【51CTO.com原創(chuàng)稿件】2010年，震網病毒襲擊了伊朗的核設施，導致離心機損壞，核計劃推遲了兩年。

2013年，紐約八大泄洪閘被攻擊。

2014年，美國密歇根的交通燈被攻擊和控制。

2015年，烏克蘭電網系統(tǒng)被攻擊導致斷電。

2017年，馬士基船運公司被勒索病毒攻擊，導致停運，損失高達16億人民幣。

2018年，臺積電引勒索病毒導致多個半導體加工工廠停產，損失高達17億人民幣。

2019年，國際鋁業(yè)劇透因遭到勒索病毒攻擊而導致停產。……

近年來，諸如以上針對工業(yè)控制系統(tǒng)的各種網絡攻擊事件正在日益增多。究其原因，我們不難發(fā)現，隨著互聯網在工業(yè)控制系統(tǒng)中的廣泛應用，Operational Technology (OT)和IT網絡的融合帶來了更多的安全風險。工業(yè)設備啟用IP成為網絡生態(tài)系統(tǒng)的一部分，這些以前受保護的隔離設備周圍的壁壘正在坍塌。

智能制造潮流下，IT與OT融合帶來新安全風險

以前，OT與IT隔離，運行專有的控制協議，運行在專有硬件和專有嵌入式操作系統(tǒng)上，由銅纜或者雙絞線連接，而現在OT與公司IT網絡互聯，采用通用Internet協議，運行在由從IT發(fā)端的通用硬件和主流IT操作系統(tǒng)上，越來越多的通過標準Wi-Fi協議連接。總之，以前完全隔離和各自專用的兩者緊密的連接在一起，帶來了更多的攻擊面。

針對OT安全攻擊，在近日舉行的媒體溝通會上，Fortinet技術總監(jiān)張略向媒體記者分析道，在OT網中，絕大多數攻擊先從IT網進入，比如IT網的病毒、釣魚郵件、勒索軟件，接著開始橫向傳播，進入到OT網中的工業(yè)控制系統(tǒng)ICS、工業(yè)控制協議和SCADA。然后會有回連黑客的C&C服務器，進行生產數據的盜取，甚至更加嚴重的破壞。事實上在每一個步驟當中，無論是IT的第一階段，還是開始橫向移動的第二階段，以及最后的回連和破壞的階段，其實都是有能力發(fā)現和阻止的。

[[284629]]

Fortinet技術總監(jiān)張略

當前哪些行業(yè)最容易受到OT攻擊呢? 對此，張略表示，制造、能源、交通運輸三大行業(yè)較為容易受到OT攻擊。其中，制造行業(yè)中的家電、汽車、芯片生產廠商的OT安全現狀更加急迫些，還有油田、電網等能源行業(yè)領域。另外，隨著5G時代的帶來，車輛的信息化程度加深，交通運輸行業(yè)也面臨更多的安全風險。

在此背景下，國內企業(yè)的OT安全防護現狀如何呢?張略為大家分享了下面這張PPT： 

另外，張略坦言，通過與國內眾多制造行業(yè)中知名企業(yè)的深入交流，國內OT安全管理目前相對較大的障礙是安全認知。因為IT與OT的管理者，在技術融合時，雙方的認知沒有先于技術而融合。這個過程中會產生誤解，或者不理解為什么一定要做區(qū)域劃分，為什么一定要做安全可視化，認知沒有達到統(tǒng)一，效果也可想而知。當然，我們也看到頭部的制造型企業(yè)，不乏意識先進，對于隔離和OT網存在的弊端有很清晰地了解，并有了解決問題的方向，這些頭部的生產企業(yè)確實是我們未來的希望之星。

“無論是對于有意識的已經開始進行設計規(guī)劃的企業(yè)，還是對于一些意識不是很強的企業(yè)，我們均保持著一塊探討，進行人員意識的培訓，并分享這些實踐，我們希望建立一個IT與OT融合狀態(tài)下安全健壯的網絡。” 張略表示。

IT與OT融合狀態(tài)下，如何構建安全健壯的網絡?

“工業(yè)4.0”趨勢下，究竟該如何應對因OT與IT融合而帶來的安全風險，構建安全健壯的網絡?在Fortinet看來，當OT和IT連接起來以后，OT安全措施和IT的措施是可以類比的，比如要進行安全域的劃分，安全通信，進行網關的控制，無線網的控制，漏洞的管理控制，這就涉及到AI和比較火熱的技術，這個過程中Fortinet都有完整的解決方案。 

當日媒體溝通會上，Fortinet正式公布新OT安全架構，以及Fortinet工控安全整體解決方案。該解決方案不僅能夠對于已知威脅提供可視化和防御能力，還可以通過防火墻與集中管理解決方案，以及與工業(yè)控制網絡與安全可見性與控制廠商Nozomi等多種集成方案的聯動來發(fā)現和阻止異常行為，并制造欺騙“迷宮網絡”，為工業(yè)企業(yè)更加放心地擁抱工業(yè)互聯網提供了可靠保障。

“通過將Fortinet的參考架構應用于工業(yè)控制Purdue模型，Fortinet能夠在儀表總線網絡、流程控制局域網、區(qū)域總控網絡、生產區(qū)域、企業(yè)環(huán)境等不同層面構建安全控制能力與分段安全保護”，張略指出：“目前，Fortinet Security Fabric安全架構已經實現了與Nozomi Networks解決方案的集成，提供了基于SCADA(數據采集與監(jiān)視控制系統(tǒng))安全的主動防御能力。”

Fortinet Security Fabric的風險管理框架在不同場景下均能提供高適應性的安全能力，這些場景包括：

針對已知威脅的可見性和分段保護：在此類場景中，Fortinet方案提供了FortiGate防火墻、FortiGuard威脅情報服務等組件，實現了從監(jiān)控網絡到流程控制網絡的主動防護，以及對于常見的ICS/SCADA協議、基于工業(yè)協議的IPS特征的識別和監(jiān)控，并可以通過集中安全管理報告實現自動化安全防護。

異常檢測和響應：FortiSIEM安全信息與事件管理解決方案可以在統(tǒng)一可擴展的解決方案中提供可見性、關聯性、自動響應和補救措施建議，FortiGate則可以提供從監(jiān)控網絡到控制網絡的主動防護，在與Nozomi對網絡的被動監(jiān)控能力融合起來之后，幫助用戶對于異常行為進行及時響應。

OT Security Fabric自動化聯動：通過與Nozomi終端 等第三方解決方案商的的聯動與集成，增強在檢測、發(fā)現、響應異常行為，并作出自動阻截攻擊的能力。

攻擊欺騙：FortiDeceptor作為一個輕量級的，專門針對OT網絡的蜜罐，可以快速創(chuàng)建一個偽造的“迷宮網絡”，以誘使攻擊者進行攻擊，進而檢測到攻擊者的活動詳細信息，以在攻擊真正造成損害之前進行遏制。

據張略介紹，OT環(huán)境與設施安全的重要性，以及物理與安全環(huán)境的復雜性決定著工控安全解決方案必須滿足在可用性、可見性、穩(wěn)定性等方面的嚴苛需求。Fortinet提供了面向工控安全嚴苛環(huán)境、滿足工業(yè)標準和合規(guī)性的軟硬件設計，不僅符合工業(yè)環(huán)境需求，還能夠在封閉網絡下進行更新，確保在任何時候都能提供穩(wěn)定的安全防護能力。

Fortinet關于OT安全的思考

記者了解到，在工控安全方面，Fortinet有著豐富的實施經驗，在幫助用戶進行安全區(qū)域劃分、網絡隔離設計、防火墻訪問控制策略設計、安全網絡規(guī)劃等方面創(chuàng)新性見解。截止目前，Fortinet已服務于制造業(yè)中的重要企業(yè)，應用了基于生產網絡等OT安全部署與實踐。

Fortinet主要有三大業(yè)務，分別是：SD-WAN、云安全、OT安全。Fortinet對OT安全的重視程度，由此可見一斑。然而，我們不可否認，觀察整個OT安全市場，收益還相對較小，Fortinet為何花費如此大的精力來做OT安全呢?

對此，張略表示：“在未來的某個時刻，OT工業(yè)互聯網安全將會成為所有人關注的焦點。而作為一家安全廠商，我們需要在安全風險爆發(fā)前準備好，把握住OT安全市場機遇，我們愿意先進行戰(zhàn)略性投入，為OT工業(yè)互聯網安全保駕護航。”

據悉，為了更好地應對OT與IT融合帶來的安全挑戰(zhàn)，近日Fortinet與四家OT專業(yè)公司攜手，擴大OT客戶可用的解決方案范圍。RAD，Indegy和SecurityMatters三位新的OT安全專家與長期合作伙伴Nozomi Networks一起提供了OT特定命令和協議的高級可見性，聯動Fortinet 安全架構，保護OT網絡在新興的工控網絡領域的安全性。這些合作伙伴通過在Fortinet的OT漏洞掃描和策略執(zhí)行中添加深度數據包檢查和上下文分析功能，增強了OT網絡安全防護能力。

【51CTO原創(chuàng)稿件，合作站點轉載請注明原文作者和出處為51CTO.com】