恒景動態(tài)
四大板塊構(gòu)建縱深防御體系,保障工業(yè)網(wǎng)絡(luò)安全
隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速與工業(yè)4.0物聯(lián)網(wǎng)的興起,以往封閉在廠房、車間的OT設(shè)備更多的與IT網(wǎng)絡(luò)、互聯(lián)網(wǎng)和云連接,在提高了生產(chǎn)效率的同時,也為互聯(lián)網(wǎng)的威脅進入并攻擊OT網(wǎng)域提供了通道。近十年間,工業(yè) OT 安全呈現(xiàn)攻擊越來越頻繁、攻擊手法平民化、造成損失越來越大的三大趨勢,給企業(yè)OT安全帶來了巨大的挑戰(zhàn)。
在此背景下,Fortinet 亞太區(qū)工業(yè)安全高級顧問王海濤在“FortiOS 安全無所不達”系列講座第七期——《構(gòu)建縱深防御體系,保障工業(yè)網(wǎng)絡(luò)安全》的講座中,以普渡模型為參考架構(gòu),層次化的深入分析了工業(yè) OT 網(wǎng)絡(luò)面臨的安全問題,并針對五大工業(yè) OT 網(wǎng)絡(luò)安全問題提出了對應(yīng)的最佳實踐,從技術(shù)的角度指導(dǎo)、規(guī)范企業(yè)OT網(wǎng)絡(luò)安全建設(shè),也為FortiOS 安全無所不達” 系列講座畫上了圓滿的句號。
工業(yè) OT 網(wǎng)絡(luò)面臨五大安全問題
為什么OT 網(wǎng)絡(luò)讓攻擊者有機可乘?王海濤認為首先要從 OT 網(wǎng)絡(luò)自身特性、弱點說起。而要真正認清 OT 網(wǎng)絡(luò),則要從專業(yè)的 OT 網(wǎng)絡(luò)架構(gòu)——普渡模型入手。普渡模型是相關(guān)國際標準、國內(nèi)標準的基礎(chǔ),也是企業(yè)認識、理清工業(yè) OT 網(wǎng)絡(luò)最常用的參考架構(gòu)。該模型根據(jù)業(yè)務(wù)功能和覆蓋范圍將整個 OT 網(wǎng)絡(luò)進行了層次化劃分,這種層次化的思維也把OT網(wǎng)絡(luò)安全問題分解為了五大類:
首先就是現(xiàn)場設(shè)備層,缺乏 OT 設(shè)備及 OT 協(xié)議可視化,安全設(shè)備部署沒涉及“最后一公里”,一旦一臺機器中毒,容易導(dǎo)致全廠停產(chǎn)。 第二是陳舊的和非標準化的 OT 系統(tǒng)和應(yīng)用有很大的漏洞風(fēng)險,且很多系統(tǒng)和設(shè)備已經(jīng)過了廠商的安全支持周期,比如Windows XP系統(tǒng)仍然在大量工業(yè)場景使用。 第三是本地和遠程登陸人員和設(shè)備缺乏認證,無登錄授權(quán)認證和日志記錄,也就難以定位威脅和調(diào)查取證。 第四是缺乏 OT 安全運維管理中心,意味著 OT 網(wǎng)絡(luò)的日常運營狀態(tài)缺乏統(tǒng)一監(jiān)管,也不存在 OT 應(yīng)急響應(yīng)方案。 第五是物聯(lián)網(wǎng)( IoT )設(shè)備使用無線或 LTE 網(wǎng)絡(luò)與 IT 網(wǎng)絡(luò)、互聯(lián)網(wǎng)和云連接,這些設(shè)備普遍缺乏帶外管理或?qū)哟位陌踩珔^(qū)域劃分,互聯(lián)網(wǎng)威脅很容易在這樣的 OT 網(wǎng)絡(luò)散播。
最佳 OT 安全實踐打造縱深防御體系
普渡模型層次化思維不但便于人們分解 OT 網(wǎng)絡(luò)安全問題,也為組織制定“各個擊破”的威脅應(yīng)對策略提供了基礎(chǔ)。Fortinet提出了 OT 網(wǎng)絡(luò)安全建設(shè)的5個最佳實踐,也對應(yīng)等保 2.0 工業(yè)控制系統(tǒng)安全要求,包括安全網(wǎng)絡(luò)邊界、安全網(wǎng)絡(luò)運維、安全計算環(huán)境和安全網(wǎng)絡(luò)通訊。
針對設(shè)備的可視化,最佳實踐推薦進行 OT 網(wǎng)絡(luò)區(qū)域和管道劃分,進行網(wǎng)絡(luò)分段和微分段;針對漏洞的利用,需要進行 OT 設(shè)備的 IPS 入侵防御;針對 OT 設(shè)備和人員的接入管理,要求基于角色的認證和授權(quán);針對安全的運維,需要進行安全運營中心的建設(shè);針對來自互聯(lián)網(wǎng)的威脅,要求 IT 和 OT 進行單獨組網(wǎng)以及控制,并對 OT 通訊數(shù)據(jù)加密。
王海濤進一步指出,最佳實踐不僅要從 OT 網(wǎng)絡(luò)自身出發(fā),還要從攻擊者視角入手找到防護薄弱點。在熟知網(wǎng)絡(luò)攻擊流程的基礎(chǔ)上,構(gòu)建一套行之有效的縱深防御體系。從攻擊者最初的社會工程、釣魚郵件到載荷投遞、安裝、植入,到最后進行外聯(lián)活動和入侵破壞,整個過程時長不定、方式不同、目標各異,相應(yīng)的組織對其監(jiān)測和阻止的方法也必然是不同的。
比如在載荷投遞階段,能夠通過沙盒文件掃描的方式進行文件的監(jiān)測和過濾;在漏洞利用階段,通過具有 IPS 入侵檢測能力的下一代防火墻進行檢測和阻止;在外聯(lián)活動階段,通過用戶終端的 EDR 系統(tǒng)對終端的行為或者進程進行分析來阻止威脅。
企業(yè)將各司其職的這些安全產(chǎn)品部署在不同防護層,建立一套“洋蔥模型”一樣的縱深防御體系,把網(wǎng)絡(luò)安全建設(shè)統(tǒng)一在一起,通過部署手段間的聯(lián)動打破整個OT 網(wǎng)絡(luò)攻擊鏈,在威脅實施數(shù)據(jù)層的破壞之前、實質(zhì)影響 OT 過程控制之前,進行有效的,及時的阻止。
Fortinet 四大板塊構(gòu)建 OT 安全方案
目前,F(xiàn)ortinet 的 OT 網(wǎng)絡(luò)解決方案已經(jīng)實現(xiàn)了對這套縱深防御體系的完整部署和全面覆蓋,包含安全組網(wǎng)、準入控制、安全運維和安全服務(wù)四大板塊產(chǎn)品和功能。
安全組網(wǎng)板塊包含的產(chǎn)品主要有FortiGate 下一代防火墻、 FortiSwitch 安全交換機、FortiAP 安全接入點,以及支持云端部署的FortiGate-VM,還有基于 FortiGate 的 SD-WAN 解決方案。 準入控制板塊主要產(chǎn)品和功能有 FortiNAC 網(wǎng)絡(luò)準入控制,F(xiàn)ortiAuthenticator多因素的驗證,以及 Fortinet ZTNA解決方案,在實現(xiàn)零信任網(wǎng)絡(luò)建立的同時,也支持企業(yè)目前廣泛使用的 SSL VPN 等。 安全運維板塊主要產(chǎn)品和功能有 FortiSIEM 安全事件管理、 FortiManager 中心化的設(shè)備管理以及 FortiAnalyzer 中心化的日志管理,終端檢測和響應(yīng)(EDR) 和 安全編排自動化響應(yīng)(SOAR)產(chǎn)品。 安全服務(wù)板塊主要包含訂閱服務(wù)功能,針對 OT 網(wǎng)絡(luò),板塊內(nèi)有 500 多個針對 OT 的入侵檢測數(shù)字簽名,以及 2000 多個針對 OT 的應(yīng)用協(xié)議識別和控制簽名。
這四大板塊中所有產(chǎn)品和功能,都是基于統(tǒng)一的操作系統(tǒng) FortiOS ,所以這些產(chǎn)品和功能之間能夠進行非常有效的聯(lián)動以及原生的集成,這樣也能夠幫助企業(yè)構(gòu)建效益最大化的縱深防御體系。
三大 OT 安全場景應(yīng)用最佳實踐
Fortinet縱深防御方案覆蓋包含以下三大OT安全場景應(yīng)用的最佳實踐,分別是:基于意圖的 OT 網(wǎng)絡(luò)微分段、設(shè)備及人員的準入認證與高效和簡潔的 OT 安全運維。
基于意圖的 OT 網(wǎng)絡(luò)微分段。該實踐采用 FortiGate、FortiSwitch 和 FortiAP等產(chǎn)品和功能實現(xiàn)網(wǎng)絡(luò)分段、微分段,目的是建立不同需求的邏輯安全區(qū)域和管道,結(jié)合FortiGuard 對2000多個工控協(xié)議、及60多種工控指令的深度識別能力,實現(xiàn)同一VLAN區(qū)域內(nèi)、不同設(shè)備間流量的精準管控,避免威脅的橫向移動。
設(shè)備及人員的準入認證。該實踐采用 FortiNAC、FortiAuthenticator 和 FortiToken 等產(chǎn)品和功能實現(xiàn)移動設(shè)備、新進設(shè)備或者是維護設(shè)備等不同類型、不同區(qū)屬的網(wǎng)絡(luò)動態(tài)接入控制。結(jié)合網(wǎng)絡(luò)微分段該實踐能夠?qū)崿F(xiàn)設(shè)備自動歸區(qū)、自動應(yīng)用區(qū)域策略以及自動接入或屏蔽。同時對于人員認證,F(xiàn)ortinet方案通過多因素認證和多重認證結(jié)合,基于“最小特權(quán)原則”,實現(xiàn)對不同人員、不同用戶組和不同場景的登錄認證及應(yīng)用權(quán)限的管控。
高效和簡潔的 OT 安全運維。該實踐主要基于 FortiSIEM 安全信息事件管理系統(tǒng)。該系統(tǒng)在對全局安全信息和事件廣泛采集的基礎(chǔ)上,通過數(shù)據(jù)的泛化和豐富化預(yù)處理,匹配預(yù)制的告警規(guī)則,進而實現(xiàn)對事件和告警的自動化分類和處置,協(xié)助減少業(yè)務(wù)的停機時間,提升企業(yè)的整體運維效率。
Fortinet OT 方案五大優(yōu)勢應(yīng)對威脅
Fortinet OT安全解決方案屢次獲得 Westlands Advisory、Frost & Sullivan 等權(quán)威第三方機構(gòu)的廣泛認可。這不僅僅歸功于優(yōu)質(zhì)的體系化產(chǎn)品和功能,還有活躍且不斷發(fā)展的合作伙伴生態(tài)系統(tǒng),能夠有效解決 OT 網(wǎng)絡(luò)環(huán)境多供應(yīng)商、多平臺部署、多產(chǎn)品共存的集成挑戰(zhàn),通過開放生態(tài)和API技術(shù)等實現(xiàn)有效集成和高效運維。
總結(jié)來說,F(xiàn)ortinet OT安全解決方案具有“產(chǎn)品互聯(lián)和安全功能集成”、“IDS檢測與 IPS防護結(jié)合”、“專有工業(yè)加固安全設(shè)備認證”、“全球威脅情報網(wǎng)絡(luò)支持” 以及“擁有全球廣泛 OT 行業(yè)成功案例”等五大優(yōu)勢,這亦是Fortinet OT 安全解決方案收獲行業(yè)和客戶點贊的基礎(chǔ)。未來,F(xiàn)ortinet 還將繼續(xù)看好 OT 網(wǎng)絡(luò)安全的發(fā)展,并持續(xù)加大在 OT 安全領(lǐng)域的投入,保障更多 OT 場景下客戶的網(wǎng)絡(luò)安全。
要了解更多信息,請關(guān)注武漢恒景科技有限公司微信公眾號,或留言聯(lián)系我們。
-
最新動態(tài)
-
光傳感產(chǎn)品 Niagara Bypass交換機 Netscout 網(wǎng)絡(luò)設(shè)備 Uila 虛擬化性能監(jiān)控 Fortinet 網(wǎng)絡(luò)安全 iRecovery網(wǎng)絡(luò)故障自愈系統(tǒng) NetAlly手持儀表 Napatech 網(wǎng)絡(luò)加速卡 恒景數(shù)據(jù)包中轉(zhuǎn)交換機 思科Cisco 光電模塊 星融元 安立Anritsu Mellanox交換機 安全加速器
-
Niagara Networks解決方案 Netscout 解決方案 Uila解決方案 FORTINET解決方案 iRecovery 網(wǎng)絡(luò)故障自愈系統(tǒng) NetAlly解決方案 MultiLane端口測試解決方案
-
公司介紹 廠商介紹 聯(lián)系我們 加入我們 最新動態(tài)
郵箱 y.k@whpermanent.com
電話 027-87569272
地址 湖北省武漢市洪山區(qū)文化大道555號融創(chuàng)智谷A10-5
關(guān)注恒景
獲取最新案例及解決方案