OT信息安全的实践之路
因为网络黑客攻击成品油管道系统企业,导致美国 17个州和华盛顿特区进入紧急状态,这可能是最近在信息安全领域最大的新闻了。虽然此次事件所影响的范围没有4年前 WannaCry 影响的范围广,但其精准攻击的手段却足以说明,信息安全领域“猫与老鼠”此消彼长的规则,从来没有停息——在一个强调用数字和信息重新定义世界的时代,这对任何人和企业,都是一种潜在但真实的威胁。工业企业是数字化程度最高的行业之一,因此也是未来受到威胁最大的行业之一。
中国工业企业的数字化之初,是上个世纪90年代,从利用CAD、ERP 和 PLM为主的工业软件提高核心业务效率开始,逐渐完成了对自身业务的信息化改造。进而,基于信息化的成果,自动化水平也得到极大的提升。在这一时期,与自动化相关的 OT(Operational Technology,运营技术)相比,IT建设是企业数字化关注的重点。到了 2010 年左右,随着工业4.0、工业物联网和工业互联网等的出现和应用,工业企业开始意识到将虚拟世界的IT与现实世界里的OT进行融合,将会带来更大的灵活性和业务韧性,于是,IT与 OT的持续融合成为工业企业数字化转型的核心——恰好成为工业企业在信息安全方面存在重大漏洞的根源。
众所周知,绝大部分的信息安全漏洞都存在于 IT领域当中,无论是黑客还是病毒,都是借助IT系统入侵。而传统的OT系统,不仅与IT 系统存在物理层面的隔离,而且是运行在专用的硬件上和嵌入式操作系统当中,在数据传输上,也采用专有控制协议,因此在很大程度上将,传统的OT系统是存在“相对安全”的,只是这种平静正在被“IT 与 OT融合”的大潮打破。
随着两者融合程度的加深,IT深入 OT 的程度也在不断深入:为了提高通用性,OT系统开始运行在更为通用的IT 操作系统和IT通用硬件上;同时,通过工业云等媒介,OT系统正在尝试采用IT系统常用的 TCP/IP 协议,以实现数据在不同硬件系统之间的传递,以及与IT完成某种程度的互联互通。不仅如此,为了实现接入更多智能终端的目的,OT系统也开始接受用更为便捷的WIFI通信协议代替以往铜缆连接的方式…… IT系统向OT系统的“侵入性”融合,使得工业企业的OT系统处于一种从未有过的危险处境当中。
既然,“IT 与 OT融合”是工业企业数字化进程中不能绕开的节点,那么所有的问题就集中在了一点:工业企业该如何尽快及时修补OT 系统方面的安全漏洞?
借助在 IT领域关于信息安全方面的经验,单纯从技术逻辑上说,也许有两种思路来解决问题:第一种是根据OT领域对信息安全的需求,建立一套专属的信息安全工具和理论;第二种,就是将在 IT领域得到验证的成功经验和有效工具,随着 IT 与 OT的融合,从 IT系统延展、覆盖到OT系统中——前者更有针对性,后者则更为经济。
“由于现在的OT一般都采用了IT 领域里已经成熟的协议、硬件和软件,因此IT 和 OT 之间有很多相似之处,所以以往我们所用到的信息安全知识和工具就可以比较容易地从IT迁移到OT;
但与此同时,我们也应该注意掉OT 和 IT 之间的区别,在应用方案时,对OT系统对于安信息安全不同的需求给予满足。”张略,Fortinet 中国区技术总监日前在2021年工业互联网安全发展峰会上发言强调,从逻辑概念上,针对工业企业的信息安全知识和工具应该从IT 向 OT延展,但是在此过程中,需要增加解决方案的针对性。
在张略看来,与传统IT领域对于信息安全的要求相比,工业企业在OT领域对于信息安全系统的要求,并非是机密性,而是可用性、稳定性。因此对于面向工业企业OT系统的信息安全解决方案,就需要将以往的工具进行重新的组合,以响应这种需求:“从 NIST模型来看,针对工业企业 OT系统的安全解决方案应该分成五个步骤:检测、保护、发现、响应和恢复。其中,检测是为了识别在本企业的OT系统当中使用了哪些协议,是不是已经有病毒和安全风险在传播;而保护的原则则是按照业务的优先级,按照人、技术和流程三者结合的方式进行。”张略还给出了 Fortinet基于这一思路,推出的工业企业OT安全整体解决方案的八个渐进阶段的实施策略。
第一个阶段是可视化,让工业企业可以实现从监控网络到流程控制网络的可视化;第二个阶段是集中管理,使工业企业具有设备自动发现、组管理、全局策略、审计功能以及管理复杂VPN环境的能力;第三阶段是安全域划分,帮助工业企业根据特定设备类型和网络访问需求,采用分层、分域的安全策略,提前设定安全域;第四阶段是网络推入,帮助工业企业建立以行为分析为中心的零信任安全体系,从而提升企业整体安全运营能力;第五阶段是抵御已知与未知威胁,帮助工业企业应该建立起从监控网络到流程控制网络的主动防护;第六阶段,分析定位,通过评估企业内部安全策略合规性状态,帮助企业建立起未知威胁检测,事件分析、溯源的能力;第七阶段,OT态势感知与响应;第八阶段是信任评估,目的是帮助工业企业查找恶意行为和系统活动,在安全事件恶化成为有影响的数据泄露事件之前提醒企业的安全事件团队。
“我们希望工业企业可以按照步骤,一步步在 OT系统当中建立起从隔离到未知威胁,再到体系化运维,最终建立起一整套具有针对性的安全体系。”李宏凯,Fortinet 中国区总经理在接受采访强调,Fortinet 能够为工业企业实践OT系统信息安全体系建设的每一个阶段提供充分的工具支持,而且,由于 Fortinet 为工业企业提供的信息安全解决方案,在IT 和 OT两个领域都是基于同样的技术逻辑和产品架构,因此在某种程度上说,对于 IT 与 OT未来更进一步的融合,具有天然的促进作用。
写在最后
很难说,用数字定义世界,带来的使更多的便捷,还是更多的安全隐患。只是从社会发展的角度看,数字化是不能逆转的历史趋势。工业企业的数字化,到了将现实(OT)与虚拟(IT)融合的关键节点,此刻,越早关注到其中存在的风险,并及早着手研究解决的方法,或许比单纯推进两者的融合,更为重要。