FortiTalk圆桌论坛：聚焦融合之势，漫话OT安全

       长期以来，信息技术（IT）与操作运营技术（OT）在制造企业中相对独立，彼此之间相互隔离。然而，随着新一轮工业革命的推进，在工业互联网和智能制造热潮之下，企业为了改善业务系统及各部门之间的整体信息流动，提升生产制造的透明化、智能化与敏捷性，控制能源消耗与成本，提高企业运营效率与水平等，IT与OT之间形同陌路的局面亟需被打破，融合势在必行。

       当人们聚焦到IT与OT融合的新赛道上，不禁会产生一系列问题：如何定义目前IT与OT的融合程度？如何更好的建立IT/OT深度融合通道？IT/OT深度融合后会在信息安全上产生哪些新的变化，企业如何更好的进行防护？

       对此，Fortinet在日前举办了以“从全球化到本地化，从IT到OT，你了解多少？”为主题的FortiTalk圆桌讨论，Fortinet D-team负责人王涛、Fortinet北亚区首席技术顾问谭杰和施耐德电气中国区工业自动化信息安全业务负责人裴渊斗就如何看待目前IT与OT的融合程度与意义、如何更好的防范IT与OT融合带来的安全风险等问题进行了探讨，为制造企业更好的推进IT与OT深度融合，确保数字时代下的安全无忧生产带来了新的思考。

春江水暖鸭先知，IT与OT正走向深度融合

       在施耐德电气中国区工业自动化信息安全业务负责人裴渊斗看来，尽管IT与OT在过去一直处于彼此共存而又相互独立，但碰撞还是时有发生的。从制造企业的角度，一般而言处理工厂的数据和信息，并以维护所制造产品的质量为目标的，如网络与通信技术、信息存储与传递技术、云技术与云设施等，属于IT范畴。另外的控制和分析整个的生产过程以获得进一步改善的，如可编程逻辑可控制器PLC、分布式控制系统DCS、数据采集与监视控制系统SCADA、人机界面HMI、数控系统CNC等则属于OT范畴。

       由于OT直接面对工业生产的物理设备和过程，保证其安全稳定运行，按质按量生产产品是其首要目标，因此长期以来惯于采用专用的系统、网络和软件。此外，OT系统的长生命周期、应用环境的特殊性、定制化的需求、知识和能力的传承等都与IT信息系统大相径庭，因此，在过去很长一段时间里，IT与OT虽偶有交集，但整体上仍然各自为阵，岁月静好。

       然而随着智能制造的推进，IT也需要OT的场景和知识来扩张其应用，OT需要采用IT领域的先进实践，以优化业务流程、增强决策信息、提高效率、降低成本与风险以及缩短项目时间，因此，这也就要求制造企业必须跨越IT与OT之间的鸿沟，推动IT与OT朝着深度融合的方向发展。

       对此，Fortinet D-team负责人王涛介绍一个典型的例子就是部分制造企业开始“从线下走向线上”的定制化生产模式。以某服装品牌为例，用户只需要打开手机里的微信公众号，通过在线智能系统填上心仪的衬衣材质、尺寸、颜色等相关信息，仅需几分钟就可以在线下单，直达定制化工厂进行生产，三天内便可收到货物。

       这也说明整个工厂已经打通电商、生产和物流整个供应链，使各个环节的横向与纵向数据能够透明交互。从IT视角来看，它更希望工厂底层是透明化的，而非“黑盒子”，这样IT人员就能清晰地知道所获取的数据的含义，而无需人工进行额外的数据解析工作。企业通过汇总消费者手机客户端的订单，进行生产计划的接受、排序、调整、下发，完成MES系统生产过程的配置管理工作

       从信息安全的角度，Fortinet北亚区首席技术顾问谭杰则强调IT与OT融合是一个持续进行且长期存在的过程。例如IT领域在进行安全防护中，零信任结构被常常提起。Gartner也提出过（CSMA）安全数字网格，这些慢慢的都开始在OT环境中开始应用。包括Fortinet提出的Security Fabric理念，词典中Fabric翻译为织布，这就宛如IT与OT一样从一个原点开始，经纬正不断的越织越大。 

他山之石可攻玉，封闭性打破后如何保障OT安全

       可以看到，在IT与OT融合过程中，非常基础也非常关键的挑战在于，如何让工业控制系统从封闭割裂的技术及生态慢慢走向开放统一的技术生态，使其依托通用的平台层与开放的生态实现控制域的软硬件“打通与解耦”。谭杰表示此举将大大增加控制域的设计、部署、使用、维护灵活性，并可以让工业应用的开发人员得以利用这些标准，创建以前可能难以创建的各类应用，进而得以实现全面的数字化转型。

       但谭杰同时指出，对于大部分制造企业而言，特别是传统制造业，许多信息系统已经运行了十几年还在服役，OT系统不像IT环境频繁的更换软硬件设备。工业本身要求的高可靠、稳定性带来许多软件难以及时升级、系统补丁兼容性差、发布周期长等问题，使得企业不具备及时处理严重威胁漏洞的能力。例如传统信息网络所使用的通信协议大部分都是标准而开放的协议，而工业控制网络使用的大部分都是私有协议，协议的私密性对安全产品提出较高的要求，只有安全产品能够针对工业控制协议进行细粒度的解析，才能实现细粒度的安全防护能力与功能。

       对此，裴渊斗认为OT安全实际上应该如同IT安全一样从顶层开始设计，从安全防护体系所需的流程、人才、技术、政策等多维度入手，进行风险评估后再逐步梳理，完成统一设计。这其中要特别注意OT环境的应用场合和使用对象，都有着其特殊性。

       工业安全相较于传统信息安全而言，有着自身的特点。一个典型的例子是以OT环境以“可用性”为首要需求，在工控系统中安全产品一旦出现误阻隔，效果等同于攻击；而传统的IT系统则以“保密性”为首要需求。对于很多制造企业而言生产网的稳定性要求非常高，不稳定的系统或高时延极有可能导致工业企业生产混沌，使其蒙受经济损失。

       具体到各个维度，谭杰表示一个重点工作是如何让OT站在IT的肩膀上，将已经成熟的IT前沿技术划归己用，而不是重复走老路。特别是在数字孪生、工业元宇宙这些新概念加持下，制造企业在新技术应用下正呈现出前所未有的速度，如果在OT安全防护上慢慢补课，势必导致差距越来越大。

       例如为了应对勒索病毒，在IT领域中EDR (Endpoint Detection & Response )技术已经比较成熟了，针对一些OT环境中的老旧系统，实际上EDR可以进行某种程度上的加固，填补了OT环境在高级威胁检测及响应方面的短板。

       再比如IT领域进行谈到的“零信任”，以Fortinet为例制定了零信任网络访问策略，对寻求网络访问的所有用户和设备进行识别和分类，评估它们的内部安全策略合规性状态，自动将其分配到控制区，然后持续监控其在连接和非连接网络时的活动。如果增加新用户行为例如OT设备，都需要满足对零信任的框架要求，才赋予它相应的访问权限，该策略不仅减少了以边界为中心的安全策略为OT环境带来的诸多风险，还提高了整个OT环境的可视性和控制力，同时简化了整体网络和安全管理。

       最后，王涛重点介绍了“蜜罐”技术在OT环境的部署和应用。“蜜罐”技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析。这也比较适合对于OT的数据流转从上层ERP系统往下到MES，传递至HMI，进行PLC控制的分级方式。例如Fortinet可模拟一系列采用Ethernet/IP、S7COMM、MODBUS、BACNET等协议的SCADA/ICS设备以及包含数据和应用的IT设备（如Windows、Linux），诱骗攻击者上钩。

       由于环境真假难辨，攻击者与诱饵进行的何种交互都会立即触发警报。但值得注意的是，制造企业员工只会与真实环境交互，所以这些警报表明确实存在攻击。这也解决了OT环境下很多病毒在没影响到生产时，往往被管理人员“忽略”的窘境。通过“蜜罐”技术可以尽早的暴露攻击源，提醒安全人员进行排查隐患。

       站在工业自动化厂商的角度，裴渊斗介绍近年来以施耐德电气为代表也在IT和OT融合过程中，加快脚步，坚持相向而行，不仅通过在自身工厂进行数字化转型，成功的验证了IT和OT融合的效果。施耐德电气在全球有四家工厂被世界经济论坛评为“灯塔工厂”，在中国无锡就有一家“端到端的灯塔工厂”；还提供IOT平台以及如先进控制，实时优化、预测性维护、资产管理等一系列软件帮助我们的客户进行数字化转型；此外施耐德电气在2020年底发布了基于IEC 61499标准的EcoStruxure开放自动化平台，它可以促使自动化应用程序能够使用以资产为中心、可移植、经验证的软件组件来构建，而无需依赖底层硬件基础设施，在OT系统内部的产品层面提供更开放的平台以及深度融合的可能。为了保障IT和OT融合的成果，施耐德电气倡导遵循相关国家和国际标准，采用纵深防御理念，提供全生命周期信息安全服务为行业和客户的IT和OT融合保驾护航。

绝知此事要躬行，企业安全管控意识仍需加强

       可以预见的是，随着IT与OT深度融合，以及智能制造为代表的持续升温，包括整个工业互联网的进程加速，企业设备、网络和平台的三个阶层传递中无疑会增加新的风险点。但从国内整体安全市场环境看，制造企业对于OT安全的认知与重视度仍远远不足。

       裴渊斗坦言对于国内很多制造企业而言，安全防护的投入都被认为是一种成本支出，在没有经历现实安全事件的时候，很多企业难免抱着一种能省则省的心态。实际上，数据也显示相较于国外企业安全支出在整体信息化中10%占比而言，国内企业在安全领域的投入占比甚至达不到1%。

       当然，他也表示这种意识形态也随着外部环境和国家政策而不断改变。例如我国去年制定了“两法一条例”（即《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《国务院关键信息基础设施保护条例》），这也从侧面刺激了相关制造企业满足合规性要求。

       站在工业安全服务商的角度，谭杰介绍适应工业环境的下一代防火墙类产品是制造企业的首选。此外，在经过不断升级的网络威胁之后，也可以看到许多企业不仅通过强化设备而且通过加强对可能的数据泄露的监控来加强其基础设施。包括Fortinet解决方案的一部分工作是为OT环境梳理更统一、更简单的设置，进而形成全面、完善的安全架构，用于面对已知威胁提供可视化和防御能力，基于工控协议的可执行威胁情报执行，以帮助制造企业获得更佳的安全防护能力。

       在王涛看来，在实现IT与OT的深度融合过程中，很重要的一点就是“让IT更懂OT，OT也更懂IT”，两者之间没有沟通与协作障碍，并且可以让先进的IT技术与实践更好地赋能OT。尽管开放的过程中难免会遇到安全等各种挑战，但以Fortinet、施耐德电气为代表的信息安全厂商和工业自动化厂商正在相向而行，迈出了坚决的一步。

       值得一提的是，Fortinet已于11月16日在苏州成功举办了“2022 Fortinet工业互联网安全发展峰会”，峰会覆盖云平台、工业安全、网络安全、通信等多领域、生态化，各OT安全生态角色进行了精彩的思维碰撞。只有秉承科学合理的基础架构，实现资产和态势的可视化，通过覆盖全部攻击平面以及全部攻击链环节的弹性安全体系的构建，才能确保OT安全，保障工业企业的业务可持续。