進入工業互聯網時代,當一臺臺OT設備逐步“上網”,即打破了傳統工業相對封閉的環境。
企業內部工業網絡、管理網絡與互聯網打通,導致大量網絡安全威脅從外網向工業內網延伸,這意味著網絡攻擊可直達生產一線。
試想一下,如果企業的“柔性生產線”一旦遭受網絡攻擊,導致生產參數篡改甚至產線停擺將會帶來什么樣的巨大損失。事實上,近幾年針對工業網絡的各類攻擊事件越來越頻繁,特別是勒索攻擊正在成為大型制造企業的頭號網絡威脅,不勝其擾。
我們應該如何應對?
近日,Fort.NET中國區技術總監張略在2022工業互聯網安全發展峰會上接受觀察者網采訪時表示,IT和OT融合已是大勢所趨,OT原來封閉的網絡走向開放,這不可避免會引入一些新的安全風險。這些安全風險和IT領域面臨的風險,是一個可以類比的情況。IT領域所用到的安全防護體系,就是一體的彈性可擴展的安全防御體系,OT當中其實更加應該如此。
他提到,從設備數量來看,IT行業的設備等級是百萬級,OT行業可能會到億級甚至十億級。而OT設備的硬件或軟件歷經的年代更加久遠,甚至20年跨度的設備可以一同工作,而IT環境下基本是五到十年左右的設備一起工作,所以OT的安全體系需要更加有彈性和適應性。
工業互聯網安全威脅日益增大
當前,我國工業互聯網產業發展正處在一個關鍵的歷史時刻。2012年,通用電氣公司(General Electric Company,GE)在全球范圍內首次提出工業互聯網概念后。中國于2015年5月明確了9項戰略和重點任務,包括推進信息化與工業化深度融合,通過大力發展新一代信息技術產業,加快制造業轉型升級,全面提高發展質量和核心競爭力。
2017年,國務院發布《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》,我國工業互聯網發展不斷提速。據工信部披露,2022上半年,重點平臺的工業設備連接數超過7900萬臺(套)。另據中國信通院統計數據,2021年中國工業互聯網產業規模突破萬億元。
與此同時,近年來全球工業企業遭受網絡攻擊的現象持續加劇。
豐田汽車公司因零部件供應商受到病毒攻擊,導致系統癱瘓,其在日本的14家工廠總共28條生產線被迫暫停;特斯拉的無鑰匙進入系統爆出重大安全漏洞,攻擊者10秒內可解鎖一輛Model3或ModelY;富士康母公司鴻海集團位于墨西哥的一家工廠遭勒索軟件攻擊。
我國工業互聯網安全形勢同樣嚴峻。
第三方數據顯示,2021年國家工信安全中心完成全國工業控制系統威脅誘捕網絡部署工程,全年共捕獲來自境外105個國家和地區對我國實施的掃描探測、信息讀取等惡意行為超過600萬次。2021年,國家工業信息安全漏洞庫(CICSVD)新收錄工業信息安全漏洞1504個,高危及以上漏洞964個。
工業互聯網的安全威脅為何日益增大,甚至頻頻遭到攻擊?
Fortine北亞區首席技術顧問譚杰告訴觀察者網,首先,如今的工業企業都強調智能制造、柔性制造以及互聯網+等,以往的封閉環境會逐漸開放。例如車企會做車聯網,企業工廠也會與云計算相連。而開放的網絡環境,意味著IT需要面對的安全威脅,OT一樣也會面對。
其次,制造業的價值比較龐大,甚至決定一國家綜合實力,與互聯網連接后,最容易成為黑客攻擊的對象,安全事件層出不窮,因為其中的誘惑太大了。
第三,產業鏈緊密相連,導致OT安全更容易牽一發動全身,一旦產業鏈中的某個企業遭受安全威脅,很容易擴散到上下游。因此無論國內國際,企業在做安全防護的時候,不但對自己有要求,對產業鏈相關企業也會有統一的要求,所以出現了各種國家和行業級的合規要求。
網絡攻擊直逼生產一線,該怎么辦?
“和IT不同,OT安全事故造成產線停擺帶來的損失是以秒計算的。工業進入互聯網時代,這意味著OT設備逐步上網,企業內部工業、管理網絡開始與互聯網打通,大量網絡安全威脅將開始從外網向工業內網延伸,網絡攻擊直逼生產一線。”Nozomi亞洲業務總監楊銳表示。
在分享自己2019年處理的一則汽車行業OT安全事件時,Fortinet資深安全工程師莊喆皓表示,OT攻擊的過程可以分為三個階段:事前、事中和事后。縱觀整個攻擊事件,如果將生產線停擺的時間計算在內的話,OT攻擊的時間跨度短則一周,長則數月。
IT和OT融合背景下,企業如何從IT安全的邏輯出發解決OT安全問題的重要性凸顯。施耐德電氣工業自動化與信息安全業務負責人裴淵斗表示,OT安全和IT安全應該采用同樣的方法論,從流程、政策、技術幾個方面一起入手建立信息安全防護的體系。
Fortinet中國區技術總監張略表示,IT和OT之間在可用性、實時性、組件生命周期、補丁更新頻率、安全測試承受力以及用戶安全意識方面都存在差異。而這些決定了OT安全策略可以從IT安全策略出發,但絕不能完全照搬。
譚杰則向觀察者網表示,OT做內生安全還是有較大欠缺的,不可能通過內生系統的安全解決所有的問題,所以需要一個比較強大的外部安全體系,像Fortinet這樣的安全方案供應商,像傳統OT系統廠商,以及一些OT專業的產品廠商,再包括客戶可以配合起來,一起打造強大的外部安全體系,提升整個工業互聯網的安全水平。
隨著近年OT攻擊事件頻發,企業的安全意識開始上升。IDC數據顯示,截至2022年,有超過76.9%的企業認為,安全政策對于企業使用工業信息安全產品會帶來正向影響。
譚杰指出,中國以制造業立國,頭部OT企業無論從自身的業務角度,還是從配套安全體系方面都是世界領先的。但其他企業在OT安全方面仍存在一些短板,無論從意識上、人員配備上還是成本投入方面,還是有很多的欠缺。跟頭部企業相比,距離仍然較遠。
張略則提到,目前國際上較為成熟的企業在OT安全投入的資金占總產線價值的比例約為5%,而國內企業的數據為1.5%-3%。
“第三方加入是行業必然方向”
以往,設備的OT安全通常由傳統OT設備企業全權負責,不過隨著行業的發展,近年來一批類似Fortinet的企業以第三方的身份加入到行業中。
張略向觀察者網等媒體表示,在安全策略方面,目前傳統的OT企業還存在知識鴻溝。很多企業非常懂工業但不懂IT,然而現在的安全風險,絕大多數是來自于IT網絡,“我們聽到很多勒索病毒,很多基于漏洞的攻擊,也是IT傳統領域中的攻擊。這也是為什么第三方企業應該把擅長的IT安全的這部分,賦能給整個系統。”
作為OT設備企業,Nozomi亞洲業務總監楊銳表示,第三方的加入是行業的必然方向。“和IT安全發展歷程一樣,20年前的IT安全生態是由IT設備企業驅動的,但是如今看來,IT安全行業的垂直細分領域已經很多了,其中有很大一部分是第三方在負責運營。”
第三方數據顯示,2021年,在全球OT安全領導廠商中,Cisco(思科)以市場份額18.3%占據第一,Fortinet(飛塔)、Palo Alto Networks(派拓網絡)分別以9.5%和7.7%位列第二第三,而老牌OT設備企業Siemens(西門子)僅以6.8%的市場份額位列第四。
另據IDC數據,2021年中國工業信息安全市場規模為4.29億美元,預計到2025年,市場規模將達到13.95億美元。
與譚杰的觀點類似,楊銳也認為,正因未來OT行業的設備數量級將以“百億”作為量級,所以OT安全所涉及的領域和市場要遠比IT安全行業多。在這樣的背景下,沒有一家服務商能夠把所有問題全部解決,全方位合作才是大趨勢。
“OT設備商需要思考舊的基建該如何接入客戶已經組建的網絡,新的基建該如何提前布局,在這一過程中,我認為這是一個百舸爭流的時代,企業各有各的長處,而最重要的是要幫助客戶解決安全風險。”張略表示。
