工業(yè)互聯(lián)網(wǎng)的發(fā)展增強(qiáng)了基礎(chǔ)設(shè)施的自動(dòng)化控制、可視化、以及數(shù)據(jù)洞察能力，但同樣也引入了更加復(fù)雜的安全環(huán)境，用戶將面臨著網(wǎng)絡(luò)攻擊直達(dá)生產(chǎn)一線的高危風(fēng)險(xiǎn)。

近日，Fortinet正式公布最新的Operational Technology(OT)安全架構(gòu)，以及Fortinet工控安全整體解決方案。該解決方案不僅能夠?qū)τ谝阎{提供可視化和防御能力，還可以通過防火墻與集中管理解決方案，以及與工業(yè)控制網(wǎng)絡(luò)與安全可見性與控制領(lǐng)導(dǎo)廠商Nozomi等多種集成方案的聯(lián)動(dòng)來發(fā)現(xiàn)和阻止異常行為，并制造欺騙“迷宮網(wǎng)絡(luò)”，為工業(yè)企業(yè)更加放心地?fù)肀?a href="http://www.qzkangyuan.com/cnidc/idcnews/txzx/2019/31686.html">工業(yè)互聯(lián)網(wǎng)提供了可靠保障。

OT安全威脅帶來災(zāi)難性損失

為了獲取更深入的智能數(shù)據(jù)洞察，互聯(lián)網(wǎng)可訪問的工業(yè)控制系統(tǒng)（ICS）數(shù)量每年都在增加，其集成的聯(lián)網(wǎng)終端在數(shù)量與種類上也不斷到達(dá)新高，這讓ICS處于巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之中。ICS系統(tǒng)牽一發(fā)而動(dòng)全身，比如發(fā)電設(shè)施、熱力供應(yīng)設(shè)施、污水處理設(shè)施等關(guān)鍵基礎(chǔ)設(shè)施，一旦因?yàn)榫W(wǎng)絡(luò)攻擊而中斷，云主機(jī)租用，不僅會(huì)帶來不利的經(jīng)濟(jì)影響，還可能導(dǎo)致災(zāi)難性的生命損失。

國際權(quán)威機(jī)構(gòu)調(diào)查結(jié)果顯示，ICS 6大類最常見的漏洞為網(wǎng)絡(luò)邊界保護(hù)、識(shí)別和認(rèn)證、資源分配、物理訪問控制、帳戶管理和基礎(chǔ)功能，這些問題占總問題的三分之一。其中，企業(yè)和ICS網(wǎng)絡(luò)之間的邊界隔離不足，以及無法檢測(cè)到關(guān)鍵系統(tǒng)非法訪問活動(dòng)是最常見的弱點(diǎn)。而針對(duì)這些安全漏洞，網(wǎng)絡(luò)攻擊者正在利用不斷進(jìn)化的惡意軟件，對(duì)網(wǎng)絡(luò)上暴露的工控系統(tǒng)發(fā)動(dòng)攻擊。

Fortinet技術(shù)總監(jiān)張略表示：“近兩年頻繁發(fā)生的船運(yùn)公司、半導(dǎo)體加工廠、鋁業(yè)公司因?yàn)槔账鞑《径．a(chǎn)，足以證明關(guān)鍵基礎(chǔ)設(shè)施架構(gòu)被攻擊的危險(xiǎn)真實(shí)存在。在ICS數(shù)字化攻擊鏈中，網(wǎng)絡(luò)攻擊者往往制定了周密的計(jì)劃，并通過‘準(zhǔn)備—數(shù)字化滲透—標(biāo)準(zhǔn)攻擊—攻擊開發(fā)’和‘調(diào)優(yōu)—驗(yàn)證—ICS攻擊’等方式來執(zhí)行攻擊計(jì)劃。由于組織嚴(yán)密、準(zhǔn)備充分，工業(yè)企業(yè)很難用現(xiàn)有技術(shù)手段形成有效防御。”

基于Fortinet Security Fabric的工控風(fēng)險(xiǎn)管理框架

“通過將Fortinet的參考架構(gòu)應(yīng)用于工業(yè)控制Purdue模型，Fortinet能夠在儀表總線網(wǎng)絡(luò)、流程控制局域網(wǎng)、區(qū)域總控網(wǎng)絡(luò)、生產(chǎn)區(qū)域、企業(yè)環(huán)境等不同層面構(gòu)建安全控制能力與分段安全保護(hù)”， 張略指出，“目前，Fortinet Security Fabric安全架構(gòu)已經(jīng)實(shí)現(xiàn)了與Nozomi Networks解決方案的集成，提供了基于SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）安全的主動(dòng)防御能力。”

Fortinet Security Fabric的風(fēng)險(xiǎn)管理框架在不同場(chǎng)景下均能提供高適應(yīng)性的安全能力，這些場(chǎng)景包括：
 
•  針對(duì)已知威脅的可見性和分段保護(hù):在此類場(chǎng)景中，Fortinet方案提供了FortiGate防火墻、FortiGuard威脅情報(bào)服務(wù)等組件，實(shí)現(xiàn)了從監(jiān)控網(wǎng)絡(luò)到流程控制網(wǎng)絡(luò)的主動(dòng)防護(hù)，以及對(duì)于常見的ICS/SCADA協(xié)議、基于工業(yè)協(xié)議的IPS特征的識(shí)別和監(jiān)控，并可以通過集中安全管理報(bào)告實(shí)現(xiàn)自動(dòng)化安全防護(hù)。

•  異常檢測(cè)和響應(yīng)：FortiSIEM安全信息與事件管理解決方案可以在統(tǒng)一可擴(kuò)展的解決方案中提供可見性、關(guān)聯(lián)性、自動(dòng)響應(yīng)和補(bǔ)救措施建議，歐洲服務(wù)器租用，F(xiàn)ortiGate則可以提供從監(jiān)控網(wǎng)絡(luò)到控制網(wǎng)絡(luò)的主動(dòng)防護(hù)，在與Nozomi對(duì)網(wǎng)絡(luò)的被動(dòng)監(jiān)控能力融合起來之后，幫助用戶對(duì)于異常行為進(jìn)行及時(shí)響應(yīng)。

•  OT Security Fabric自動(dòng)化聯(lián)動(dòng)：通過與Nozomi終端等第三方解決方案商的的聯(lián)動(dòng)與集成，增強(qiáng)在檢測(cè)、發(fā)現(xiàn)、響應(yīng)異常行為，并作出自動(dòng)阻截攻擊的能力。

•  攻擊欺騙：FortiDeceptor作為一個(gè)輕量級(jí)的，專門針對(duì)OT網(wǎng)絡(luò)的蜜罐，可以快速創(chuàng)建一個(gè)偽造的“迷宮網(wǎng)絡(luò)”，以誘使攻擊者進(jìn)行攻擊，進(jìn)而檢測(cè)到攻擊者的活動(dòng)詳細(xì)信息，以在攻擊真正造成損害之前進(jìn)行遏制。
 
Fortinet 為工業(yè)互聯(lián)網(wǎng)安全護(hù)航 

OT環(huán)境與設(shè)施安全的重要性，以及物理與安全環(huán)境的復(fù)雜性決定著工控安全解決方案必須滿足在可用性、可見性、穩(wěn)定性等方面的嚴(yán)苛需求。Fortinet提供了面向工控安全嚴(yán)苛環(huán)境、滿足工業(yè)標(biāo)準(zhǔn)和合規(guī)性的軟硬件設(shè)計(jì)，不僅符合工業(yè)環(huán)境需求，還能夠在封閉網(wǎng)絡(luò)下進(jìn)行更新，確保在任何時(shí)候都能提供穩(wěn)定的安全防護(hù)能力。

“Fortinet有著豐富的工控安全實(shí)施經(jīng)驗(yàn)，在幫助用戶進(jìn)行安全區(qū)域劃分、網(wǎng)絡(luò)隔離設(shè)計(jì)、防火墻訪問控制策略設(shè)計(jì)、安全網(wǎng)絡(luò)規(guī)劃等方面獨(dú)到的見解；為OT工業(yè)互聯(lián)網(wǎng)安全保保駕護(hù)航。”張略表示。