突然爆发的新冠疫情,从某种程度上,加快了IT技术进入工业企业的速度——由于能够最大程度地以数字化手段重构工业企业间的供应链、价值链和产业链,IT系统日益成为企业现阶段实践数字化转型的选项。但技术在应用场景面前,始终是一柄双刃剑:在利用IT技术的能力去优化、改造传统工业的业务模式和商业结构的同时,也带来更多潜在的风险和挑战。
2021年5月7日,美国大型成品油管道运营商科洛尼尔管道运输公司遭受了勒索软件的攻击,为此关闭了旗下4条主干成品油管道。受此影响,美国东部和南部沿岸17个州和华盛顿特区实施区域紧急状态,而且国际油价一度波动加剧,美国汽油期货甚至一度上涨超4%。
虽然事件很快得到解决,但是类似事件的反复出现,影响越来越大,波及面越来越广,让所有的工业企业不得不正视一个问题:以往被认为只存在于IT世界当中的黑客、勒索软件,正在迅速渗透到现实世界的工厂和企业,并且直接威胁工业企业正常的业务运转。因此对于广大考虑或已经在实践数字化转型的工业企业而言:如何在深化数字化的过程中,保障现实业务的安全性,就显得尤为重要。
一般理解当中,在现实世界里,工业企业中控制工业设备的系统,如负责管理各种工业流程的不同类型的设备、系统、控件和网络,被成为OT系统(运营技术,Operational Technology)。而工业企业数字化的过程,实际上就是通过来自虚拟世界的IT系统与现实世界的OT系统的融合,利用IT技术更强的数字化定义和运算能力,对OT系统赋能——应该说,从IT系统向OT系统蔓延的不安全因素,正是当下工业企业在数字化进程中需要解决的问题:在IT与OT融合已经成为既定趋势的基础上,如何建立IT与OT的安全体系,就成了解决问题的核心。
传统意义上看,OT和IT有着各自学科的特征和不同的应用场景,因此两者各自有截然不同的安全需求:IT系统对于信息安全系统的要求,是机密性,保障数据的安全;而对于OT系统而言,其对于信息安全的首要目标,是保证系统的可用性,确保业务的持续运转,以及生产流程的完整性。因此关于“OT安全”的话题,有人认为:工业企业的OT系统本身也存在一些“天然”的行业特有的属性,因此IT安全和OT安全两者的安全理念和解决问题的逻辑,是截然不同的。
“很多事情的发展都需要一个漫长的过程:IT与OT的融合,实际上在十多年前就开始了。在我们刚开始做OT安全的时候,在很多场景里,OT防火墙是不太容易部署进去的,因为那个时候,很多工控协议还在用串口协议,所以没有必要使用防火墙。可是十多年过去了,我们现在发现,很多的OT协议都是基于TCP/IP协议了。”在最近举办的一场关于企业OT工控安全的论坛中,Fortinet 北亚区首席技术顾问谭杰强调,OT与IT的融合已经成为既定的事实,而且随着企业数字化进程的不断推进,这种融合也将持续不断,且最终在两者之间就不再存在清晰的界限,难分彼此。在这种情况下,从安全的角度看,IT安全和OT安全,就不能再作为两个完全独立的体系进行考虑:“我个人不太赞成把IT安全和OT安全撕裂开的,在我看来,企业和厂商在考虑OT安全和IT安全时,在充分认识两者差异的基础上,也要关注两者的共性。”
事实上,作为较早涉猎OT安全领域的Fortinet,之前就曾经有过针对工业企业的OT安全解决方案和时间方法论。
在Fortinet的逻辑中,与IT安全类似,工业企业OT系统的安全解决方案应该分成五个步骤:检测、保护、发现、响应和恢复。其中,检测是为了识别在本企业的OT系统当中是否有非授权设备的接入,是否已经有病毒和恶意代码在传播;而保护的原则是按照业务的优先级,按照人、技术和流程三者结合的方式进行。
此前,Fortinet也曾经提出过工业企业OT安全整体解决方案的八个渐进阶段的实施策略:第一个阶段是可视化,让工业企业可以实现从监控网络到流程控制网络的可视化;第二个阶段是集中管理,使工业企业具有设备自动发现、组管理、全局策略、审计功能以及管理复杂 VPN 环境的能力; 第三阶段是安全域划分,帮助工业企业根据特定设备类型和网络访问需求,采用分层、分域的安全策略,提前设定安全域;第四阶段是网络准入,帮助工业企业建立以行为分析为中心的零信任安全体系,从而提升企业整体安全运营能力;第五阶段是抵御已知与未知威胁,帮助工业企业应该建立起从监控网络到流程控制网络的主动防护;第六阶段,分析定位,通过评估企业内部安全策略合规性状态,帮助企业建立起未知威胁检测,事件分析、溯源的能力;第七阶段,OT 态势感知与响应;第八阶段是信任评估,目的是帮助工业企业查找恶意行为和系统活动,在安全事件恶化成为有影响的数据泄露事件之前 提醒企业的安全事件团队。
“OT安全,其实跟IT安全应该采用同样的方法论:建立信息安全防护的体系,从流程、政策、人、技术几个方面一起入手,从信息安全风险评估和审计开始,通过设计和实施进行针对性的防护,再通过监视和运维保障系统安全,这样的一整套动态提升体系和方法论,是同样适用于OT安全和IT安全的。”施耐德电气工业自动化信息安全业务负责人裴渊斗,对于将IT与OT采用同样方法论构建安全体系的逻辑表示认同。同时,他也提到了OT安全也IT安全两者的区别。
在裴渊斗看来,OT安全和IT安全最大的不同,是两者所面对的对象不用,以及两者的应用场景存在差异:“IT系统在工业企业中的生命周期,是三到五年,也许可能用到八年;但是OT系统不同,最长能连续运行20年。”裴渊斗认为,尽管OT系统应用了很多IT的技术,OT系统仍具备很多IT系统不具备的要素,因此对于企业用户而言,在采用同样的安全防护技术(尤其是新技术)、策略和方法论的基础上,依然需要关注到两者的不同,从而确定不同的应用重点,选择不同的策略,在保证OT系统的可靠性,实时性,确定性,耐久性的基础上实施信息安全防护。
“此外,因为OT安全起步较晚,安全管理不是很到位,安全意识也比较薄弱,所以在做OT安全架构设计之前,我通常更建议客户先做审计和评估,确定核心资产以及资产之间的通讯关系,识别资产所需要面对的威胁和受到攻击后可能产生的后果,只有清晰的审计和评估,才能梳理出需要对哪些核心资产或系统,进行什么样等级的安全防护,这样才能帮助企业做一个具有针对性的适当的有效的安全防护策略。
写在最后
工业互联网、工业物联网、智能工厂、工业4.0……IT系统与OT经过融合,在不同场景下为工业企业提供了更加灵活、有韧性的业务形态。OT安全作为工业企业数字化进程中伴生的话题,实际上也是决定着工业企业数字化进程的关键因素。而对于工业企业而言,OT安全从理论到方法,从解决方案到应用场景,都还有很多的问题需要解决,因此所有的讨论都是有意义的。
另悉,11月,Fortinet还将举办“数字工业 弹性安全 ”2022年工业互联网安全发展峰会系列活动,届时将有更多关于工业互联网安全、行业趋势、前沿技术与最佳实践等方面的讨论,相信对于工业企业进一步深化数字化进程大有裨益。
京公网安备 11010202008829号