近年來,制造業(yè)為了向高端化、智能化、綠色化方向發(fā)展,圍繞數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型進行了大規(guī)模的工業(yè)上云技術(shù)改造,其中大部分是對設(shè)備進行物聯(lián)網(wǎng)和自控系統(tǒng)的升級改造。
不可否認,工業(yè)上云大大提高了生產(chǎn)效率、降低了運營成本,被業(yè)界廣泛認為是推進新型工業(yè)化的關(guān)鍵路徑。但我們也應(yīng)清醒地認識到,工業(yè)上云也面臨著很多網(wǎng)絡(luò)安全挑戰(zhàn),比如IT/OT網(wǎng)絡(luò)及邊界安全、上云的數(shù)據(jù)安全,企業(yè)尚缺乏有效的安全防護措施。
OT安全問題凸顯
與IT不同,制造業(yè)生產(chǎn)設(shè)備通常會比較零散化,并且固件比較簡單且很少更新升級,安全防護能力嚴重不足,也難以適應(yīng)新的數(shù)據(jù)安全防護需求。正因如此,OT惡意軟件便乘虛而入,對這些具有漏洞和“后門”的工控系統(tǒng)及設(shè)備惡意攻擊,讓工業(yè)上云的安全風(fēng)險加劇。
派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊表示,有報告預(yù)測到2030年之前,企業(yè)物聯(lián)網(wǎng)設(shè)備的數(shù)量比聯(lián)網(wǎng)人群數(shù)量多4倍,也就是說我們一個人可能會有多設(shè)備的物聯(lián)網(wǎng)設(shè)備。所以在受到網(wǎng)絡(luò)攻擊的時候,這些設(shè)備可能就會成為跳板,惡意攻擊者進入這個設(shè)備以后做一個橫向遷移或者橫向移動,進入企業(yè)內(nèi)部發(fā)動一些攻擊,或者是讓數(shù)據(jù)泄漏,這些都有可能通過物聯(lián)網(wǎng)設(shè)備而產(chǎn)生。
陳文俊認為,傳統(tǒng)的網(wǎng)絡(luò)安全沒有跟上現(xiàn)在智能設(shè)備、IoT設(shè)備聯(lián)網(wǎng)的要求。因為我們很多時候看不到這些設(shè)備,傳統(tǒng)的網(wǎng)絡(luò)安全對這種看不到的東西無法識別,也無法識別這種攻擊。很多時候我們只是關(guān)注了IT設(shè)備,OT設(shè)備我們沒有去關(guān)注,所以我們很多時候看不到OT設(shè)備。如果具體到企業(yè)的IT人員、CIO,可能就會成為安全盲點,因為他們不知道有多少OT設(shè)備連到網(wǎng)絡(luò)上。
正因為看不到這些設(shè)備,當它們連上網(wǎng)絡(luò),就不能夠及時去做防護、升級和打補丁,很多漏洞就因此暴露出來,所以它們可能有安全風(fēng)險存在。在傳統(tǒng)的安全架構(gòu)下,都是通過人工來登記設(shè)備,才能知道網(wǎng)絡(luò)上有什么設(shè)備,它們并不是及時、動態(tài)更新的。面對越來越快、越來越智能的惡意攻擊,我們很多時候也無法察覺,及時做防護抵擋。
同樣是因為缺乏設(shè)備的可視性,我們看不到設(shè)備就不知道怎么去做防護。即使我們看得到,但因為是一個平的網(wǎng)絡(luò),沒有辦法分段和隔離,也很容易在受到攻擊以后很快就會擴散。
還有個責任問題,這些物聯(lián)網(wǎng)設(shè)備歸屬誰來管,是IT部門還是其他部門?很多企業(yè)這方面的責任也沒有分得很清楚,這個時候也導(dǎo)致管理上的一些漏洞,使得IT、OT設(shè)備成為暴露在網(wǎng)絡(luò)上容易受到攻擊的一個最大威脅。陳文俊強調(diào),所以我們覺得需要有很好的管理方式來做防護。
OT網(wǎng)絡(luò)可視是關(guān)鍵
傳統(tǒng)安全架構(gòu)下OT層網(wǎng)絡(luò)無設(shè)備可視化能力,這是當前很多企業(yè)遇到的工業(yè)互聯(lián)網(wǎng)安全難題。如何找到一種對生產(chǎn)影響最小而又具有良好的可靠性、應(yīng)用性的安全方案,是企業(yè)解決工業(yè)設(shè)備安全、工業(yè)上云安全的當務(wù)之急。
企業(yè)必須要提高工業(yè)生產(chǎn)業(yè)務(wù)層面的網(wǎng)絡(luò)安全監(jiān)測能力,我們不妨看一下派拓網(wǎng)絡(luò)的IoT/OT解決思路:讓企業(yè)對連上網(wǎng)絡(luò)的設(shè)備能夠做到自動識別,自動識別以后,再幫助企業(yè)做分段、隔離,減少安全風(fēng)險。
做到可視以后,再做持續(xù)的監(jiān)控,也就是說當設(shè)備連上網(wǎng)絡(luò)以后,就對其持續(xù)的監(jiān)控、管控,一旦發(fā)現(xiàn)有可疑行為,馬上就能采取措施。陳文俊表示,我們也能跟第三方系統(tǒng)集成,比如企業(yè)的管控系統(tǒng)、資源里面的系統(tǒng)、監(jiān)控系統(tǒng),我們都能做集成,從而實現(xiàn)一個界面上的一體化管控。并且派拓網(wǎng)絡(luò)有云端,通過安全的遙測可視化安全性,在不同的設(shè)備上管控上面的IT、OT設(shè)備,這就是派拓網(wǎng)絡(luò)最新推出的最新推出的IoT/OT的解決方案。
談到派拓網(wǎng)絡(luò)IoT/OT解決方案相較于傳統(tǒng)方案的優(yōu)勢,陳文俊表示,首先就是能夠自動化發(fā)現(xiàn),90%連上網(wǎng)絡(luò)的設(shè)備在48小時之內(nèi)就能夠被我們自動監(jiān)測到,因此企業(yè)能夠?qū)oT進行保護,它的成本能夠節(jié)省70%,同時有10%的設(shè)備能夠減少新設(shè)備的采購量。
因為有可視化,可以監(jiān)測到哪些設(shè)備連上網(wǎng)絡(luò),我們就知道有些不需要做重復(fù)部署。我們知道這個設(shè)備在,就可以很好地利用,把新設(shè)備的重復(fù)采購減少10%,這是采用派拓網(wǎng)絡(luò)IoT安全的優(yōu)點。
第二,派拓網(wǎng)絡(luò)的解決方案能夠?qū)Χ喾N場景做集成,跟第三方做集成,也就是跟企業(yè)的IoT、工業(yè)IoT、醫(yī)療IoT都能夠做集成管理。除了發(fā)現(xiàn)、監(jiān)測這些設(shè)備以外,一旦出現(xiàn)問題,還能預(yù)防、阻斷,這是派拓網(wǎng)絡(luò)解決方案先進之處。
陳文俊介紹道,我們跟神州云計算合作運營IoT落地,在中國區(qū)域里面有一個安全數(shù)據(jù)湖,我們所有的數(shù)據(jù)都是留在國內(nèi)數(shù)據(jù)湖中不出境的,所以完全符合國家的網(wǎng)絡(luò)安全法、個人隱私保護法、數(shù)據(jù)安全法,企業(yè)也不必擔心數(shù)據(jù)安全問題。
通過安全檢測、安全可視化,以及硬件防火墻、軟件防火墻,還有SASE服務(wù),能夠監(jiān)測、管控到各種各樣IoT的設(shè)備,這是派拓網(wǎng)絡(luò)在中國落地的整體服務(wù)。
OT安全的未來
工業(yè)上云的安全防護需要做的“安全功課”很多,絕不是簡單地把傳統(tǒng)的IT安全產(chǎn)品加上OT的功能和特性。制造業(yè)在各種新技術(shù)應(yīng)用下正以前所未有的速度發(fā)展中,因此工業(yè)安全防護必須要有前瞻性,需要用更為先進的理念和技術(shù)來防護OT安全。
派拓網(wǎng)絡(luò)大中華區(qū)售前總經(jīng)理董春濤表示,過去我們即使知道IoT安全是個漏洞,但是也沒有辦法做到防護,主要是因為設(shè)備型號太多,識別能力不夠。現(xiàn)在,我們采用了AI技術(shù),面對已知的和未知的IoT設(shè)備,都能很快識別,并且識別不是靜態(tài)的而是動態(tài)呈現(xiàn)的。
做了這些以后,會減掉90%的報警工作量,另外10%可能會呈現(xiàn)給企業(yè)的IT或者OT的管理人員,這個派拓網(wǎng)絡(luò)也都做到了自動化,所以未來它是自動化持續(xù)的過程。以后就像傳統(tǒng)的安全設(shè)備一樣,它會慢慢植入到企業(yè)安全的DNA里面去。
董春濤認為IoT安全以后會跟IT安全是并駕齊驅(qū)的,甚至是超過IT安全的一個大類。所以在未來的幾年,這些認知逐漸會被更多地采納和接受, IoT安全未來是一個非常大的“賽道”。
在談到企業(yè)OT安全的發(fā)展,陳文俊表示,對企業(yè)來說最容易的管控,就是在它IT的管控里面再加上OT的管控,是最簡單、成本最低的,就不需要另外去建一套。這也是派拓網(wǎng)絡(luò)的做法,現(xiàn)在這些設(shè)備原來都是管IT的,把它加上IoT和OT服務(wù)的功能,一體化來做管控,這樣對企業(yè)來說是最好的管控。
