Fortinet,一个务实的理想主义者

业界
1月前

务实的理想主义者,为了改变这个世界的恶,会主动拥抱世界,懂得世界的规则,用现实主义的务实方式,实现心中的理想。

▶ OT与IT的现实世界

传统的工业互联网(OT),与IT完全隔离,运行在专有硬件上,通过专有协议进行控制与通信;现在的OT,与IT深度融合,不但与公司IT网络互联,使用着共同的TCP/IP协议和标准WiFi协议进行通信,甚至连硬件和操作系统都开始通用。以前完全隔离和各自专用的两者现在紧密的连接在了一起。因此,IT面临的安全风险,开始无缝的转移到OT这个“安全留级生”身上。

同时,OT安全与IT安全有基因上的不同,无法简单的认为OT安全就是从IT扩展而来。两者最大的区别,IT是CIA,而OT是AIC。

对IT来说,机密性>完整性>可用性,机密性是第一位的,偶尔重启,短暂的掉线、停机都是可以接受的,可以有冗余、备份等多项措施来承担;对OT来说,这个顺序恰好颠倒,可用性>完整性>机密性,工业生产环境中,生产的连续性是最重要的,多个工业用户明确表示过,停工一小时的损失,远超企业全年的IT建设投入。

这就是OT与IT的现实世界:融合带来的边界消失,使IT面对的风险向OT迅速转移,但OT安全却与IT安全存在基因上的差别,难以直接将IT安全套用到OT安全。

▶ Fortinet的理想

针对这样的现实,Fortinet的理想是,让安全无处不在,覆盖OT安全的整个攻击平面。

这听起来不太可能。

工控领域S7、Modbus、OPC、Profinet、DNP3、HART等几大协议,千百家厂商,数万种主流设备及专有应用。套用当年RSAC创新沙盒大赛冠军AXONIUS的一句话来说,“You can’t secure what you can’t see!”资产不清,威胁不明。只有在工业领域深耕多年,才能掌握如此之多的工业专有协议、设备及应用的指纹特征。Fortinet有这个积累吗?

工业控制的Purdue模型多年来自成一套,攻击者的攻击路径和传统IT大相径庭。面对0到5层的模型架构,传统IT安全措施向下需要深入工控终端及系统内部,向上需要在汇聚层、控制层、边界层乃至企业层做好多级间的隔离防护。没有任何一项银弹黑科技能够做好这么多攻击暴露面的安全监测与防护工作。即便是Fortinet也没有!

覆盖整个攻击平面?这更像是一个理想主义者的一厢情愿。

▶ 务实的理想主义者

理想主义者的本质特点,是对初心的笃信,这是理想主义者最大的优势,也是最大的劣势。不成熟的理想主义者,很容易落入“自以为是的道德自信”的窠臼。成熟的理想主义者,则会务实地学习用现实主义者的方式去实现自己的初心。

Fortinet选择做一个务实的理想主义者。它的“务实”体现在三个方面:

1.选择解决当下,不奢求一步到位

认清IT与OT融合带来的各种风险后,Fortinet立刻接受了工业场景的现实,即在AIC(可用性>完整性>机密性)的前提下,坚持“绝不轻易深入底层设备”的原则,先做集中化的安全梳理,然后在确保不影响业务的情况下,通过微分段隔离、虚拟补丁等方式,帮助用户解决眼下的安全问题,有效缓解短时间内的安全压力,然后再二期、三期建设中,再循序渐进,逐步尝试把安全管控延伸到PLC等二层设备中。

在这一点上,Fortinet有清醒的认识:针对OT环境来说,“隔离”并不是唯一的手段,但就目前而言,却是可执行性最强的抓手。

2.选择体系化,不幻想黑科技

既然没有银弹黑科技,Fortinet并不幻想着能够“灵光一闪,神功大成”,而是用“体系化”的力量,依靠环环相扣的架构,依靠整体健壮性,增强对风险的控制和承受能力。

Fortinet将零信任框架(ZTA)等先进的IT安全理念,与工业控制Purdue模型融合,提供基于SCADA安全的主动防御能力,使企业安全与Purdue模型保持一致。通过无处不在的策略执行点,覆盖终端、网络通道、云平台以及IT/OT应用的所有攻击平面,再通过自动编排,实现安全响应的快速自动化,发挥出ZTNA的体系化优势。

目前,Fortinet Security Fabric实现了OT体系化安全方案的落地,通过可视化、集中管理、安全域划分、网络准入、抵御已知与未知威胁、分析定位、OT态势感知与响应、信任评估等8个阶段,为用户提供体系化的工控安全整体解决方案。

1-1.png

3.选择生态合作,不搞一家独大

Fortinet与西门子、ABB、Rockwell等数十家伙伴合作,具备了能识别超过1800个工业应用的能力,拥有了业界最全面的特征库之一;与Tenable等安全企业合作,在PLC/RTU等控制层设备实现了安全监测与安全的可视化;与Nozomi等第三方厂商合作组成联合解决方案,使FortiGate等设备与之进行联动,有效监测异常,并对异常行为进行自动检测与自动响应。

就在上个月,Fortinet 在深圳还召开了一场OT峰会,邀请了用户、设备厂商、生态合作伙伴多个角色的朋友来一起站台演讲做分享,分享的内容也远不局限于“安全”,除了亚马逊云的生态合作,还有东方雨虹的供应链、吉利控股的全球骨干网络等等。Fortinet的朋友圈里,OT小伙伴的数量一直在增加。

一家安全厂商眼里不只有安全,还有云,有网,有链,有世界生态,有众多合作伙伴的合作共赢,这本身就是超强执行力与资源调度能力的体现。在不断整合能力,务实解决用户实际问题的过程中,它的初心却始终未变——安全无处不在。这就是Fortinet,一个务实的理想主义者。

▶ 相关文章