“OT安全，是Fortinet的企业战略。”

虽然已经将引以为傲的Fortinet Security Fabric架构，应用于工业控制Purdue模型；虽然有穿上工装、带着安全帽的防火墙、ZTNA零信任、SD-WAN、沙盒、蜜罐、EDR等几员大将坐镇。

但Fortinet还是认为，只有深入生产线，才能看见那些还在运行的Windows XP系统、才能认识工业大佬的那些私有工业协议和工业应用，也才能知道OT安全的下一步该怎么走。

【Fortinet中国区总经理 李宏凯】

OT的黑暗森林法则

“想，但有顾虑。”

好消息是，完全隔离的OT环境，基本已不存在。这意味着，制造企业正小心翼翼地打开OT网络的大门，准备迎接数字化转型。但坏消息是，OT与IT融合，并没有想象中快。OT安全仍是制造企业的“顾虑”，他们还是感觉将面临不可知的风险。

“顾虑”，也确实有道理。就像《三体》中描述的黑暗森林法则：“整个宇宙在暗处，我们在明处。我们在黑暗森林中就是一只拴在树顶上的小鸟，被聚光灯照亮，打击可能来自任何方向。”

OT系统何尝不是在树顶的小鸟。当OT网络敞开大门，准备迎接OT与IT融合，准备完成数字化转型时，它也就向宇宙广播了坐标。随之而来，黑客们打开了探照灯。

此前发布的《Fortinet 2023年OT与网络安全态势研究报告》，就映证了这一比喻。报告显示：75%的OT企业组织表示，在过去一年中至少遭到1次黑客入侵。而且近三分之一（32%）的受访者表示，IT和OT系统均遭受不同程度的负面影响。

不妨感同身受。

这相当于在你开车上班的路上，每四年就会发生三次交通事故。其中，两次可能是可以视而不见的小剐小蹭，但另一次会比较严重，可能把车交还4S店维修，可能导致生产线停顿、数据泄露，以及随之而来的信誉损失、股价波动、客户流失，甚至是处罚问责。

Fortinet的工业新安全

Fortinet，并不想让这样的事情持续发生。

作为一家常年出现在IT安全领导者象限的公司，作为一家将OT安全视为企业战略的公司，Fortinet拿出了整套战术体系，其北亚区首席技术顾问谭杰将其称为“全面、智能、弹性的工业新安全”理念。

【Fortinet北亚区首席技术顾问 谭杰】

其中，“全面”可以拆解为“融合+整合”，这是继承了Fortinet一贯的技术理念。Fortinet希望在OT领域首先实现“网安融合”——将安全能力融入IT网和OT网，融入从云端到广域网、局域网，再到工控网、生产网的每个环节，融入到有线、无线、4G、5G等各种网络通路。

这里有必要再次强调Fortinet OT安全解决方案的基石——OT网络微分段（SAA安全访问架构）。该架构的战术思想可以理解为“层层防御+坊里制”，即针对纵向的南北流量，设立边界安全，实现“层层防御”；针对横向的东西流量，则模仿唐长安“坊里制”的城市布局，设立微分段的内网隔离。

具体而言。

将Fortinet Security Fabric架构，应用于工业控制Purdue模型。Fortinet可在纵向南北方向设立了数道“防线”——广域网和企业局域网之间，设立信息技术认证边界；企业局域网和操作控制区域之间，设立工业互联网边界；操作控制区域和操作区域之间，设立高安全认证边界。

与此同时。“内网隔离”则是模仿唐长安的“坊里制”城市布局，基于SAA安全访问架构，实现“控制区”的自由创建，将原本扁平的局域网划分成不同部门、不同业务线等类型的区隔子网，即A车间被攻破，B车间仍可固守待援。

不仅如此。

其中的技术细节处理，也很见Fortinet的功底。其以FortiNAC解决方案，实现OT局域网的零信任接入，可对各类数字资产进行画像；以“SD-WAN+SASE+ZTNA”解决方案，实现OT广域网的零信任接入，其提供超越VPN的高强度用户身份认证。

如果感觉还不稳当。Fortinet还可在ZTNA零信任的基础上，升级部署FortiPAM特权访问管理，它的作用类似于“堡垒机”，这又将广域网零信任再向前推一步。

当然，“网安融合”也只是“融合”的一部分。与此同步，Fortinet还在推进安全与业务融合。而且Fortinet在技术上强调“融合”，战略上强调“整合”——即采用一致性、易用性、有效性的管理手段，把这样一个网安融合的体系管理起来。

原因很简单：在此之前，大型制造企业可能会采用30家以上安全供应商的产品和服务，但如今他们为了提升安全运营效率，减少供应商之间的“推诿扯皮”，更倾向于将安全供应商数量，减少至2~5家。这正如Gartner的调查显示，75%的企业组织正积极寻求安全供应商的全面整合，而2020年这一比例仅为29%。

Fortinet很欢迎这样的市场变化，甚至其正是此趋势的推动着。2016年，Fortinet Security Fabric安全架构正式推出，该平台由统一的FortiOS操作系统提供核心支撑，全面集成Fortinet安全和网络解决方案组合。

如今看来，这一研发动作颇具前瞻性。而且此又可突出Fortinet的又一理念——弹性。Fortinet既希望实现“融合、整合”，也特别强调“弹性解耦、深度集成”。其实，Fortinet Security Fabric方案的优点，就是具有很好的弹性。“处于不同阶段的制造企业可以选择方案中的不同产品组合，但最终，企业会得到覆盖生产链、供应链和办公，以及内部员工的完整数字底座的融合方案。”Fortinet中国区总经理李宏凯说。

也正是基于此方向。目前，Fortinet Security Fabric安全平台已原生集成Fortinet旗下50多种企业级产品，以及与合作伙伴的500+安全和网络解决方案联动，真正形成了从网络风险到终端风险；从被动安全到主动安全；从设备风险到人员风险；从内部风险到外部风险的防御体系。

更重要的是，上述产品的“含AI量”很高，而且应用于OT场景，Fortinet还给它们配备了工装和安全帽。

针对终端安全FortiEDR解决方案，在工业场景中具有很强的适应性，其拿手的虚拟补丁，可支持老旧电脑系统。同时，它不依赖于特征库更新，而是基于行为分析和AI引擎，可对0day、勒索软件、恶意软件、内存攻击进行有效防御。

针对网络风险的FortiNDR解决方案，同样也有AI加持。通过深度神经网引擎，结合利用FortiGuard Labs威胁情报，FortiNDR可根据异常网络活动识别0day病毒、勒索软件等网络安全事件。

而且FortiNDR特别适合OT网络。IT网络中用户行为杂乱分散，没有规律可循，但OT网络中的PLC系统、机台更像理工直男，正常业务流量相对纯粹和近似，异常行为很容易通过机器学习进行区分。当然，FortiNDR配合FortiSandbox（沙盒）联动，更可完美地实现安全与效率的平衡。

还有就是“蜜罐”。全新升级的FortiDeceptor 5.2，在网络资产发现模块中增加9个OT协议，还扩展了OT设备诱饵，可全尺寸模拟菲尼克斯电气、西门子等公司PLC系统。只有黑客误打误撞进入“蜜罐”，就一定会露出尾巴。

可以看出，上述技术均广泛应用了AI技术。这正如Fortinet北亚区首席技术顾问谭杰表示，“魔高一尺，道高一丈，攻击方在利用AI手段入侵，安全防御自然也需要AI去赋能产品，赋能威胁情报和安全服务，这也是Fortinet全面、智能和弹性的工业新安全。”

专注才能专业

当然，Fortinet的“工业新安全”，更还体现在其对OT安全的专向研究，以及不断推出全新OT专用产品。这其中就包括刚刚推出的FortiGate 70F Rugged系列下一代防火墙（NGFW）。其采用紧凑型设计，在单一处理器中全面融合网络和安全功能，是Fortinet专为OT恶劣环境设计的坚固耐用型产品组合的最新成员。

同时，Fortinet发布的还有一款专为严苛工业环境设计的坚固耐用型漏洞检测设备FortiDeceptor Rugged 100G，广泛适用于恶劣工业环境。

此外，全新增强功能和服务也将助力SOC团队更快响应OT和IT环境安全威胁，其中全新统一安全分析管理平台FortiSIEM，支持事件关联和Purdue模型安全事件映射；FortiSOAR新增功能也可减少警报疲劳，并跨IT和OT环境实现安全编排自动化和响应；FortiGuard工业信息安全服务新增3000余种针对OT的应用协议识别和控制签名。

也就是说，Fortinet懂工业，更懂新安全。其思路就如李宏凯最后所说：

“数字化创新带来质量、效能等收益有目共睹，却也无法避免复杂、严峻的安全挑战，这是一把回报和风险并存的‘双刃剑’。而Fortinet希望携手合作伙伴，助力制造企业在数字化转型过程中走得更稳、行的更远。”