從防火墻到零信任 保障關(guān)鍵OT數(shù)據(jù)安全進(jìn)入信任計(jì)算時(shí)代

前言

兩百多年前，工程師只要看住蒸汽壓力表和機(jī)械閥門，就能確保系統(tǒng)安全；今天，哪怕一條壓縮機(jī)曲線被遠(yuǎn)在地球另一端的惡意指令篡改，都可能導(dǎo)致整批航空葉片報(bào)廢。

數(shù)據(jù)是21世紀(jì)工業(yè)的“血液”，但當(dāng)它通過(guò)Wi-Fi、藍(lán)牙、5G甚至某顆被遺忘的傳感器向外流淌時(shí)，這條生命線也可能瞬間變成“絞索”。Fortinet認(rèn)為，對(duì)于OT網(wǎng)絡(luò)安全而言，防火墻只是漫長(zhǎng)防線的起點(diǎn)，真正的較量在于在每一次握手前重新計(jì)算信任。

無(wú)連接到無(wú)所不連接：OT系統(tǒng)的新時(shí)代安全困局

工業(yè)控制系統(tǒng)（ICS）誕生于無(wú)連接年代，其操作系統(tǒng)與協(xié)議棧從未設(shè)想與成千上萬(wàn)的節(jié)點(diǎn)握手，更遑論抵御APT攻擊或勒索軟件。當(dāng)現(xiàn)場(chǎng)無(wú)線化、遠(yuǎn)程化成為常態(tài)，攻擊面從目力所及擴(kuò)展到全球可達(dá)。

拇指大小、售價(jià)幾十元的溫振傳感器在過(guò)去三年被OEM和第三方維保公司大量貼附在設(shè)備外殼或嵌入軸承座里，用于遠(yuǎn)程監(jiān)測(cè)振動(dòng)和溫度。它們往往自帶蜂窩模組或藍(lán)牙網(wǎng)關(guān)，出廠默認(rèn)密碼從未修改，甚至根本沒(méi)有密碼。這種“影子傳感器”的普遍存在，無(wú)形中打開(kāi)了無(wú)數(shù)條ICS的側(cè)信道。

同時(shí)，在高端制造領(lǐng)域，私有5G等網(wǎng)絡(luò)正在取代傳統(tǒng)Wi-Fi網(wǎng)格，一顆高功率5G接入點(diǎn)即可覆蓋數(shù)十萬(wàn)平方米，讓AGV和機(jī)械臂永遠(yuǎn)在線。5G帶來(lái)的不僅是帶寬，還有新的偽基站風(fēng)險(xiǎn)——攻擊者不再需要潛入廠房，只要在圍墻外架設(shè)一臺(tái)偽基站，就能把終端重定向到惡意核心網(wǎng)。

零信任遠(yuǎn)程訪問(wèn)：每一次握手都重新計(jì)算風(fēng)險(xiǎn)

從無(wú)連接到無(wú)所不連接，OT系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)也迎來(lái)了最大的挑戰(zhàn)，傳統(tǒng)防火墻在這個(gè)時(shí)代猶如“馬奇諾防線”有力無(wú)處使。

面對(duì)OT系統(tǒng)數(shù)據(jù)無(wú)處不在，如何確定保護(hù)優(yōu)先級(jí)的核心挑戰(zhàn)，F(xiàn)ortinet建議企業(yè)采用"皇冠珠寶"防護(hù)體系，亦即將全部OT資產(chǎn)按重要性實(shí)施分級(jí)管理：關(guān)鍵核心設(shè)備與系統(tǒng)應(yīng)用納入零信任微隔離區(qū)，重要資產(chǎn)劃入強(qiáng)化監(jiān)控區(qū)，普通資產(chǎn)采用標(biāo)準(zhǔn)化基線防護(hù)。

Fortinet零信任解決方案能夠構(gòu)建 OT 資產(chǎn)全景視圖和補(bǔ)償控制措施，確保實(shí)現(xiàn) OT 網(wǎng)絡(luò)全局可視化，迅速識(shí)別并鎖定關(guān)鍵設(shè)備及易受攻擊目標(biāo)，并實(shí)施有效的防御加固措施。針對(duì)敏感 OT 設(shè)備，量身定制防護(hù)性補(bǔ)償控制措施。同時(shí)，利用協(xié)議感知、系統(tǒng)間交互分析及終端監(jiān)控等優(yōu)勢(shì)功能，精準(zhǔn)識(shí)別易受攻擊資產(chǎn)入侵風(fēng)險(xiǎn)，有效防御潛在威脅。

此外，F(xiàn)ortinet憑借超過(guò)10年的AI/ML經(jīng)驗(yàn)，構(gòu)建了包括6代機(jī)器學(xué)習(xí)技術(shù)和59項(xiàng)AI專利在內(nèi)的強(qiáng)大技術(shù)體系，覆蓋從智能網(wǎng)絡(luò)攻擊防御到惡意軟件檢測(cè)，再到自動(dòng)化威脅狩獵與響應(yīng)，同時(shí)其產(chǎn)品組合均深度融合了AI能力，能夠自動(dòng)識(shí)別、預(yù)測(cè)并應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)威脅，確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全。

構(gòu)建架構(gòu)核心關(guān)鍵：統(tǒng)一平臺(tái)筑牢OT網(wǎng)絡(luò)安全

采用平臺(tái)方法構(gòu)建整體OT網(wǎng)絡(luò)安全架構(gòu)至關(guān)重要，F(xiàn)ortinet 圍繞Security Fabric統(tǒng)一平臺(tái)構(gòu)建基礎(chǔ)驅(qū)動(dòng)層（ASIC、AI與生態(tài)系統(tǒng)支撐）、整合與融合層（FortiOS與Security Fabric）、戰(zhàn)略能力層（安全網(wǎng)絡(luò)、統(tǒng)一SASE、AI驅(qū)動(dòng)的安全運(yùn)營(yíng)）三層安全架構(gòu)，實(shí)現(xiàn)OT網(wǎng)絡(luò)安全從硬件到戰(zhàn)略的全棧防護(hù)。

全體系通過(guò)Security Fabric安全平臺(tái)實(shí)現(xiàn)深度聯(lián)動(dòng)，當(dāng)智能組網(wǎng)系統(tǒng)感知流量異常時(shí)，自動(dòng)觸發(fā)安全策略全球同步更新；云防護(hù)平臺(tái)實(shí)時(shí)將攻擊特征同步至AI運(yùn)維中心；依托14,300名技術(shù)專家與10萬(wàn)+合作伙伴構(gòu)建的運(yùn)維矩陣，形成“終端威脅檢測(cè)→全球策略聯(lián)動(dòng)→跨域自愈修復(fù)”的三級(jí)響應(yīng)閉環(huán)，為工業(yè)企業(yè)打造無(wú)界安全拓展體系。

結(jié)語(yǔ)

當(dāng)傳感器繼續(xù)降價(jià)、5G基站繼續(xù)擴(kuò)散、勒索軟件繼續(xù)迭代，留給工業(yè)的安全窗口只會(huì)越來(lái)越窄。Fortinet的工業(yè)零信任網(wǎng)絡(luò)安全哲學(xué)是：在數(shù)據(jù)流動(dòng)加速的時(shí)代，信任計(jì)算必須精細(xì)化——每一次連接請(qǐng)求都要被重新驗(yàn)證，每一條工藝配方都要被分級(jí)守護(hù)。唯有如此，數(shù)據(jù)這條生命線才能真正成為永不斷流的生命血液，而不是隨時(shí)可能斷裂的絲線。