近年来,制造业为了向高端化、智能化、绿色化方向发展,围绕数字化、网络化、智能化转型进行了大规模的工业上云技术改造,其中大部分是对设备进行物联网和自控系统的升级改造。
不可否认,工业上云大大提高了生产效率、降低了运营成本,被业界广泛认为是推进新型工业化的关键路径。但我们也应清醒地认识到,工业上云也面临着很多网络安全挑战,比如IT/OT网络及边界安全、上云的数据安全,企业尚缺乏有效的安全防护措施。
OT安全问题凸显
与IT不同,制造业生产设备通常会比较零散化,并且固件比较简单且很少更新升级,安全防护能力严重不足,也难以适应新的数据安全防护需求。正因如此,OT恶意软件便乘虚而入,对这些具有漏洞和“后门”的工控系统及设备恶意攻击,让工业上云的安全风险加剧。
派拓网络大中华区总裁陈文俊表示,有报告预测到2030年之前,企业物联网设备的数量比联网人群数量多4倍,也就是说我们一个人可能会有多设备的物联网设备。所以在受到网络攻击的时候,这些设备可能就会成为跳板,恶意攻击者进入这个设备以后做一个横向迁移或者横向移动,进入企业内部发动一些攻击,或者是让数据泄漏,这些都有可能通过物联网设备而产生。
陈文俊认为,传统的网络安全没有跟上现在智能设备、IoT设备联网的要求。因为我们很多时候看不到这些设备,传统的网络安全对这种看不到的东西无法识别,也无法识别这种攻击。很多时候我们只是关注了IT设备,OT设备我们没有去关注,所以我们很多时候看不到OT设备。如果具体到企业的IT人员、CIO,可能就会成为安全盲点,因为他们不知道有多少OT设备连到网络上。
正因为看不到这些设备,当它们连上网络,就不能够及时去做防护、升级和打补丁,很多漏洞就因此暴露出来,所以它们可能有安全风险存在。在传统的安全架构下,都是通过人工来登记设备,才能知道网络上有什么设备,它们并不是及时、动态更新的。面对越来越快、越来越智能的恶意攻击,我们很多时候也无法察觉,及时做防护抵挡。
同样是因为缺乏设备的可视性,我们看不到设备就不知道怎么去做防护。即使我们看得到,但因为是一个平的网络,没有办法分段和隔离,也很容易在受到攻击以后很快就会扩散。
还有个责任问题,这些物联网设备归属谁来管,是IT部门还是其他部门?很多企业这方面的责任也没有分得很清楚,这个时候也导致管理上的一些漏洞,使得IT、OT设备成为暴露在网络上容易受到攻击的一个最大威胁。陈文俊强调,所以我们觉得需要有很好的管理方式来做防护。
OT网络可视是关键
传统安全架构下OT层网络无设备可视化能力,这是当前很多企业遇到的工业互联网安全难题。如何找到一种对生产影响最小而又具有良好的可靠性、应用性的安全方案,是企业解决工业设备安全、工业上云安全的当务之急。
企业必须要提高工业生产业务层面的网络安全监测能力,我们不妨看一下派拓网络的IoT/OT解决思路:让企业对连上网络的设备能够做到自动识别,自动识别以后,再帮助企业做分段、隔离,减少安全风险。
做到可视以后,再做持续的监控,也就是说当设备连上网络以后,就对其持续的监控、管控,一旦发现有可疑行为,马上就能采取措施。陈文俊表示,我们也能跟第三方系统集成,比如企业的管控系统、资源里面的系统、监控系统,我们都能做集成,从而实现一个界面上的一体化管控。并且派拓网络有云端,通过安全的遥测可视化安全性,在不同的设备上管控上面的IT、OT设备,这就是派拓网络最新推出的最新推出的IoT/OT的解决方案。
谈到派拓网络IoT/OT解决方案相较于传统方案的优势,陈文俊表示,首先就是能够自动化发现,90%连上网络的设备在48小时之内就能够被我们自动监测到,因此企业能够对IoT进行保护,它的成本能够节省70%,同时有10%的设备能够减少新设备的采购量。
因为有可视化,可以监测到哪些设备连上网络,我们就知道有些不需要做重复部署。我们知道这个设备在,就可以很好地利用,把新设备的重复采购减少10%,这是采用派拓网络IoT安全的优点。
第二,派拓网络的解决方案能够对多种场景做集成,跟第三方做集成,也就是跟企业的IoT、工业IoT、医疗IoT都能够做集成管理。除了发现、监测这些设备以外,一旦出现问题,还能预防、阻断,这是派拓网络解决方案先进之处。
陈文俊介绍道,我们跟神州云计算合作运营IoT落地,在中国区域里面有一个安全数据湖,我们所有的数据都是留在国内数据湖中不出境的,所以完全符合国家的网络安全法、个人隐私保护法、数据安全法,企业也不必担心数据安全问题。
通过安全检测、安全可视化,以及硬件防火墙、软件防火墙,还有SASE服务,能够监测、管控到各种各样IoT的设备,这是派拓网络在中国落地的整体服务。
OT安全的未来
工业上云的安全防护需要做的“安全功课”很多,绝不是简单地把传统的IT安全产品加上OT的功能和特性。制造业在各种新技术应用下正以前所未有的速度发展中,因此工业安全防护必须要有前瞻性,需要用更为先进的理念和技术来防护OT安全。
派拓网络大中华区售前总经理董春涛表示,过去我们即使知道IoT安全是个漏洞,但是也没有办法做到防护,主要是因为设备型号太多,识别能力不够。现在,我们采用了AI技术,面对已知的和未知的IoT设备,都能很快识别,并且识别不是静态的而是动态呈现的。
做了这些以后,会减掉90%的报警工作量,另外10%可能会呈现给企业的IT或者OT的管理人员,这个派拓网络也都做到了自动化,所以未来它是自动化持续的过程。以后就像传统的安全设备一样,它会慢慢植入到企业安全的DNA里面去。
董春涛认为IoT安全以后会跟IT安全是并驾齐驱的,甚至是超过IT安全的一个大类。所以在未来的几年,这些认知逐渐会被更多地采纳和接受, IoT安全未来是一个非常大的“赛道”。
在谈到企业OT安全的发展,陈文俊表示,对企业来说最容易的管控,就是在它IT的管控里面再加上OT的管控,是最简单、成本最低的,就不需要另外去建一套。这也是派拓网络的做法,现在这些设备原来都是管IT的,把它加上IoT和OT服务的功能,一体化来做管控,这样对企业来说是最好的管控。
