近年來(lái),制造業(yè)為了向高端化、智能化、綠色化方向發(fā)展,圍繞數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型進(jìn)行了大規(guī)模的工業(yè)上云技術(shù)改造,其中大部分是對(duì)設(shè)備進(jìn)行物聯(lián)網(wǎng)和自控系統(tǒng)的升級(jí)改造。
不可否認(rèn),工業(yè)上云大大提高了生產(chǎn)效率、降低了運(yùn)營(yíng)成本,被業(yè)界廣泛認(rèn)為是推進(jìn)新型工業(yè)化的關(guān)鍵路徑。但我們也應(yīng)清醒地認(rèn)識(shí)到,工業(yè)上云也面臨著很多網(wǎng)絡(luò)安全挑戰(zhàn),比如IT/OT網(wǎng)絡(luò)及邊界安全、上云的數(shù)據(jù)安全,企業(yè)尚缺乏有效的安全防護(hù)措施。
OT安全問(wèn)題凸顯
與IT不同,制造業(yè)生產(chǎn)設(shè)備通常會(huì)比較零散化,并且固件比較簡(jiǎn)單且很少更新升級(jí),安全防護(hù)能力嚴(yán)重不足,也難以適應(yīng)新的數(shù)據(jù)安全防護(hù)需求。正因如此,OT惡意軟件便乘虛而入,對(duì)這些具有漏洞和“后門”的工控系統(tǒng)及設(shè)備惡意攻擊,讓工業(yè)上云的安全風(fēng)險(xiǎn)加劇。
派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊表示,有報(bào)告預(yù)測(cè)到2030年之前,企業(yè)物聯(lián)網(wǎng)設(shè)備的數(shù)量比聯(lián)網(wǎng)人群數(shù)量多4倍,也就是說(shuō)我們一個(gè)人可能會(huì)有多設(shè)備的物聯(lián)網(wǎng)設(shè)備。所以在受到網(wǎng)絡(luò)攻擊的時(shí)候,這些設(shè)備可能就會(huì)成為跳板,惡意攻擊者進(jìn)入這個(gè)設(shè)備以后做一個(gè)橫向遷移或者橫向移動(dòng),進(jìn)入企業(yè)內(nèi)部發(fā)動(dòng)一些攻擊,或者是讓數(shù)據(jù)泄漏,這些都有可能通過(guò)物聯(lián)網(wǎng)設(shè)備而產(chǎn)生。
陳文俊認(rèn)為,傳統(tǒng)的網(wǎng)絡(luò)安全沒(méi)有跟上現(xiàn)在智能設(shè)備、IoT設(shè)備聯(lián)網(wǎng)的要求。因?yàn)槲覀兒芏鄷r(shí)候看不到這些設(shè)備,傳統(tǒng)的網(wǎng)絡(luò)安全對(duì)這種看不到的東西無(wú)法識(shí)別,也無(wú)法識(shí)別這種攻擊。很多時(shí)候我們只是關(guān)注了IT設(shè)備,OT設(shè)備我們沒(méi)有去關(guān)注,所以我們很多時(shí)候看不到OT設(shè)備。如果具體到企業(yè)的IT人員、CIO,可能就會(huì)成為安全盲點(diǎn),因?yàn)樗麄儾恢烙卸嗌貽T設(shè)備連到網(wǎng)絡(luò)上。
正因?yàn)榭床坏竭@些設(shè)備,當(dāng)它們連上網(wǎng)絡(luò),就不能夠及時(shí)去做防護(hù)、升級(jí)和打補(bǔ)丁,很多漏洞就因此暴露出來(lái),所以它們可能有安全風(fēng)險(xiǎn)存在。在傳統(tǒng)的安全架構(gòu)下,都是通過(guò)人工來(lái)登記設(shè)備,才能知道網(wǎng)絡(luò)上有什么設(shè)備,它們并不是及時(shí)、動(dòng)態(tài)更新的。面對(duì)越來(lái)越快、越來(lái)越智能的惡意攻擊,我們很多時(shí)候也無(wú)法察覺(jué),及時(shí)做防護(hù)抵擋。
同樣是因?yàn)槿狈υO(shè)備的可視性,我們看不到設(shè)備就不知道怎么去做防護(hù)。即使我們看得到,但因?yàn)槭且粋€(gè)平的網(wǎng)絡(luò),沒(méi)有辦法分段和隔離,也很容易在受到攻擊以后很快就會(huì)擴(kuò)散。
還有個(gè)責(zé)任問(wèn)題,這些物聯(lián)網(wǎng)設(shè)備歸屬誰(shuí)來(lái)管,是IT部門還是其他部門?很多企業(yè)這方面的責(zé)任也沒(méi)有分得很清楚,這個(gè)時(shí)候也導(dǎo)致管理上的一些漏洞,使得IT、OT設(shè)備成為暴露在網(wǎng)絡(luò)上容易受到攻擊的一個(gè)最大威脅。陳文俊強(qiáng)調(diào),所以我們覺(jué)得需要有很好的管理方式來(lái)做防護(hù)。
OT網(wǎng)絡(luò)可視是關(guān)鍵
傳統(tǒng)安全架構(gòu)下OT層網(wǎng)絡(luò)無(wú)設(shè)備可視化能力,這是當(dāng)前很多企業(yè)遇到的工業(yè)互聯(lián)網(wǎng)安全難題。如何找到一種對(duì)生產(chǎn)影響最小而又具有良好的可靠性、應(yīng)用性的安全方案,是企業(yè)解決工業(yè)設(shè)備安全、工業(yè)上云安全的當(dāng)務(wù)之急。
企業(yè)必須要提高工業(yè)生產(chǎn)業(yè)務(wù)層面的網(wǎng)絡(luò)安全監(jiān)測(cè)能力,我們不妨看一下派拓網(wǎng)絡(luò)的IoT/OT解決思路:讓企業(yè)對(duì)連上網(wǎng)絡(luò)的設(shè)備能夠做到自動(dòng)識(shí)別,自動(dòng)識(shí)別以后,再幫助企業(yè)做分段、隔離,減少安全風(fēng)險(xiǎn)。
做到可視以后,再做持續(xù)的監(jiān)控,也就是說(shuō)當(dāng)設(shè)備連上網(wǎng)絡(luò)以后,就對(duì)其持續(xù)的監(jiān)控、管控,一旦發(fā)現(xiàn)有可疑行為,馬上就能采取措施。陳文俊表示,我們也能跟第三方系統(tǒng)集成,比如企業(yè)的管控系統(tǒng)、資源里面的系統(tǒng)、監(jiān)控系統(tǒng),我們都能做集成,從而實(shí)現(xiàn)一個(gè)界面上的一體化管控。并且派拓網(wǎng)絡(luò)有云端,通過(guò)安全的遙測(cè)可視化安全性,在不同的設(shè)備上管控上面的IT、OT設(shè)備,這就是派拓網(wǎng)絡(luò)最新推出的最新推出的IoT/OT的解決方案。
談到派拓網(wǎng)絡(luò)IoT/OT解決方案相較于傳統(tǒng)方案的優(yōu)勢(shì),陳文俊表示,首先就是能夠自動(dòng)化發(fā)現(xiàn),90%連上網(wǎng)絡(luò)的設(shè)備在48小時(shí)之內(nèi)就能夠被我們自動(dòng)監(jiān)測(cè)到,因此企業(yè)能夠?qū)oT進(jìn)行保護(hù),它的成本能夠節(jié)省70%,同時(shí)有10%的設(shè)備能夠減少新設(shè)備的采購(gòu)量。
因?yàn)橛锌梢暬梢员O(jiān)測(cè)到哪些設(shè)備連上網(wǎng)絡(luò),我們就知道有些不需要做重復(fù)部署。我們知道這個(gè)設(shè)備在,就可以很好地利用,把新設(shè)備的重復(fù)采購(gòu)減少10%,這是采用派拓網(wǎng)絡(luò)IoT安全的優(yōu)點(diǎn)。
第二,派拓網(wǎng)絡(luò)的解決方案能夠?qū)Χ喾N場(chǎng)景做集成,跟第三方做集成,也就是跟企業(yè)的IoT、工業(yè)IoT、醫(yī)療IoT都能夠做集成管理。除了發(fā)現(xiàn)、監(jiān)測(cè)這些設(shè)備以外,一旦出現(xiàn)問(wèn)題,還能預(yù)防、阻斷,這是派拓網(wǎng)絡(luò)解決方案先進(jìn)之處。
陳文俊介紹道,我們跟神州云計(jì)算合作運(yùn)營(yíng)IoT落地,在中國(guó)區(qū)域里面有一個(gè)安全數(shù)據(jù)湖,我們所有的數(shù)據(jù)都是留在國(guó)內(nèi)數(shù)據(jù)湖中不出境的,所以完全符合國(guó)家的網(wǎng)絡(luò)安全法、個(gè)人隱私保護(hù)法、數(shù)據(jù)安全法,企業(yè)也不必?fù)?dān)心數(shù)據(jù)安全問(wèn)題。
通過(guò)安全檢測(cè)、安全可視化,以及硬件防火墻、軟件防火墻,還有SASE服務(wù),能夠監(jiān)測(cè)、管控到各種各樣IoT的設(shè)備,這是派拓網(wǎng)絡(luò)在中國(guó)落地的整體服務(wù)。
OT安全的未來(lái)
工業(yè)上云的安全防護(hù)需要做的“安全功課”很多,絕不是簡(jiǎn)單地把傳統(tǒng)的IT安全產(chǎn)品加上OT的功能和特性。制造業(yè)在各種新技術(shù)應(yīng)用下正以前所未有的速度發(fā)展中,因此工業(yè)安全防護(hù)必須要有前瞻性,需要用更為先進(jìn)的理念和技術(shù)來(lái)防護(hù)OT安全。
派拓網(wǎng)絡(luò)大中華區(qū)售前總經(jīng)理董春濤表示,過(guò)去我們即使知道IoT安全是個(gè)漏洞,但是也沒(méi)有辦法做到防護(hù),主要是因?yàn)樵O(shè)備型號(hào)太多,識(shí)別能力不夠。現(xiàn)在,我們采用了AI技術(shù),面對(duì)已知的和未知的IoT設(shè)備,都能很快識(shí)別,并且識(shí)別不是靜態(tài)的而是動(dòng)態(tài)呈現(xiàn)的。
做了這些以后,會(huì)減掉90%的報(bào)警工作量,另外10%可能會(huì)呈現(xiàn)給企業(yè)的IT或者OT的管理人員,這個(gè)派拓網(wǎng)絡(luò)也都做到了自動(dòng)化,所以未來(lái)它是自動(dòng)化持續(xù)的過(guò)程。以后就像傳統(tǒng)的安全設(shè)備一樣,它會(huì)慢慢植入到企業(yè)安全的DNA里面去。
董春濤認(rèn)為IoT安全以后會(huì)跟IT安全是并駕齊驅(qū)的,甚至是超過(guò)IT安全的一個(gè)大類。所以在未來(lái)的幾年,這些認(rèn)知逐漸會(huì)被更多地采納和接受, IoT安全未來(lái)是一個(gè)非常大的“賽道”。
在談到企業(yè)OT安全的發(fā)展,陳文俊表示,對(duì)企業(yè)來(lái)說(shuō)最容易的管控,就是在它IT的管控里面再加上OT的管控,是最簡(jiǎn)單、成本最低的,就不需要另外去建一套。這也是派拓網(wǎng)絡(luò)的做法,現(xiàn)在這些設(shè)備原來(lái)都是管IT的,把它加上IoT和OT服務(wù)的功能,一體化來(lái)做管控,這樣對(duì)企業(yè)來(lái)說(shuō)是最好的管控。
