編者按：本文來自微信公眾號(hào)機(jī)器之能（ID： almosthuman2017），作者呂海洋，創(chuàng)業(yè)邦經(jīng)授權(quán)轉(zhuǎn)載。

數(shù)字化轉(zhuǎn)型在優(yōu)化各個(gè)行業(yè)運(yùn)營模式的同時(shí)，也帶來了新的「安全」問題。在過去的十年中，源自網(wǎng)絡(luò)攻擊的安全事件數(shù)不勝數(shù)，從伊朗濃縮鈾工廠「震網(wǎng)（Student）」事件，到德國BSI披露的APT攻擊導(dǎo)致鋼廠高爐損毀，再到2019年的海德魯鋁工廠停工、ASCO停產(chǎn)，2020年的豐田Ekans攻擊和SolarWinds供應(yīng)鏈攻擊，以及最近的「斷油」。全球企業(yè)持續(xù)遭受數(shù)字化安全威脅，防御網(wǎng)絡(luò)攻擊已經(jīng)成為各個(gè)行業(yè)IT部門的工作常態(tài)。

然而，在產(chǎn)業(yè)端日常遇到的勒索事件遠(yuǎn)不止媒體報(bào)道的這些，很多企業(yè)面對勒索，都會(huì)選擇默默支付。Colonial在支付贖金時(shí)就曾表示支付贖金是「以大局為重」。

其實(shí)企業(yè)在這方面考慮得非常清楚，把贖金金額和停工、停產(chǎn)造成的損失放在一起比較，就很容易權(quán)衡輕重了。而這也給勒索者提供了機(jī)會(huì)，他們不會(huì)漫天要價(jià)，而是在攻擊之前了解行業(yè)，通過受害企業(yè)的生產(chǎn)規(guī)模，供應(yīng)鏈、價(jià)值鏈判斷對方可以接受的贖金額度。

FortiGuard Labs（FortiGuard全球威脅研究與響應(yīng)實(shí)驗(yàn)室）發(fā)布的最新《2020全球威脅態(tài)勢報(bào)告》指出，大型企業(yè)已經(jīng)成為攻擊者的主要目標(biāo)。加密鎖定關(guān)鍵系統(tǒng)并索要解密密鑰贖金，是一種相對簡單的勒索方式，不論受害組織的規(guī)?；蛐袠I(yè)。借助勒索軟件即服務(wù)的不斷演進(jìn)，網(wǎng)絡(luò)犯罪分子通過「釣大魚」（向大目標(biāo)索取巨額贖金）和利用不交錢就泄露數(shù)據(jù)的威脅，創(chuàng)造了一個(gè)可以牟取暴利的巨大市場，在過去的幾年中，大多數(shù)攻擊者都使用數(shù)據(jù)竊取作為勒索軟件活動(dòng)中的額外籌碼。

一

數(shù)字化轉(zhuǎn)型的多維度安全風(fēng)險(xiǎn)分析

隨著工業(yè)互聯(lián)網(wǎng)理念逐步得到產(chǎn)業(yè)端的認(rèn)可，IT+OT融合的模式迅速走入工廠，成為工業(yè)發(fā)展的重要驅(qū)動(dòng)力。通過打通企業(yè)的IT域和OT域，企業(yè)對產(chǎn)品全生命周期的把控和決策能力得到了大幅增強(qiáng)，并滿足了提高運(yùn)營效率、提升產(chǎn)能和良品率、改進(jìn)服務(wù)質(zhì)量等業(yè)務(wù)需求。

OT和IT系統(tǒng)之間的數(shù)據(jù)流不斷增加，但從工業(yè)互聯(lián)網(wǎng)中的專有通信和硬件升級(jí)到整個(gè)企業(yè)的開放式連接之后，網(wǎng)絡(luò)安全威脅更難以檢測、調(diào)查和修復(fù)。傳統(tǒng)的工業(yè)控制系統(tǒng)（ICS）和其他OT設(shè)備都是孤立部署的，缺乏安全保障措施。企業(yè)沒有必要擔(dān)心設(shè)備的網(wǎng)絡(luò)安全問題，因?yàn)楣I(yè)技術(shù)與IT網(wǎng)絡(luò)是完全隔離的。從未面對過IT安全威脅的OT設(shè)備，大多在設(shè)計(jì)之初就沒有考慮過數(shù)字化安全問題。

新的數(shù)字化浪潮使企業(yè)面臨的安全挑戰(zhàn)更為復(fù)雜，IT和OT的融合，將IT網(wǎng)絡(luò)中的安全威脅引入到了生產(chǎn)設(shè)備層。工業(yè)設(shè)備啟用IP成為網(wǎng)絡(luò)生態(tài)系統(tǒng)的一部分，傳感器和其他控制器成為了IT/OT融合網(wǎng)絡(luò)上的工業(yè)物聯(lián)網(wǎng)（IIoT）端點(diǎn)，這些以前受隔離保護(hù)的設(shè)備的安全邊界正在坍塌。

2020年上半年美國國家脆弱性數(shù)據(jù)庫（NVD）發(fā)布了365個(gè)ICS漏洞，美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組（ICS-CERT）發(fā)布了139個(gè)ICS警報(bào)，其中71%的ICS漏洞可以通過網(wǎng)絡(luò)攻擊進(jìn)行遠(yuǎn)程操控。

大量工控系統(tǒng)漏洞、攻擊方法可以通過多種公開、半公開渠道獲取，許多技術(shù)分析報(bào)告給出了網(wǎng)絡(luò)攻擊步驟、攻擊代碼甚至攻擊工具等詳細(xì)信息，極易被黑客等不法分子利用。在互聯(lián)環(huán)境下，絕大多數(shù)工業(yè)控制系統(tǒng)在沒有防護(hù)措施的情況下，通過辦公網(wǎng)絡(luò)暴露于互聯(lián)網(wǎng)，且含有系統(tǒng)漏洞，能夠輕易被遠(yuǎn)程操控，面臨巨大安全風(fēng)險(xiǎn)。在相對隔離的環(huán)境下，工廠網(wǎng)絡(luò)內(nèi)部同樣會(huì)遭到移動(dòng)存儲(chǔ)、第三方合作伙伴網(wǎng)絡(luò)等渠道遭遇惡意代碼攻擊。

二

IT+OT融合趨勢下的「零信任」安全體系

「OT本身的安全體系進(jìn)展緩慢的重要的原因是傳統(tǒng)OT和IT的路徑不同?！笷ortinet中國區(qū)總經(jīng)理李宏凱認(rèn)為，在開放連接實(shí)現(xiàn)快速融合的同時(shí)，企業(yè)必須保證生產(chǎn)數(shù)據(jù)的機(jī)密性、完整性、可用性、安全性，以及系統(tǒng)可靠性等傳統(tǒng)的安全要求。

OT和IT在安全防御方面的側(cè)重點(diǎn)有所不同。在傳統(tǒng)的IT安全中，機(jī)密性是排在第一位的。而在OT安全領(lǐng)域，由于工業(yè)設(shè)備生命周期長、維護(hù)成本高，且需要長期不間斷運(yùn)行，所以要遵循可用性第一的穩(wěn)定原則。

Fortinet北亞區(qū)首席技術(shù)顧問譚杰表示，「工業(yè)客戶最擔(dān)心的問題往往不是機(jī)密性，而是解決方案夠不夠穩(wěn)定。對于工業(yè)企業(yè)來說，生產(chǎn)網(wǎng)絡(luò)一定不能出問題，在生產(chǎn)設(shè)備上哪怕是一秒的停頓也會(huì)造成難以計(jì)數(shù)的損失?！?/p>

具體到實(shí)施層面，面對高強(qiáng)度的APT攻擊，在考慮具體安全產(chǎn)品和技術(shù)之前，提升安全理念，構(gòu)建安全體系是OT安全建設(shè)的重中之重。在IT、OT全面融合的今天，零信任（ZTA）框架作為目前最主流的安全建設(shè)思想，同樣值得OT安全參考借鑒。

「零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時(shí)，降低其決策準(zhǔn)確度的不確定性。零信任架構(gòu)（ZTA）則是一種企業(yè)網(wǎng)絡(luò)安全的規(guī)劃，它基于零信任理念，圍繞其組件關(guān)系、工作流規(guī)劃與訪問策略構(gòu)建而成?！?/p>

ZTA框架的主要優(yōu)勢在于安全視角由攻擊面轉(zhuǎn)向保護(hù)面，安全目標(biāo)是保證持續(xù)、動(dòng)態(tài)的安全?！敢员Ｗo(hù)面為基礎(chǔ)，以持續(xù)安全為目標(biāo)，這樣的動(dòng)態(tài)防御體系與中國的新冠疫情防控十分相似。」譚杰認(rèn)為，從14天的隔離，到小區(qū)封閉的微分段，到健康碼，以及持續(xù)的態(tài)勢感知和大數(shù)據(jù)的分析，都與ZTA安全體系異曲同工。

ZTA框架中包含PEP（策略執(zhí)行點(diǎn)Policy Enforcement Point, PEP），PDP（策略決策點(diǎn) Policy Decision Point，PDP）兩大類組件。

其中PEP的建設(shè)的目標(biāo)是將策略執(zhí)行點(diǎn)覆蓋整個(gè)網(wǎng)絡(luò)，在終端、網(wǎng)絡(luò)通道、云平臺(tái)、及IT/OT應(yīng)用（API）上實(shí)現(xiàn)安全驅(qū)動(dòng)的IT/OT網(wǎng)絡(luò)。PDP一方面實(shí)現(xiàn)高級(jí)威脅防御（ATP），通過人工智能/機(jī)器學(xué)習(xí)，預(yù)測及防御攻擊、檢測未知及內(nèi)部威脅、安全風(fēng)險(xiǎn)評(píng)估識(shí)別未知風(fēng)險(xiǎn)。另一方面關(guān)注自動(dòng)化安全運(yùn)維，利用API接口連接可編排Playbook、調(diào)度大量第三方PEP，實(shí)現(xiàn)安全編排以及自動(dòng)化響應(yīng)。

三

工業(yè)互聯(lián)網(wǎng)安全方案與策略

OT和IT的融合猶如將一條高速公路接入工廠，二者脆弱性的不同給OT帶來了很大的安全風(fēng)險(xiǎn)。另一方面，因?yàn)楣た貥I(yè)務(wù)和網(wǎng)絡(luò)的認(rèn)知普及不夠，防火墻往往不能發(fā)揮最大效用。隔離以及代理在OT安全領(lǐng)域有著非常普遍的應(yīng)用，這就需要防御體系具備廣泛的工控協(xié)議支持、先進(jìn)的網(wǎng)絡(luò)隔離技術(shù)以及專業(yè)的工業(yè)安全能力等。

IT/OT融合帶來的是工業(yè)體系的全面變革，攻擊路徑和攻擊平面已經(jīng)跳出了傳統(tǒng)局限。遵循NIST模型打造前瞻性的零信任OT安全基礎(chǔ)架構(gòu)和方案，也就是Security Fabric，可以應(yīng)對無處不在的威脅。Fortinet中國區(qū)技術(shù)總監(jiān)張略表示，「Fortinet在服務(wù)芯片、汽車、電器等制造行業(yè)企業(yè)的過程中，充分考慮已知和未知威脅，結(jié)合IoT和工業(yè)互聯(lián)網(wǎng)體系各層需求，在檢測、保護(hù)、發(fā)現(xiàn)、響應(yīng)、恢復(fù)等各個(gè)環(huán)節(jié)幫助客戶建立安全防護(hù)能力?！?/p>

由IT到OT到攻擊路徑和攻擊平面

微分段隔離技術(shù)有助于讓物聯(lián)網(wǎng)環(huán)境受控，是緩解物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的可行方案之一。微分段隔離技術(shù)可以實(shí)現(xiàn)：扁平網(wǎng)絡(luò)的設(shè)計(jì)；安全可視化；控制橫向攻擊面，減小安全漏洞造成損害大面積傳播；提高所有被攻擊對象的安全性。

與傳統(tǒng)隔離技術(shù)相比，微分段隔離可以實(shí)現(xiàn)更加精細(xì)化的網(wǎng)絡(luò)安全管理，更少的漏洞和交叉感染，更低的部署與管理成本，以及更智能的風(fēng)險(xiǎn)管理聯(lián)動(dòng)機(jī)制。

采用基于零信任的細(xì)顆粒安全域劃分與設(shè)計(jì)，可以從邊界開始并擴(kuò)展到內(nèi)部網(wǎng)絡(luò)分段，更好地控制數(shù)據(jù)流，保護(hù)網(wǎng)絡(luò)免受高級(jí)威脅。在方案中，不同顏色的區(qū)域代表著不同的安全防控等級(jí)，并將物聯(lián)網(wǎng)設(shè)備和通信分為策略驅(qū)動(dòng)的群組，授予特定了的適合工業(yè)互聯(lián)網(wǎng)的基準(zhǔn)權(quán)限。同時(shí)采用高、中、低等級(jí)的訪問安全策略，部署與之對應(yīng)的安全管理產(chǎn)品，所有的流量都通過防火墻、沙盒聯(lián)動(dòng)，從而使企業(yè)能夠更好地控制設(shè)備之間不斷增加的橫向通信量。

圖注：微分段隔離解決方案，不同顏色的區(qū)域代表著不同的安全防控等級(jí)。

四

安全是數(shù)字化轉(zhuǎn)型的必修課

「我沒被攻擊的時(shí)候要你何用？被攻擊了我又要你何用？」這是很多企業(yè)對數(shù)字化安全供應(yīng)商提出過的質(zhì)疑。沒被攻擊就是沒價(jià)值，被攻擊了為什么安全產(chǎn)品沒起作用？兩個(gè)相同場景中安全廠商收到的是同一個(gè)問題，「要你何用？」

企業(yè)對安全廠商的價(jià)值質(zhì)疑，反應(yīng)了今天的安全形勢下，產(chǎn)業(yè)端對IT/OT安全重要性的忽視。設(shè)備和網(wǎng)絡(luò)安全防護(hù)就像體檢，目的是盡可能的排查和預(yù)防「疾病」。

「目前，我們的防守方還是在『補(bǔ)課』，在傳統(tǒng)的IT安全產(chǎn)品中加上一些OT的功能和特性，以此來進(jìn)行防御，這使攻防雙方的力量非常不對等?！棺T杰認(rèn)為，慢慢補(bǔ)課無法保證工業(yè)場景的數(shù)字化安全，OT安全一定要有前瞻性，一定要用目前最先進(jìn)的理念和技術(shù)武裝OT安全。

《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021-2023 年）》提出，未來三年將是工業(yè)互聯(lián)網(wǎng)的快速成長期，我國將加速推動(dòng)IT與OT網(wǎng)絡(luò)深度融合。在合規(guī)方面，工業(yè)控制系統(tǒng)需要依據(jù)不同等級(jí)的安全措施，還應(yīng)考慮「構(gòu)建縱深的防御體系」、「采取互補(bǔ)的安全措施」、「保證一致的安全強(qiáng)度」、「建立統(tǒng)一的支撐平臺(tái)」、「進(jìn)行集中的安全管理」等五方面總體性要求，保證其整體安全保護(hù)能力。

在工業(yè)互聯(lián)網(wǎng)快速落地、重大安全事故風(fēng)險(xiǎn)持續(xù)增長的背景下，企業(yè)需要依托于IT/OT融合的體系化安全解決方案，并協(xié)同合作伙伴構(gòu)建工業(yè)互聯(lián)網(wǎng)安全生態(tài)，助力工業(yè)互聯(lián)網(wǎng)用戶有效保護(hù)關(guān)鍵業(yè)務(wù)與數(shù)據(jù)資產(chǎn)，支撐業(yè)務(wù)的創(chuàng)新再造。

本文（含圖片）為合作媒體授權(quán)創(chuàng)業(yè)邦轉(zhuǎn)載，不代表創(chuàng)業(yè)邦立場，轉(zhuǎn)載請聯(lián)系原作者。如有任何疑問，請聯(lián)系editor@cyzone.cn。