近年來,制造業為了向高端化、智能化、綠色化方向發展,圍繞數字化、網絡化、智能化轉型進行了大規模的工業上云技術改造,其中大部分是對設備進行物聯網和自控系統的升級改造。
不可否認,工業上云大大提高了生產效率、降低了運營成本,被業界廣泛認為是推進新型工業化的關鍵路徑。但我們也應清醒地認識到,工業上云也面臨著很多網絡安全挑戰,比如IT/OT網絡及邊界安全、上云的數據安全,企業尚缺乏有效的安全防護措施。
OT安全問題凸顯
與IT不同,制造業生產設備通常會比較零散化,并且固件比較簡單且很少更新升級,安全防護能力嚴重不足,也難以適應新的數據安全防護需求。正因如此,OT惡意軟件便乘虛而入,對這些具有漏洞和“后門”的工控系統及設備惡意攻擊,讓工業上云的安全風險加劇。
派拓網絡大中華區總裁陳文俊表示,有報告預測到2030年之前,企業物聯網設備的數量比聯網人群數量多4倍,也就是說我們一個人可能會有多設備的物聯網設備。所以在受到網絡攻擊的時候,這些設備可能就會成為跳板,惡意攻擊者進入這個設備以后做一個橫向遷移或者橫向移動,進入企業內部發動一些攻擊,或者是讓數據泄漏,這些都有可能通過物聯網設備而產生。
陳文俊認為,傳統的網絡安全沒有跟上現在智能設備、IoT設備聯網的要求。因為我們很多時候看不到這些設備,傳統的網絡安全對這種看不到的東西無法識別,也無法識別這種攻擊。很多時候我們只是關注了IT設備,OT設備我們沒有去關注,所以我們很多時候看不到OT設備。如果具體到企業的IT人員、CIO,可能就會成為安全盲點,因為他們不知道有多少OT設備連到網絡上。
正因為看不到這些設備,當它們連上網絡,就不能夠及時去做防護、升級和打補丁,很多漏洞就因此暴露出來,所以它們可能有安全風險存在。在傳統的安全架構下,都是通過人工來登記設備,才能知道網絡上有什么設備,它們并不是及時、動態更新的。面對越來越快、越來越智能的惡意攻擊,我們很多時候也無法察覺,及時做防護抵擋。
同樣是因為缺乏設備的可視性,我們看不到設備就不知道怎么去做防護。即使我們看得到,但因為是一個平的網絡,沒有辦法分段和隔離,也很容易在受到攻擊以后很快就會擴散。
還有個責任問題,這些物聯網設備歸屬誰來管,是IT部門還是其他部門?很多企業這方面的責任也沒有分得很清楚,這個時候也導致管理上的一些漏洞,使得IT、OT設備成為暴露在網絡上容易受到攻擊的一個最大威脅。陳文俊強調,所以我們覺得需要有很好的管理方式來做防護。
OT網絡可視是關鍵
傳統安全架構下OT層網絡無設備可視化能力,這是當前很多企業遇到的工業互聯網安全難題。如何找到一種對生產影響最小而又具有良好的可靠性、應用性的安全方案,是企業解決工業設備安全、工業上云安全的當務之急。
企業必須要提高工業生產業務層面的網絡安全監測能力,我們不妨看一下派拓網絡的IoT/OT解決思路:讓企業對連上網絡的設備能夠做到自動識別,自動識別以后,再幫助企業做分段、隔離,減少安全風險。
做到可視以后,再做持續的監控,也就是說當設備連上網絡以后,就對其持續的監控、管控,一旦發現有可疑行為,馬上就能采取措施。陳文俊表示,我們也能跟第三方系統集成,比如企業的管控系統、資源里面的系統、監控系統,我們都能做集成,從而實現一個界面上的一體化管控。并且派拓網絡有云端,通過安全的遙測可視化安全性,在不同的設備上管控上面的IT、OT設備,這就是派拓網絡最新推出的最新推出的IoT/OT的解決方案。
談到派拓網絡IoT/OT解決方案相較于傳統方案的優勢,陳文俊表示,首先就是能夠自動化發現,90%連上網絡的設備在48小時之內就能夠被我們自動監測到,因此企業能夠對IoT進行保護,它的成本能夠節省70%,同時有10%的設備能夠減少新設備的采購量。
因為有可視化,可以監測到哪些設備連上網絡,我們就知道有些不需要做重復部署。我們知道這個設備在,就可以很好地利用,把新設備的重復采購減少10%,這是采用派拓網絡IoT安全的優點。
第二,派拓網絡的解決方案能夠對多種場景做集成,跟第三方做集成,也就是跟企業的IoT、工業IoT、醫療IoT都能夠做集成管理。除了發現、監測這些設備以外,一旦出現問題,還能預防、阻斷,這是派拓網絡解決方案先進之處。
陳文俊介紹道,我們跟神州云計算合作運營IoT落地,在中國區域里面有一個安全數據湖,我們所有的數據都是留在國內數據湖中不出境的,所以完全符合國家的網絡安全法、個人隱私保護法、數據安全法,企業也不必擔心數據安全問題。
通過安全檢測、安全可視化,以及硬件防火墻、軟件防火墻,還有SASE服務,能夠監測、管控到各種各樣IoT的設備,這是派拓網絡在中國落地的整體服務。
OT安全的未來
工業上云的安全防護需要做的“安全功課”很多,絕不是簡單地把傳統的IT安全產品加上OT的功能和特性。制造業在各種新技術應用下正以前所未有的速度發展中,因此工業安全防護必須要有前瞻性,需要用更為先進的理念和技術來防護OT安全。
派拓網絡大中華區售前總經理董春濤表示,過去我們即使知道IoT安全是個漏洞,但是也沒有辦法做到防護,主要是因為設備型號太多,識別能力不夠。現在,我們采用了AI技術,面對已知的和未知的IoT設備,都能很快識別,并且識別不是靜態的而是動態呈現的。
做了這些以后,會減掉90%的報警工作量,另外10%可能會呈現給企業的IT或者OT的管理人員,這個派拓網絡也都做到了自動化,所以未來它是自動化持續的過程。以后就像傳統的安全設備一樣,它會慢慢植入到企業安全的DNA里面去。
董春濤認為IoT安全以后會跟IT安全是并駕齊驅的,甚至是超過IT安全的一個大類。所以在未來的幾年,這些認知逐漸會被更多地采納和接受, IoT安全未來是一個非常大的“賽道”。
在談到企業OT安全的發展,陳文俊表示,對企業來說最容易的管控,就是在它IT的管控里面再加上OT的管控,是最簡單、成本最低的,就不需要另外去建一套。這也是派拓網絡的做法,現在這些設備原來都是管IT的,把它加上IoT和OT服務的功能,一體化來做管控,這樣對企業來說是最好的管控。
