一个威胁四伏的OT世界：攻防爆发下的工业安全如何新生？

1776年，世界上有了第一台具备实用价值的蒸汽机，从此工业时代的鸣笛长响。数百年来，几次工业革命让机器、设备成为时代的主角，而随着智能制造下工业互联网技术（OT）与信息技术（IT）进一步交融，网络安全成为工业发展的主论调。

5月，美国最大燃油管道遭遇勒索软件攻击，导致多州进入紧急状态。供水系统、电网、管道，一个出现在运营着关键支持架构系统的OT上的漏洞，可能会引爆灾难性的安全飓风。这就是网络安全空间中，一个威胁四伏的OT世界。

5月21日，由Fortinet主办的2021年工业互联网安全发展峰会在深圳举行。来自Fortinet、IDC、亚马逊云科技、西门子、台耀科技、格力、Tenable、吉利、罗克韦尔、东方雨虹、达索系统的演讲嘉宾就工业安全问题及实践进行了分享。本文来自FreeBuf现场实录与采访体会。

IT+OT的“重构”世界，攻击平面扩大

过去，工业控制系统（ICS）和其他OT 设备都是独立部署，可以说，数据孤岛在另一个层面让安全得到保障。这种”自闭式“的安全，在IT和OT的交融下被打破。

在IDC中国工业互联网调研中，80.3%的受访用户表示已经部署或计划在未来1~3年内部署工业互联网。

随着IT和OT的融合，传感器和其他控制器成为 IT / OT 融合网络上的工业物联网（IIoT）端点，三者的交融成为明显趋势，以前备受保护的隔离设备的安全边界正在坍塌，边界信任理念荡然无存，灰犀牛和黑天鹅事件不断登场。

我们可以观察到，作为核心生产网络，OT网络逐渐成为高级黑客的攻击目标，近期的美国燃油管道勒索攻击就是一个很好的论证。诡谲的安全形势下，工业网络不仅面临攻击面扩大的挑战，而且需要应对更为复杂的网络攻击手段。

如同Fortinet高级产品经理岑义涛提到的：攻击一般以目的为导向，基本围绕国家意图、经济意图、竞争意图和黑客激进主义。而当工业给攻击者带来了更高的价值，攻击自然如影随形。目前针对工业制造业的攻击主要以国家和经济意图为主，从而引发勒索软件及APT高级复杂攻击。

工业互联网中的攻防水平不对等成为安全威胁愈演愈烈的一大原因。毕竟，当攻击来自APT、新型勒索软件、GPS干扰欺骗，BIAS、二维码伪造/篡改，而防守方依旧停留在防火墙、入侵检测系统、审计系统、网闸等传统的安全工具和防护能力水平线，这场攻防对抗从开战初期的装备来说就是不对等的，而战争赌注关系到企业核心生产网络甚至国家关键基础设施，因此，工业网络安全来不及“慢慢补课”。

目前，很多中国企业正处于OT转向开放数字化的过程当中，而眺望融合后的极为严峻的OT威胁形势，是工业制造业企业快速建立OT安全体系的前提。

IT/OT融合下的体系化安全

Fortinet中国区总经理李宏凯在开场的时候提出一个问题：如何为制造业企业提供更加完善和更加弹性的生产体系？

图：Fortinet中国区总经理李宏凯

一个结构化的框架对于行业或企业的发展有着战略性的意义，这一点在工业安全问题上同样适用。Fortinet北亚区首席技术顾问谭杰指出，OT安全，需要从一个健壮的体系开始。

目前，IT网络安全结构化框架包括了NIST网络安全框架、MITER攻击框架、SASE框架等，其中SASE框架又涵盖了CARTA（持续自适应风险与信任评估）、ZTNA（零信任网络访问）等理念与架构。如何将相对成熟的IT安全框架引入”落后“的工业网络，自然成为工业制造业需要思考的问题。

为了形成成体系的联动机制，将安全检测和威胁探测等能力实现全面融合，企业需要通过IT安全架构适配OT数字环境，将ZTA零信任等新型架构体系应用到工业网络，与OT分层模型结合，并充分考虑其“倒置CIA安全需求模型”特色。

长期的安全建设：弹性

“弹性决策是企业运营的核心，OT和IT的融合则实现了数字化工程及其核心价值——弹性的推动力。（IDC助理研究总监王军民）

Resilience，弹性。这是在网络安全发展过程中正在快速建立的一个防护状态，而将其用于工业网络也能完美契合。简单来说，弹性策略对于企业运营或者企业安全建设都有着重要意义，OT和IT的融合推动了工业数字化发展，从而反推智能工业网络在应对网络攻击时，具备更大的安全弹性（预防、抵御、快速恢复与运行的能力）。

FreeBuf和Fortinet中国区技术总监张略谈到了对“弹性OT安全体系”的理解：

1、可伸缩性，可以实现不同规模的防护。

2、响应速度/恢复速度。尤其是针对潜伏期长、攻击猛烈的高级攻击，需要做到比攻击者跑得更快，通过自动化与人工介入的手段进行前期阻断，提前解决威胁。

图：Fortinet中国区技术总监张略

目前，零信任作为相对成熟的安全理念已经在不同行业的IT环境中有了很多应用，而通过微分段划分网络、动态持续的身份验证及权限授予、体系化的信任策略，将零信任理念及架构落到工业网络中对于实现弹性网络同样具备重要意义。

以Fortinet Security Fabric工控安全整体解决方案为例，将落地阶段分为8步，从纵深多个层面建立“航母群”级别的安全防护能力，为网络安全增加弹性。工业企业也可以参考这一大致思路：

可视化：从监控网络到流程控制网络的可视化，达到通过识别攻击平面、防御已知威胁，并为快速响应提供操作指；

集中管理：针对Purdue模型中识别攻击平面、防御已知威胁、快速响应的需求；

安全域划分：在设计动态安全架构模型时采用特定工作负载和应用程序流量模式的微分段隔离技术，将物联网设备和通信分为策略驱动的群组，并授予特定物联网风险适合的基准权限；

网络准入：基于零信任理念，提供用户认证（多因素）、设备认证（NAC）、 终端防御和内部威胁检测（UEBA） 为一体的网络注入控制技术；

抵御已知与未知威胁：通过使用集成度高、自动化、细颗粒度检测、防御和响应系统，替代传统需要消耗大量时间的检测和手动响应机制。

分析定位：信任评估（Trust Assessment）可以帮助组织对寻求网络访问的所有用户和设备进行识别和分类，评估它们的内部安全策略合规性状态，自动将其分配到控制区，然后持续监控其在连接和非连接网络时的活动。

OT态势感知与响应：提供从监控网络到控制网络的主动防护，并与Tenable, Nozomi Networks等第三方 OT DPI检测工具协作，对于异常行为进行及时响应；

信任评估：通过NOC/SOC，从 IoT 到云，收集事件和自动化事件响应方面进行集成。

最后，在OT与IT融合，传统边界消亡，分布式网络、边缘计算不断冲击传统IT架构的背景下，工业网络的弹性必然面临巨大考验，此时，体系化、结构化的安全框架快速进入工业企业视线，并且将OT网络安全防护水位线提升至IT同一甚至更高的水平。

未来，加强网络弹性将是工业安全的发展方向。