“哪些是OT設備？哪些是IT設備？”

但凡問一家數字化做得還不錯的制造工廠負責人，這個問題都將變得讓其難以回答。原因在于，在日新月異的工業4.0時代，IT與OT的邊界變得越來越模糊，一些工業設備不僅在物理上連接OT與IT，它們在功能上也跨越了兩者的界限。

拿PLC（可編程邏輯控制器）舉例，傳統的PLC是典型的OT設備，用于控制工廠中的機械設備、自動化生產線等。而智能化的PLC或直連云端，或以軟PLC的形態運行在Windows等PC硬件中，或變身云化PLC直接部署在云端，而已無法簡單歸類為OT還是IT設備。

隨著工業互聯網、智能制造的推進，一些智能傳感器、工業網關、邊緣計算設備等，既參與生產過程中的控制和監測，又具備數據處理、通信和分析能力，體現了現代工業發展的融合趨勢。

像IT安全一樣思考

OT現代化代表了與IT的加速融合。那么，安全怎么辦？這是擺在工業制造企業管理者面前的現實問題，因為物理隔離已經成為過去。

“60%的企業已將OT安全職責交由C級高管負責。”Fortinet發布的《2024年全球運營技術與網絡安全態勢研究報告》，凸顯了OT安全在企業運營和治理中的重要性提升。

不難理解，回顧過去數年以來發生的重大OT安全事件，導致的企業生產中斷、巨額勒索贖金支付等，都是難以承受之重，此外，因網絡攻擊導致的數據泄露、名譽受損等同樣是巨大的風險損失。究其背后原因，這些攻擊是如何發生的？Fortinet報告顯示，釣魚郵件、勒索攻擊、DDoS攻擊、惡意軟件等是工業制造企業遭遇的主要威脅入侵，它們又因工控安全漏洞、Web/應用程序威脅、物聯網/網絡設備威脅、內部數據泄露等原因導致。

看得出，這些攻擊手段與IT安全所遭遇的威脅并無本質差別，只因工業互聯網的升級，將原本工業園區在廠房內的風險點暴露在了互聯網上，所以借鑒IT安全在方法論、技術和架構上的實踐是一種必然，這也是OT與IT融合的體現。

例如，進行有效的漏洞管理，采用虛擬補丁等技術，協助OT硬件和軟件的漏洞修補；進行邊界防護，阻斷異常的網絡流量；實施網絡分段，縮小攻擊面；引入零信任模型，確保每個訪問請求都經過身份驗證和授權；厘清內部資產，提升工業互聯網的可視性；建立應急響應機制等。

以上均是保障OT安全的有效手段，但還不足，而需進一步增強。

其一，搭平臺。

無論是IT安全還是OT安全，孤立分散的單點防護弊端越來越明顯，例如安全信息不共享致使缺乏協作響應能力，單產品獨立工作使得整個OT網絡可見性存在盲點，以及帶來較高的管理復雜性和維護成本等。

Fortinet提供了一種平臺化思路和方案。

“跨所有網絡邊界、用戶和設備實現安全與網絡融合，全面整合安全運營平臺、加速威脅檢測與響應，確保安全訪問并保護網絡以及任意云上應用程序和數據。”在日前于廣州舉辦的“2024年Fortinet OT工業安全高峰論壇”上，Fortinet中國區總經理李宏凱道出了Fortinet護航OT安全的方法論，即以安全組網、安全運營和統一SASE為基石，打造統一的OT安全平臺方案。

Fortinet OT安全平臺根植于Fortinet Security Fabric與旗艦級操作系統FortiOS，通過集成各種安全工具、系統和流程，能夠助力工業制造企業實現自動化的威脅檢測、分析和響應，“且能夠精準契合企業在不同發展階段及多樣化場景下的安全需求，這也是Fortinet引以為豪的特色。”李宏凱表示。

具體來看，從FortiGate防火墻、FortiSwitch交換機到FortiAP無線接入點，再到OT Security Service、FortiEDR端點檢測與響應、FortiAuthenticator身份認證、FortiToken雙因素認證，以及FortiSOAR安全編排與自動化響應等，這些組件協同工作，實現了網絡分段與微分段、虛擬補丁、端點保護、廣域網優化、安全遠程訪問及合規性報告等全方位防護。

其二，要懂工業場景。

需要說明的是，OT安全不是簡單地對IT安全架構產品的復制照搬。只因工控領域有大量的專有協議、OT系統追求穩定性和可用性、OT設備要避免高頻度的變更、工業控制對實時性要求更高，以及一些獨特的工業環境限制等。

因此，安全方案和產品的引入，要求供應商要懂工業場景。

在此方面，Fortinet無疑是工業領域的懂行人，深度契合OT網絡架構、協議及應用需求，支持3200個以上不同的工業協議，支持1200多個OT虛擬補丁規則，以及支持超過1100個OT應用程序檢測規則等，讓Fortinet向一個“專業OT廠商”變身；在產品上，Fortinet打造了專為嚴苛OT環境設計的FortiGate Rugged系列、FortiSwitch Rugged系列、FortiAP室外系列，以及車聯網方案FortiExtender Vehicle等，強化網絡可靠性和滿足工業場景需求。

并且，為了滿足一些工業生產不間斷需求，同時保障安全，Fortinet在產品服務上做出了一系列創新。例如，提供工業級的蜜罐，不影響生產任務正常運行；FortiGuard OT安全服務新增虛擬補丁簽名功能，實現更廣泛的漏洞防護，有效隔離和保護未修復OT資產等。

此外，Fortinet在OT安全運營的AI能力上還進行了顯著增強。

用AI對抗AI

為什么要強化AI能力？因為，對手已經用起來了！

Fortinet研究發現，通過足夠的訓練，以生成對抗網絡生成的惡意軟件可以規避幾乎所有的防病毒和IPS引擎的檢測；利用生成對抗網絡+遷移學習，訓練后的模型可以攻破全球排名前50的網站的文本驗證碼系統；利用智能網絡逃逸技術，能夠生成“最低程度被檢測出”的軟件。

Fortinet中國區南區技術負責人玉文鋒感嘆說，“AI賦能的智能網絡攻擊對傳統的防御系統或者檢測系統來說是一個降維打擊。”

“應對智能化的攻擊，我們的方案是用AI對抗AI，用魔法打敗魔法。”玉文鋒表示，Fortinet憑借超過10年的AI/ML經驗，構建了包括第6代機器學習技術和59項AI專利在內的強大技術體系，并開發了近百個AI相關的應用，以及42個AI驅動的解決方案。Fortinet的產品幾乎涵蓋了主要的機器學習算法，對AI的運用是全景式的。

對Fortinet OT安全平臺來說，通過深度融合AI技術，在威脅情報、惡意軟件檢測、網絡檢測和SecOps能力上得到了賦能和提升。

在威脅情報上，FortiGuard Labs每天通過AI/機器學習處理數萬億安全事件，從而在云上訓練出FortiGuard神經網絡大模型，通過對大模型裁減微調，推送到不同的客戶端設備上，有效抵御了基于AI的高級威脅。

在惡意軟件檢測上，Fortinet的一系列產品進行了革新。AI增強的防病毒引擎取代FortiGate老舊的啟發式引擎，使得FortiGate防火墻也具備0day防御能力；FortiEDR完全拋棄了特征庫的模式，采用了云端AI模型，并結合本地機器學習的方式進行惡意軟件的檢測；FortiNDR經過云端大模型預訓練和本地訓練后，對勒索軟件、挖礦軟件、信息盜取軟件有著快速準確的識別能力；FortiSandbox基于行為的ML檢測，大大提升了威脅識別的準確率和效率。

在網絡檢測上，AI為DDoS攻擊防御帶來驚人的變化，FortiDDoS通過監控高達23萬多個參數，學習流量模型、區分合法和攻擊，實現全自動學習、監控和攻擊清除；FortiNDR除了以上對文件的精準檢測外，通過機器學習應用于流量分析，在觸發的46萬個網絡異常報告中，誤報率小于1%，獲得極佳的準確率表現；FortiWeb使用2層機器學習模型，本地模型進行異常檢測解決效率問題，云端預訓練進行威脅檢測大大提升了精確率。

在AI驅動的SecOps方面，FortiAI賦能FortiManager、FortiAnalyzer、FortiSIEM、FortiSOAR等，為OT安全運營帶來革命性變革。以集成FortiAI的FortiAnalyzer舉例，它能高效解讀安全事件，提供有關補救措施的洞察和建議，包括威脅響應建議和威脅狩獵指標。還可針對惡意軟件特征分析、攻擊者配置文件和策略提供價值信息，并具備使用自然語言進行復雜數據庫查詢和報告創建的能力，簡化了安全運營管理，提升了效率。

玉文鋒指出，從2012年開始，Fortinet便在使用機器學習技術，基于長時間的技術積累，領先的機器學習算法，以及FortiGate、FortiGuard等積累的品類最齊全、最豐富的攻擊大數據，在AI的安全方案場景應用上，FortiAI是名列前茅的。

與伙伴深度合作與集成

當然，無論是用AI對抗新挑戰，還是完善OT平臺化安全，以及做到更好地懂工業場景和業務，離不開廣泛的生態系統合作，支持協同互操作，聯合方案創新。

通過與500多家IT/OT伙伴的深度合作與集成，Fortinet OT安全平臺簡化了安全復雜性，不斷促進產業鏈上下游企業的協同創新。

此次論壇上，Fortinet攜手施耐德電氣就共同發布了基于關鍵裝置、關鍵設備微隔離防護的 “Fortinet X Schneider Electric工業零信任聯合解決方案”，方案融合了Fortinet在網絡安全領域的領先理念和技術，以及施耐德電氣在工業自動化領域及各行業應用的經驗和知識，構建了深入工業控制系統內部的零信任網絡架構；以及在項目落地實踐中，Fortinet與羅克韋爾自動化聯合合作，在某客戶的攻防演練行動中打造了一個全方位、立體化的Security Fabric全面防護體系，構建起了一道抵御惡意郵件、APT攻擊、釣魚攻擊等多種安全威脅的堅固防線，取得了零扣分的優異成績。

以平臺方法構建OT安全新架構，與伙伴一起實現更緊密的集成，“以AI對抗AI”創新技術，Fortinet與生態伙伴一道，正拉起一條堅不可摧的OT安全新防線。