随着企業數字化轉型的加速與工業4.0物聯網的興起，以往封閉在廠房、車間的OT設備更多的與IT網絡、互聯網和雲連接，在提高了生産效率的同時，也為互聯網的威脅進入并攻擊OT網域提供了通道。近十年間，工業 OT 安全呈現攻擊越來越頻繁、攻擊手法平民化、造成損失越來越大的三大趨勢，給企業OT安全帶來了巨大的挑戰。

在此背景下，Fortinet 亞太區工業安全高級顧問王海濤在“FortiOS 安全無所不達”系列講座第七期——《構建縱深防禦體系，保障工業網絡安全》的講座中，以普渡模型為參考架構，層次化的深入分析了工業 OT 網絡面臨的安全問題，并針對五大工業 OT 網絡安全問題提出了對應的最佳實踐，從技術的角度指導、規範企業OT網絡安全建設，也為FortiOS 安全無所不達” 系列講座畫上了圓滿的句号。

為什麼OT 網絡讓攻擊者有機可乘？王海濤認為首先要從 OT 網絡自身特性、弱點說起。而要真正認清 OT 網絡，則要從專業的 OT 網絡架構——普渡模型入手。普渡模型是相關國際标準、國内标準的基礎，也是企業認識、理清工業 OT 網絡最常用的參考架構。該模型根據業務功能和覆蓋範圍将整個 OT 網絡進行了層次化劃分，這種層次化的思維也把OT網絡安全問題分解為了五大類：

首先就是現場設備層，缺乏 OT 設備及 OT 協議可視化，安全設備部署沒涉及“最後一公裡”，一旦一台機器中毒，容易導緻全廠停産。

第二是陳舊的和非标準化的 OT 系統和應用有很大的漏洞風險，且很多系統和設備已經過了廠商的安全支持周期，比如Windows XP系統仍然在大量工業場景使用。

第三是本地和遠程登陸人員和設備缺乏認證，無登錄授權認證和日志記錄，也就難以定位威脅和調查取證。

第四是缺乏 OT 安全運維管理中心，意味着 OT 網絡的日常運營狀态缺乏統一監管，也不存在 OT 應急響應方案。

第五是物聯網（ IoT ）設備使用無線或 LTE 網絡與 IT 網絡、互聯網和雲連接，這些設備普遍缺乏帶外管理或層次化的安全區域劃分，互聯網威脅很容易在這樣的 OT 網絡散播。

普渡模型層次化思維不但便于人們分解 OT 網絡安全問題，也為組織制定“各個擊破”的威脅應對策略提供了基礎。Fortinet提出了 OT 網絡安全建設的5個最佳實踐，也對應等保 2.0 工業控制系統安全要求，包括安全網絡邊界、安全網絡運維、安全計算環境和安全網絡通訊。

針對設備的可視化，最佳實踐推薦進行 OT 網絡區域和管道劃分，進行網絡分段和微分段；針對漏洞的利用，需要進行 OT 設備的 IPS 入侵防禦；針對 OT 設備和人員的接入管理，要求基于角色的認證和授權；針對安全的運維，需要進行安全運營中心的建設；針對來自互聯網的威脅，要求 IT 和 OT 進行單獨組網以及控制，并對 OT 通訊數據加密。

王海濤進一步指出，最佳實踐不僅要從 OT 網絡自身出發，還要從攻擊者視角入手找到防護薄弱點。在熟知網絡攻擊流程的基礎上，構建一套行之有效的縱深防禦體系。從攻擊者最初的社會工程、釣魚郵件到載荷投遞、安裝、植入，到最後進行外聯活動和入侵破壞，整個過程時長不定、方式不同、目标各異，相應的組織對其監測和阻止的方法也必然是不同的。

比如在載荷投遞階段，能夠通過沙盒文件掃描的方式進行文件的監測和過濾；在漏洞利用階段，通過具有 IPS 入侵檢測能力的下一代防火牆進行檢測和阻止；在外聯活動階段，通過用戶終端的 EDR 系統對終端的行為或者進程進行分析來阻止威脅。

企業将各司其職的這些安全産品部署在不同防護層，建立一套“洋蔥模型”一樣的縱深防禦體系，把網絡安全建設統一在一起，通過部署手段間的聯動打破整個OT 網絡攻擊鍊，在威脅實施數據層的破壞之前、實質影響 OT 過程控制之前，進行有效的，及時的阻止。

目前，Fortinet 的 OT 網絡解決方案已經實現了對這套縱深防禦體系的完整部署和全面覆蓋，包含安全組網、準入控制、安全運維和安全服務四大闆塊産品和功能。

安全組網闆塊包含的産品主要有FortiGate 下一代防火牆、 FortiSwitch 安全交換機、FortiAP 安全接入點，以及支持雲端部署的FortiGate-VM，還有基于 FortiGate 的 SD-WAN 解決方案。

準入控制闆塊主要産品和功能有 FortiNAC 網絡準入控制，FortiAuthenticator多因素的驗證，以及 Fortinet ZTNA解決方案，在實現零信任網絡建立的同時，也支持企業目前廣泛使用的 SSL VPN 等。

安全運維闆塊主要産品和功能有 FortiSIEM 安全事件管理、 FortiManager 中心化的設備管理以及 FortiAnalyzer 中心化的日志管理，終端檢測和響應(EDR) 和 安全編排自動化響應（SOAR）産品。

安全服務闆塊主要包含訂閱服務功能，針對 OT 網絡，闆塊内有 500 多個針對 OT 的入侵檢測數字簽名，以及 2000 多個針對 OT 的應用協議識别和控制簽名。

這四大闆塊中所有産品和功能，都是基于統一的操作系統 FortiOS ，所以這些産品和功能之間能夠進行非常有效的聯動以及原生的集成，這樣也能夠幫助企業構建效益最大化的縱深防禦體系。

Fortinet縱深防禦方案覆蓋包含以下三大OT安全場景應用的最佳實踐，分别是：基于意圖的 OT 網絡微分段、設備及人員的準入認證與高效和簡潔的 OT 安全運維。

基于意圖的 OT 網絡微分段。該實踐采用 FortiGate、FortiSwitch 和 FortiAP等産品和功能實現網絡分段、微分段，目的是建立不同需求的邏輯安全區域和管道，結合FortiGuard 對2000多個工控協議、及60多種工控指令的深度識别能力，實現同一VLAN區域内、不同設備間流量的精準管控，避免威脅的橫向移動。

設備及人員的準入認證。該實踐采用 FortiNAC、FortiAuthenticator 和 FortiToken 等産品和功能實現移動設備、新進設備或者是維護設備等不同類型、不同區屬的網絡動态接入控制。結合網絡微分段該實踐能夠實現設備自動歸區、自動應用區域策略以及自動接入或屏蔽。同時對于人員認證，Fortinet方案通過多因素認證和多重認證結合，基于“最小特權原則”，實現對不同人員、不同用戶組和不同場景的登錄認證及應用權限的管控。

高效和簡潔的 OT 安全運維。該實踐主要基于 FortiSIEM 安全信息事件管理系統。該系統在對全局安全信息和事件廣泛采集的基礎上，通過數據的泛化和豐富化預處理，匹配預制的告警規則，進而實現對事件和告警的自動化分類和處置，協助減少業務的停機時間，提升企業的整體運維效率。

Fortinet OT安全解決方案屢次獲得 Westlands Advisory、Frost & Sullivan 等權威第三方機構的廣泛認可。這不僅僅歸功于優質的體系化産品和功能，還有活躍且不斷發展的合作夥伴生态系統，能夠有效解決 OT 網絡環境多供應商、多平台部署、多産品共存的集成挑戰，通過開放生态和API技術等實現有效集成和高效運維。

總結來說，Fortinet OT安全解決方案具有“産品互聯和安全功能集成”、“IDS檢測與 IPS防護結合”、“專有工業加固安全設備認證”、“全球威脅情報網絡支持” 以及“擁有全球廣泛 OT 行業成功案例”等五大優勢，這亦是Fortinet OT 安全解決方案收獲行業和客戶點贊的基礎。未來，Fortinet 還将繼續看好 OT 網絡安全的發展，并持續加大在 OT 安全領域的投入，保障更多 OT 場景下客戶的網絡安全。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!