Fortinet“栽種”O(jiān)T安全

黑客攻擊什么目標(biāo)可以牟取最大利益？

比如，比如，重慶市渝中區(qū)公安分局破獲一起涉嫌利用某電商平臺(tái)系統(tǒng)漏洞非法牟利的案件。某商業(yè)管理公司報(bào)警稱，他們的電商平臺(tái)數(shù)據(jù)在今年 5 月出現(xiàn)異常，估計(jì)被黑客利用網(wǎng)站代碼漏洞，惡意透支，通過第三方交易平臺(tái)購買話費(fèi)、油卡、實(shí)物等進(jìn)行消費(fèi)，共造成 140 余萬元的資金損失。

140 萬，很多啊！

不對，看看另一起新聞。據(jù) Upbit 12月初發(fā)布的公告，這個(gè)平臺(tái)被盜 34 萬個(gè) ETH ，損失將近 5000 萬美元。

但是，這些都比不上慘兮兮的臺(tái)積電。

2018 年，臺(tái)積電遭遇勒索病毒攻擊，導(dǎo)致多地生產(chǎn)線停擺，2 天內(nèi)損失金額高達(dá) 11 億人民幣。不過，這算得上臺(tái)積電的損失，不是黑客能賺到手里的錢。

之所以這樣對比，雷鋒網(wǎng)編輯想強(qiáng)調(diào)的是，黑客攻擊工控設(shè)施，造成的結(jié)果是很嚴(yán)重的。

脆弱的OT

“很嚴(yán)重”有時(shí)不只指金錢上的損失。

最早讓人大吃一驚的震網(wǎng)病毒襲擊了伊朗的核設(shè)施，導(dǎo)致離心機(jī)損壞，伊朗的核計(jì)劃推遲了兩年。后來是紐約大壩泄洪閘被攻擊，還有大家都知道的烏克蘭電網(wǎng)系統(tǒng)被攻擊導(dǎo)致兩次大斷電。

這兩年很有意思，除了被勒索病毒大大搞了一把的臺(tái)積電，還有同樣被勒索病毒絆了一跤的一個(gè)國際鋁業(yè)巨頭以及一家中國汽車制造商。

這家汽車制造商還挺大，具體是誰我就不多說了。但是，這么大的廠商都能被勒索病毒搞得措手不及，由此可見，工控廠商在守衛(wèi)安全這件事情上挺難做的。

沒辦法，只要工控設(shè)施與互聯(lián)網(wǎng)連接，安全尺度的把握靠認(rèn)知、靠技術(shù)、靠投入。不過，大家對工控安全的認(rèn)知還真不在一個(gè)水平線上，總體而言，市場還在被教育的階段，不然為什么這么多大廠商踩了坑？

我們先看看，坑在哪里。

工業(yè)里面有一群大寶貝：工業(yè)生產(chǎn)環(huán)境中檢測和控制的物理設(shè)備，以及工藝流程中涉及的各種硬件和軟件，它們有個(gè)綜合名字叫 OT（Operational Technology），核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng) (SCADA)、集散控制系統(tǒng) (DCS)、可編程邏輯控制器 (PLC) 等。

這個(gè) OT 由于涉及生產(chǎn)大計(jì)，以前廠商的策略是，要把它好好被保護(hù)在一個(gè)“專門的區(qū)域”里，它不能和 IT 連接，杜絕有人從互聯(lián)網(wǎng)攻入的可能性，還要在專門的硬件上運(yùn)行專有的控制協(xié)議，用的操作系統(tǒng)也得是專有的嵌入式的，謹(jǐn)慎起見，連接線纜也是特制的。

這種情況下，要想攻擊它的 OT，可能只能靠協(xié)議、硬件本身的漏洞，肉身攜帶有病毒的 U 盤進(jìn)入，或者挖個(gè)電纜了吧。

不過，現(xiàn)在隨著傳統(tǒng)企業(yè)（包括工控企業(yè)）擁抱互聯(lián)網(wǎng)，OT 面臨的情況完全不一樣了，它和 IT 相連，采用通用的 internet 協(xié)議，運(yùn)行在由 IT 發(fā)端的通用硬件上，操作系統(tǒng)也是主流的 IT 系統(tǒng)，并通過標(biāo)準(zhǔn)的 以太網(wǎng)或無線 WiFi 協(xié)議連接。

一個(gè)以前被保護(hù)得特別好的在安全上“涉世未深”的初級(jí)玩家被放到了互聯(lián)網(wǎng)的叢林中，豺狼虎豹有很多手段進(jìn)來。

比如，網(wǎng)絡(luò)由封閉到開放，OT/IT 網(wǎng)絡(luò)共用同一網(wǎng)絡(luò)設(shè)備互聯(lián)，攻擊者可以攻擊和滲透 IT 系統(tǒng)，初級(jí)玩家的 IT 系統(tǒng)很可能設(shè)計(jì)得復(fù)雜但脆弱，有代碼漏洞，配置錯(cuò)誤，身份認(rèn)證弱得沒眼看。

比如，雖然廠商搞了內(nèi)網(wǎng)隔離，但是隔離沒做好，缺少網(wǎng)絡(luò)安全設(shè)備有效地針對 OT/IT 網(wǎng)進(jìn)行安全區(qū)域劃分和進(jìn)行安全運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控，導(dǎo)致攻擊者通過一些手段在內(nèi)網(wǎng)橫行，感染更多的主機(jī)。

比如，缺乏對內(nèi)而外的非法訪問行為的檢測，黑客直接進(jìn)來搞破壞。

比如，缺乏對整個(gè)網(wǎng)絡(luò)的檢測和阻擋，沒有全局意識(shí)，搞不清楚黑客的真實(shí)意圖，很難定位安全威脅，就算“抓到”了攻擊者，取證過程低效。

構(gòu)造“免疫系統(tǒng)”

建立“免疫系統(tǒng)”的第一步，當(dāng)然是搞清楚自家工廠里哪些需要重點(diǎn)保護(hù)。

其實(shí)，建立行業(yè)標(biāo)準(zhǔn)的組織早就給了我們一個(gè)基本框架：ISA-99/IEC62443制造和控制系統(tǒng)安全委員會(huì)給出了一個(gè)“工業(yè)控制Purdue分層模型”。

這種分區(qū)的模式受到了廣泛認(rèn)可，但是在實(shí)際應(yīng)用過程中，沒有哪家的工廠能用這么“簡單和基礎(chǔ)”的模型框架定義。

就像建房子，大家都知道房子的框架怎么搭，具體建造起來，還是五花八門的。

最近，雷鋒網(wǎng)新認(rèn)識(shí)了一個(gè)“建筑師”Fortinet ，他提出了一種基于工業(yè)控制Purdue分層模型的架構(gòu)——Fortinet Security Fabric 的工控風(fēng)險(xiǎn)管理框架。

這種框架在基礎(chǔ)框架上有什么不同？

這家安全公司是在 2000 年成立的，2004 年， Fortinet 與 IDC 共同提出 UTM（統(tǒng)一威脅管理）一戰(zhàn)成名，2016 年，基于威脅檢測及技術(shù)整合能力， Fortinet  提出 “Security Fabric”，其中包括 WAF、郵件網(wǎng)關(guān)、沙箱、威脅情報(bào)、終端安全、云安全、無線安全、IoT、SD-WAN 等多種安全解決方案，及其協(xié)同與聯(lián)動(dòng)的安全整體架構(gòu)。

這時(shí)我們要上一張圖了，與上述基礎(chǔ)框架的劃分不同的是，它的主要目標(biāo)是，圍繞儀表總線網(wǎng)絡(luò)、流程控制局域網(wǎng)、區(qū)域總控網(wǎng)絡(luò)、生產(chǎn)區(qū)域、企業(yè)環(huán)境等不同層面構(gòu)建安全控制能力與分段安全保護(hù)。

紅區(qū)是重要的生產(chǎn)系統(tǒng)，需要通過獨(dú)立的物理硬件進(jìn)行部署，實(shí)現(xiàn)完全的訪問控制（防火墻、入侵檢測、沙盒、防病毒），提高最高級(jí)別的保護(hù)。黃區(qū)是自有研發(fā)安全區(qū)及外包研發(fā)安全區(qū)的相應(yīng)次高安全區(qū)域，可根據(jù)情況采用獨(dú)立或共享的網(wǎng)絡(luò)及安全基礎(chǔ)架構(gòu)設(shè)施，需要通過虛擬桌面的方式訪問。

綠區(qū)主要為安全級(jí)別比較低的業(yè)務(wù)系統(tǒng)進(jìn)行部署，物理資源和安全措施可以采用共享架構(gòu)。藍(lán)區(qū)為用戶接入?yún)^(qū)域，部署面向外網(wǎng)的前置服務(wù)器，安全等級(jí)比較低。

不久前，F(xiàn)ortinet Security Fabric 安全架構(gòu)和 Nozomi Networks 解決方案進(jìn)行了集成，提供了基于 SCADA 安全的主動(dòng)防御能力。

目前來看，在 Fortinet Security Fabric 安全架構(gòu)中，它主要打造的能力有四項(xiàng)：

針對已知威脅的可見性和分段保護(hù)：通過 FortiGate 防火墻、FortiGuard威脅情報(bào)服務(wù)等組件，從監(jiān)控網(wǎng)絡(luò)到流程控制網(wǎng)絡(luò)進(jìn)行，對于常見的 ICS/SCADA 協(xié)議、基于工業(yè) IPS 特征進(jìn)行識(shí)別和監(jiān)控，通過集中安全管理報(bào)告實(shí)現(xiàn)自動(dòng)化安全防護(hù)。

異常檢測和響應(yīng)：FortiSIEM 安全信息與事件管理解決方案可以在統(tǒng)一可擴(kuò)展的解決方案中提供可見性、關(guān)聯(lián)性、自動(dòng)響應(yīng)和補(bǔ)救措施建議，F(xiàn)ortiGate 防火墻則提供從監(jiān)控網(wǎng)絡(luò)到控制網(wǎng)絡(luò)的主動(dòng)防護(hù)，在與 Nozomi Networks 安全解決方案的協(xié)同， 對網(wǎng)絡(luò)的被動(dòng)監(jiān)控能力融合起來之后，支持用戶對于異常行為進(jìn)行及時(shí)響應(yīng)。

 

OT Security Fabric 自動(dòng)化聯(lián)動(dòng)：通過與 Nozomi 終端等第三方解決方案商的的聯(lián)動(dòng)與集成，增強(qiáng)在檢測、發(fā)現(xiàn)、響應(yīng)異常行為，并作出自動(dòng)阻截攻擊的能力。

 

攻擊欺騙：FortiDeceptor 作為一個(gè)輕量級(jí)的專門針對 OT 網(wǎng)絡(luò)的蜜罐， 快速創(chuàng)建一個(gè)偽造的“迷宮網(wǎng)絡(luò)”，誘使攻擊者進(jìn)行攻擊，進(jìn)而檢測到攻擊者的活動(dòng)詳細(xì)信息，以在攻擊真正造成損害之前進(jìn)行遏制。

顧慮與試驗(yàn)

不過，對于 Fortinet 而言，讓市場完全接受這套 Fortinet Security Fabric 安全架構(gòu)還是有難度的，甚至可以說，不僅是對 Fortinet Security Fabric 安全架構(gòu)，對于任何一種工業(yè)安全架構(gòu)，用戶還抱著審慎的態(tài)度。

很多用戶對 Fortinet 技術(shù)總監(jiān)張略表示的擔(dān)憂是：“你能保證設(shè)備串進(jìn)去后不造成其他風(fēng)險(xiǎn)嗎，比如設(shè)備壞了，我們的生產(chǎn)線不能工作了怎么辦？”。

目前，為了解決這個(gè)顧慮，F(xiàn)ortinet 通過并聯(lián)方式，進(jìn)行安全可視化，營造出一個(gè)實(shí)驗(yàn)環(huán)境讓對方看到這種風(fēng)險(xiǎn)是否是真的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)真的被黑客利用會(huì)產(chǎn)生什么后果，讓用戶自己衡量，是否應(yīng)該串聯(lián)，這種風(fēng)險(xiǎn)與不串聯(lián)遭受攻擊造成的損失相比，哪種更嚴(yán)重。

“現(xiàn)在還處在客戶認(rèn)知覺醒期，對于不同方案大家都有評估，我們跟其他友商交流過，我們都認(rèn)為市場面臨短則一兩年，長則兩三年的培育期。”張略說。

坦白來說，OT 安全可能正處于 10 年前的 IT 發(fā)展期，工控廠商也在驗(yàn)證不同 OT 安全方案的效果，牽一發(fā)而動(dòng)全身，工控廠商的憂慮無可厚非。不過，顯而易見的是，在 IT 蓬勃發(fā)展期就鍛煉出的攻擊野獸顯然不會(huì)等待 OT 安全的成長。

在他們的肆意進(jìn)攻中，對 OT 安全方案提供商與用戶而言，守衛(wèi)安全都是極難的挑戰(zhàn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。