四大板塊構建縱深防御體系,保障工業網絡安全
隨著企業數字化轉型的加速與工業4.0物聯網的興起,以往封閉在廠房、車間的OT設備更多的與IT網絡、互聯網和云連接,在提高了生產效率的同時,也為互聯網的威脅進入并攻擊OT網域提供了通道。近十年間,工業 OT 安全呈現攻擊越來越頻繁、攻擊手法平民化、造成損失越來越大的三大趨勢,給企業OT安全帶來了巨大的挑戰。
在此背景下,Fortinet 亞太區工業安全高級顧問王海濤在“FortiOS 安全無所不達”系列講座第七期——《構建縱深防御體系,保障工業網絡安全》的講座中,以普渡模型為參考架構,層次化的深入分析了工業 OT 網絡面臨的安全問題,并針對五大工業 OT 網絡安全問題提出了對應的最佳實踐,從技術的角度指導、規范企業OT網絡安全建設,也為FortiOS 安全無所不達” 系列講座畫上了圓滿的句號。
工業 OT 網絡面臨五大安全問題
為什么OT 網絡讓攻擊者有機可乘?王海濤認為首先要從 OT 網絡自身特性、弱點說起。而要真正認清 OT 網絡,則要從專業的 OT 網絡架構——普渡模型入手。普渡模型是相關國際標準、國內標準的基礎,也是企業認識、理清工業 OT 網絡最常用的參考架構。該模型根據業務功能和覆蓋范圍將整個 OT 網絡進行了層次化劃分,這種層次化的思維也把OT網絡安全問題分解為了五大類:
首先就是現場設備層,缺乏 OT 設備及 OT 協議可視化,安全設備部署沒涉及“最后一公里”,一旦一臺機器中毒,容易導致全廠停產。 第二是陳舊的和非標準化的 OT 系統和應用有很大的漏洞風險,且很多系統和設備已經過了廠商的安全支持周期,比如Windows XP系統仍然在大量工業場景使用。 第三是本地和遠程登陸人員和設備缺乏認證,無登錄授權認證和日志記錄,也就難以定位威脅和調查取證。 第四是缺乏 OT 安全運維管理中心,意味著 OT 網絡的日常運營狀態缺乏統一監管,也不存在 OT 應急響應方案。 第五是物聯網( IoT )設備使用無線或 LTE 網絡與 IT 網絡、互聯網和云連接,這些設備普遍缺乏帶外管理或層次化的安全區域劃分,互聯網威脅很容易在這樣的 OT 網絡散播。
最佳 OT 安全實踐打造縱深防御體系
普渡模型層次化思維不但便于人們分解 OT 網絡安全問題,也為組織制定“各個擊破”的威脅應對策略提供了基礎。Fortinet提出了 OT 網絡安全建設的5個最佳實踐,也對應等保 2.0 工業控制系統安全要求,包括安全網絡邊界、安全網絡運維、安全計算環境和安全網絡通訊。
針對設備的可視化,最佳實踐推薦進行 OT 網絡區域和管道劃分,進行網絡分段和微分段;針對漏洞的利用,需要進行 OT 設備的 IPS 入侵防御;針對 OT 設備和人員的接入管理,要求基于角色的認證和授權;針對安全的運維,需要進行安全運營中心的建設;針對來自互聯網的威脅,要求 IT 和 OT 進行單獨組網以及控制,并對 OT 通訊數據加密。
王海濤進一步指出,最佳實踐不僅要從 OT 網絡自身出發,還要從攻擊者視角入手找到防護薄弱點。在熟知網絡攻擊流程的基礎上,構建一套行之有效的縱深防御體系。從攻擊者最初的社會工程、釣魚郵件到載荷投遞、安裝、植入,到最后進行外聯活動和入侵破壞,整個過程時長不定、方式不同、目標各異,相應的組織對其監測和阻止的方法也必然是不同的。
比如在載荷投遞階段,能夠通過沙盒文件掃描的方式進行文件的監測和過濾;在漏洞利用階段,通過具有 IPS 入侵檢測能力的下一代防火墻進行檢測和阻止;在外聯活動階段,通過用戶終端的 EDR 系統對終端的行為或者進程進行分析來阻止威脅。
企業將各司其職的這些安全產品部署在不同防護層,建立一套“洋蔥模型”一樣的縱深防御體系,把網絡安全建設統一在一起,通過部署手段間的聯動打破整個OT 網絡攻擊鏈,在威脅實施數據層的破壞之前、實質影響 OT 過程控制之前,進行有效的,及時的阻止。
Fortinet 四大板塊構建 OT 安全方案
目前,Fortinet 的 OT 網絡解決方案已經實現了對這套縱深防御體系的完整部署和全面覆蓋,包含安全組網、準入控制、安全運維和安全服務四大板塊產品和功能。
安全組網板塊包含的產品主要有FortiGate 下一代防火墻、 FortiSwitch 安全交換機、FortiAP 安全接入點,以及支持云端部署的FortiGate-VM,還有基于 FortiGate 的 SD-WAN 解決方案。 準入控制板塊主要產品和功能有 FortiNAC 網絡準入控制,FortiAuthenticator多因素的驗證,以及 Fortinet ZTNA解決方案,在實現零信任網絡建立的同時,也支持企業目前廣泛使用的 SSL VPN 等。 安全運維板塊主要產品和功能有 FortiSIEM 安全事件管理、 FortiManager 中心化的設備管理以及 FortiAnalyzer 中心化的日志管理,終端檢測和響應(EDR) 和 安全編排自動化響應(SOAR)產品。 安全服務板塊主要包含訂閱服務功能,針對 OT 網絡,板塊內有 500 多個針對 OT 的入侵檢測數字簽名,以及 2000 多個針對 OT 的應用協議識別和控制簽名。
這四大板塊中所有產品和功能,都是基于統一的操作系統 FortiOS ,所以這些產品和功能之間能夠進行非常有效的聯動以及原生的集成,這樣也能夠幫助企業構建效益最大化的縱深防御體系。
三大 OT 安全場景應用最佳實踐
Fortinet縱深防御方案覆蓋包含以下三大OT安全場景應用的最佳實踐,分別是:基于意圖的 OT 網絡微分段、設備及人員的準入認證與高效和簡潔的 OT 安全運維。
基于意圖的 OT 網絡微分段。該實踐采用 FortiGate、FortiSwitch 和 FortiAP等產品和功能實現網絡分段、微分段,目的是建立不同需求的邏輯安全區域和管道,結合FortiGuard 對2000多個工控協議、及60多種工控指令的深度識別能力,實現同一VLAN區域內、不同設備間流量的精準管控,避免威脅的橫向移動。
設備及人員的準入認證。該實踐采用 FortiNAC、FortiAuthenticator 和 FortiToken 等產品和功能實現移動設備、新進設備或者是維護設備等不同類型、不同區屬的網絡動態接入控制。結合網絡微分段該實踐能夠實現設備自動歸區、自動應用區域策略以及自動接入或屏蔽。同時對于人員認證,Fortinet方案通過多因素認證和多重認證結合,基于“最小特權原則”,實現對不同人員、不同用戶組和不同場景的登錄認證及應用權限的管控。
高效和簡潔的 OT 安全運維。該實踐主要基于 FortiSIEM 安全信息事件管理系統。該系統在對全局安全信息和事件廣泛采集的基礎上,通過數據的泛化和豐富化預處理,匹配預制的告警規則,進而實現對事件和告警的自動化分類和處置,協助減少業務的停機時間,提升企業的整體運維效率。
Fortinet OT 方案五大優勢應對威脅
Fortinet OT安全解決方案屢次獲得 Westlands Advisory、Frost & Sullivan 等權威第三方機構的廣泛認可。這不僅僅歸功于優質的體系化產品和功能,還有活躍且不斷發展的合作伙伴生態系統,能夠有效解決 OT 網絡環境多供應商、多平臺部署、多產品共存的集成挑戰,通過開放生態和API技術等實現有效集成和高效運維。
總結來說,Fortinet OT安全解決方案具有“產品互聯和安全功能集成”、“IDS檢測與 IPS防護結合”、“專有工業加固安全設備認證”、“全球威脅情報網絡支持” 以及“擁有全球廣泛 OT 行業成功案例”等五大優勢,這亦是Fortinet OT 安全解決方案收獲行業和客戶點贊的基礎。未來,Fortinet 還將繼續看好 OT 網絡安全的發展,并持續加大在 OT 安全領域的投入,保障更多 OT 場景下客戶的網絡安全。
要了解更多信息,請關注武漢恒景科技有限公司微信公眾號,或留言聯系我們。
郵箱 y.k@whpermanent.com
電話 027-87569272
地址 湖北省武漢市洪山區文化大道555號融創智谷A10-5
關注恒景

獲取最新案例及解決方案
Copyright 2021 武漢恒景 All Rights Reserved. 鄂ICP備09021583號-1