您正在使用IE低版瀏覽器,為了您的雷鋒網賬號安全和更好的產品體驗,強烈建議使用更快更安全的瀏覽器
此為臨時鏈接,僅用于文章預覽,將在時失效
網絡安全 正文
發私信給李勤
發送

0

Fortinet“栽種”OT安全

本文作者:李勤 2019-12-12 11:07
導語:黑客攻擊什么目標可以牟取最大利益?

黑客攻擊什么目標可以牟取最大利益?

比如,比如,重慶市渝中區公安分局破獲一起涉嫌利用某電商平臺系統漏洞非法牟利的案件。某商業管理公司報警稱,他們的電商平臺數據在今年 5 月出現異常,估計被黑客利用網站代碼漏洞,惡意透支,通過第三方交易平臺購買話費、油卡、實物等進行消費,共造成 140 余萬元的資金損失。

140 萬,很多啊!

不對,看看另一起新聞。據 Upbit 12月初發布的公告,這個平臺被盜 34 萬個 ETH ,損失將近 5000 萬美元。

但是,這些都比不上慘兮兮的臺積電。

2018 年,臺積電遭遇勒索病毒攻擊,導致多地生產線停擺,2 天內損失金額高達 11 億人民幣。不過,這算得上臺積電的損失,不是黑客能賺到手里的錢。

之所以這樣對比,雷鋒網(公眾號:雷鋒網)編輯想強調的是,黑客攻擊工控設施,造成的結果是很嚴重的。

脆弱的OT

“很嚴重”有時不只指金錢上的損失。

最早讓人大吃一驚的震網病毒襲擊了伊朗的核設施,導致離心機損壞,伊朗的核計劃推遲了兩年。后來是紐約大壩泄洪閘被攻擊,還有大家都知道的烏克蘭電網系統被攻擊導致兩次大斷電。

這兩年很有意思,除了被勒索病毒大大搞了一把的臺積電,還有同樣被勒索病毒絆了一跤的一個國際鋁業巨頭以及一家中國汽車制造商。

這家汽車制造商還挺大,具體是誰我就不多說了。但是,這么大的廠商都能被勒索病毒搞得措手不及,由此可見,工控廠商在守衛安全這件事情上挺難做的。

沒辦法,只要工控設施與互聯網連接,安全尺度的把握靠認知、靠技術、靠投入。不過,大家對工控安全的認知還真不在一個水平線上,總體而言,市場還在被教育的階段,不然為什么這么多大廠商踩了坑?

我們先看看,坑在哪里。

工業里面有一群大寶貝:工業生產環境中檢測和控制的物理設備,以及工藝流程中涉及的各種硬件和軟件,它們有個綜合名字叫 OT(Operational Technology),核心組件包括數據采集與監控系統 (SCADA)、集散控制系統 (DCS)、可編程邏輯控制器 (PLC) 等。

這個 OT 由于涉及生產大計,以前廠商的策略是,要把它好好被保護在一個“專門的區域”里,它不能和 IT 連接,杜絕有人從互聯網攻入的可能性,還要在專門的硬件上運行專有的控制協議,用的操作系統也得是專有的嵌入式的,謹慎起見,連接線纜也是特制的。

這種情況下,要想攻擊它的 OT,可能只能靠協議、硬件本身的漏洞,肉身攜帶有病毒的 U 盤進入,或者挖個電纜了吧。

不過,現在隨著傳統企業(包括工控企業)擁抱互聯網,OT 面臨的情況完全不一樣了,它和 IT 相連,采用通用的 internet 協議,運行在由 IT 發端的通用硬件上,操作系統也是主流的 IT 系統,并通過標準的 以太網或無線 WiFi 協議連接。

一個以前被保護得特別好的在安全上“涉世未深”的初級玩家被放到了互聯網的叢林中,豺狼虎豹有很多手段進來。

比如,網絡由封閉到開放,OT/IT 網絡共用同一網絡設備互聯,攻擊者可以攻擊和滲透 IT 系統,初級玩家的 IT 系統很可能設計得復雜但脆弱,有代碼漏洞,配置錯誤,身份認證弱得沒眼看。

比如,雖然廠商搞了內網隔離,但是隔離沒做好,缺少網絡安全設備有效地針對 OT/IT 網進行安全區域劃分和進行安全運行狀態的統一監控,導致攻擊者通過一些手段在內網橫行,感染更多的主機。

比如,缺乏對內而外的非法訪問行為的檢測,黑客直接進來搞破壞。

比如,缺乏對整個網絡的檢測和阻擋,沒有全局意識,搞不清楚黑客的真實意圖,很難定位安全威脅,就算“抓到”了攻擊者,取證過程低效。

構造“免疫系統”

建立“免疫系統”的第一步,當然是搞清楚自家工廠里哪些需要重點保護。

其實,建立行業標準的組織早就給了我們一個基本框架:ISA-99/IEC62443制造和控制系統安全委員會給出了一個“工業控制Purdue分層模型”。

Fortinet“栽種”OT安全

這種分區的模式受到了廣泛認可,但是在實際應用過程中,沒有哪家的工廠能用這么“簡單和基礎”的模型框架定義。

就像建房子,大家都知道房子的框架怎么搭,具體建造起來,還是五花八門的。

最近,雷鋒網新認識了一個“建筑師”Fortinet ,他提出了一種基于工業控制Purdue分層模型的架構——Fortinet Security Fabric 的工控風險管理框架。

這種框架在基礎框架上有什么不同?

這家安全公司是在 2000 年成立的,2004 年, Fortinet 與 IDC 共同提出 UTM(統一威脅管理)一戰成名,2016 年,基于威脅檢測及技術整合能力, Fortinet  提出 “Security Fabric”,其中包括 WAF、郵件網關、沙箱、威脅情報、終端安全、云安全、無線安全、IoT、SD-WAN 等多種安全解決方案,及其協同與聯動的安全整體架構。

這時我們要上一張圖了,與上述基礎框架的劃分不同的是,它的主要目標是,圍繞儀表總線網絡、流程控制局域網、區域總控網絡、生產區域、企業環境等不同層面構建安全控制能力與分段安全保護。

Fortinet“栽種”OT安全

紅區是重要的生產系統,需要通過獨立的物理硬件進行部署,實現完全的訪問控制(防火墻、入侵檢測、沙盒、防病毒),提高最高級別的保護。黃區是自有研發安全區及外包研發安全區的相應次高安全區域,可根據情況采用獨立或共享的網絡及安全基礎架構設施,需要通過虛擬桌面的方式訪問。

綠區主要為安全級別比較低的業務系統進行部署,物理資源和安全措施可以采用共享架構。藍區為用戶接入區域,部署面向外網的前置服務器,安全等級比較低。

Fortinet“栽種”OT安全

不久前,Fortinet Security Fabric 安全架構和 Nozomi Networks 解決方案進行了集成,提供了基于 SCADA 安全的主動防御能力。

目前來看,在 Fortinet Security Fabric 安全架構中,它主要打造的能力有四項:

針對已知威脅的可見性和分段保護:通過 FortiGate 防火墻、FortiGuard威脅情報服務等組件,從監控網絡到流程控制網絡進行,對于常見的 ICS/SCADA 協議、基于工業 IPS 特征進行識別和監控,通過集中安全管理報告實現自動化安全防護。


異常檢測和響應:FortiSIEM 安全信息與事件管理解決方案可以在統一可擴展的解決方案中提供可見性、關聯性、自動響應和補救措施建議,FortiGate 防火墻則提供從監控網絡到控制網絡的主動防護,在與 Nozomi Networks 安全解決方案的協同, 對網絡的被動監控能力融合起來之后,支持用戶對于異常行為進行及時響應。

 

OT Security Fabric 自動化聯動:通過與 Nozomi 終端等第三方解決方案商的的聯動與集成,增強在檢測、發現、響應異常行為,并作出自動阻截攻擊的能力。

 

攻擊欺騙:FortiDeceptor 作為一個輕量級的專門針對 OT 網絡的蜜罐, 快速創建一個偽造的“迷宮網絡”,誘使攻擊者進行攻擊,進而檢測到攻擊者的活動詳細信息,以在攻擊真正造成損害之前進行遏制。

顧慮與試驗

不過,對于 Fortinet 而言,讓市場完全接受這套 Fortinet Security Fabric 安全架構還是有難度的,甚至可以說,不僅是對 Fortinet Security Fabric 安全架構,對于任何一種工業安全架構,用戶還抱著審慎的態度。

很多用戶對 Fortinet 技術總監張略表示的擔憂是:“你能保證設備串進去后不造成其他風險嗎,比如設備壞了,我們的生產線不能工作了怎么辦?”。

目前,為了解決這個顧慮,Fortinet 通過并聯方式,進行安全可視化,營造出一個實驗環境讓對方看到這種風險是否是真的風險,這種風險真的被黑客利用會產生什么后果,讓用戶自己衡量,是否應該串聯,這種風險與不串聯遭受攻擊造成的損失相比,哪種更嚴重。

“現在還處在客戶認知覺醒期,對于不同方案大家都有評估,我們跟其他友商交流過,我們都認為市場面臨短則一兩年,長則兩三年的培育期。”張略說。

坦白來說,OT 安全可能正處于 10 年前的 IT 發展期,工控廠商也在驗證不同 OT 安全方案的效果,牽一發而動全身,工控廠商的憂慮無可厚非。不過,顯而易見的是,在 IT 蓬勃發展期就鍛煉出的攻擊野獸顯然不會等待 OT 安全的成長。

在他們的肆意進攻中,對 OT 安全方案提供商與用戶而言,守衛安全都是極難的挑戰。

雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知

Fortinet“栽種”OT安全

分享:
相關文章

文章點評:

表情
最新文章
請填寫申請人資料
姓名
電話
郵箱
微信號
作品鏈接
個人簡介
為了您的賬戶安全,請驗證郵箱
您的郵箱還未驗證,完成可獲20積分喲!
請驗證您的郵箱
立即驗證
完善賬號信息
您的賬號已經綁定,現在您可以設置密碼以方便用郵箱登錄
立即設置 以后再說
老重庆时时开奖号码360