也就是威脅情報(bào)中心，同時(shí)也是全球威脅情報(bào)聯(lián)盟的成員之一，收到威脅情報(bào)后，我們會(huì)通過人工智能和機(jī)器學(xué)習(xí)的方法對(duì)情報(bào)進(jìn)行篩選、去重，與上一個(gè)時(shí)間點(diǎn)做對(duì)比、做更新，如果判定是高危的情報(bào)，就會(huì)交給安全研究院進(jìn)行小范圍的測(cè)試，充分的測(cè)試通過后將高危漏洞下推到安全特征庫，同步推送威脅情報(bào)給客戶機(jī)，阻斷和監(jiān)控來自互聯(lián)網(wǎng)的攻擊?！?/p>

寫在最后

“做OT安全也需要硬件的加持，對(duì)于Fortinet來說我們有專用硬件，用微秒級(jí)別設(shè)備來解決引入了安全體系以后的延時(shí)問題”，張略如是說，“其實(shí)在整個(gè)安全架構(gòu)設(shè)計(jì)上，延時(shí)是可以通過計(jì)算得出來的，比如交換機(jī)是納秒級(jí)別的延時(shí)，防火墻是微秒級(jí)別的延時(shí)，經(jīng)過一些高級(jí)技術(shù)的時(shí)候，可能變成毫秒或者是秒級(jí)別?？傊ㄟ^良好的設(shè)計(jì)，加上良好的產(chǎn)品是完全能夠滿足客戶對(duì)于要求。”

而值得一提的是，為何Fortinet的專用硬件可以做到如此低的延時(shí)，這是因?yàn)镕ortinet采用了自研的ASIC芯片，專門針對(duì)網(wǎng)絡(luò)通訊中的協(xié)議站、對(duì)防病毒進(jìn)行加速。比如，F(xiàn)ortiNDR產(chǎn)品能夠用機(jī)器學(xué)習(xí)專用芯片去對(duì)未知的威脅進(jìn)行快速計(jì)算，原來可能要花一分鐘得出結(jié)果，現(xiàn)在花幾秒鐘就能夠得出。