【編者按】數字化轉型背景下,IT與OT的融合早已不是一個新鮮的話題,,但卻仍然是一個永恒的話題,。工業(yè)網絡安全的范式轉變也在期盼IT安全與OT安全的融合,二者各為其主,、自說自話的現狀并不鮮見,。原因就在于IT和OT之間的鴻溝是根深蒂固的。IT代表了敏捷性,、可伸縮性和弱實時性,,而OT則會優(yōu)先考慮實時性、確定性,、牢不可摧的功能安全性/可用性,。二者在人員、技術,、流程,、文化上的差異,何日,、如何才能得以彌合,,仍然步履維艱。
思科近日發(fā)布的博文中稱,,在他們與世界各地的制造商和關鍵基礎設施供應商的合作中,,看到OT和IT團隊經常存在偏見,從而影響了合作,。在這篇博客中解釋這些誤解以及如何克服它們以保護工業(yè)網絡,。在成功的婚姻中,雙方都知道對方需要什么,,也知道對方不能容忍什么,。工業(yè)網絡安全需要同樣類型的伙伴關系,在這種情況下是在操作技術(OT)和信息技術(IT)團隊之間,。IT提供了網絡安全工具和技能,。OT可以讓你了解每一項資產,它對業(yè)務的影響,,以及何時可以在不影響安全或生產的情況下撤除資產,。任何一個團隊都不能單獨取得成功,。
IT與OT的差異
IT是任何組織的技術支柱。它對于監(jiān)控,、管理和保護核心功能(如電子郵件,、財務、人力資源(HR)和數據中心和云中的其他應用程序)是必要的,。
OT用于連接,、監(jiān)視、管理和保護組織的工業(yè)操作,。從事制造業(yè),、礦業(yè)、石油和天然氣,、公用事業(yè)和運輸等活動的企業(yè)嚴重依賴OT,。機器人、工業(yè)控制系統(tǒng)(ICS),、監(jiān)控控制和數據采集(SCADA)系統(tǒng),、可編程邏輯控制器(PLC)和計算機數控(CNC)都是OT的例子。
倉庫和停車場,、高速公路等戶外區(qū)域也可以使用操作技術,。這類OT的例子包括自動取款機和電話亭、連接的公共汽車,、火車和服務車隊,、氣象站,或者允許城市管理電動汽車充電器的系統(tǒng),。
IT和OT之間的關鍵區(qū)別是IT集中于組織的前端信息活動,,而OT集中于他們的后端生產(機器)。
IT主要專注于使數據可用,,而OT則專注于使機器影響物理世界,。機器還可以生成數據,這些數據將需要存檔,,以監(jiān)控工業(yè)過程,,并進行處理,以幫助操作人員做出決策,,如預測性維護,。
OT偏見:網絡安全只是另一項工程任務
對于OT團隊來說,網絡安全是一個相對較新的問題,,他們可能會將其視為“另一個約束”,。工業(yè)控制系統(tǒng)(ICS)工程師多年來一直在研究復雜的過程控制??梢岳斫獾氖?,他們傾向于認為網絡安全只是另外一個問題,。在他們看來,OT網絡安全可以在設計工業(yè)項目時盡早添加,,并以與功能安全或可靠性相同的方式進行管理,。
他們沒有錯,但他們需要意識到重要的差異,。例如,,在電氣系統(tǒng)設計可以持續(xù)數十年的地方,新的網絡威脅每天都會冒出來,。攻擊者有動機(金錢)和機會(不斷增長的戰(zhàn)術和軟件)來發(fā)現和利用工業(yè)網絡中的最薄弱環(huán)節(jié)。網絡安全需要不斷改進以應對快速變化的態(tài)勢,。
對OT團隊的建議
在設計新的生產基礎設施時,,在設計階段的早期就需要與IT同事中進行反復溝通。解釋可能存在的任何限制,,如正常運行時間要求,,并詢問他們的網絡安全建議。一起工作,,使您的OT系統(tǒng)保證“設計上的安全”,。
要求IT部門定期評估工作站硬件和軟件的漏洞。Wannacry勒索軟件攻擊的目標是運行2001年推出的Windows XP操作系統(tǒng)的工作站,。有幾十年歷史的控制系統(tǒng)設計可能仍然有用,,舊的計算機系統(tǒng)需要現代的安全保護。
至于安全與可靠性工程,,需要在技能,、人員和流程上進行投入。提前做好網絡安全規(guī)劃,,而不是事后諸葛亮,。培訓每一位ICS工程師是重中之重。定期評估和糾正風險,。
及時了解新的威脅,。犯罪組織從不缺乏思想。密切關注新的攻擊戰(zhàn)術和技術將幫助設計更強大的OT流程和系統(tǒng),。
IT偏見:IT安全實踐“復制粘貼”到OT系統(tǒng)
IT團隊可能認為,,他們可以將用于電子郵件等企業(yè)應用程序的安全實踐應用于OT系統(tǒng)。他們還傾向于讓IT成為OT系統(tǒng)的唯一管理員,,以降低憑證被盜或配置更改的風險,,這些更改可能會引入漏洞。
這兩種偏見都會造成大問題,,需要修補,。雖然大多數IT系統(tǒng)可以短暫地關閉以進行安全補丁的修復,,但許多OT系統(tǒng)則不能。OT系統(tǒng)是每天24小時,,每周7天生產商品和服務,。一個在1300°C的爐子不能因為控制器補丁而停止。
將管理權限限制給IT也是不可能的,。ICS工程師負責生產和工人的安全,。如果出了什么問題,他們會在凌晨兩點接到電話,。負責為數十萬人輸送電力的運營商不能等待IT管理員更改設置,。
與IT環(huán)境不同,IT環(huán)境通常只有很少的軟件和硬件供應商,,工業(yè)網絡通常連接來自數百家供應商的解決方案——包括由當地公司開發(fā)的可能是運行工業(yè)流程關鍵的利基產品,。這種多樣性使傳統(tǒng)的IT安全程序(如補丁和漏洞管理)復雜化。
對IT團隊的建議
給OT團隊提供工具來發(fā)現連接到網絡上的所有東西,,即應確保足夠的資產可見性,。如果你不了解它,你就無法保護它,。在OT環(huán)境中,,資產管理可能很復雜,因為資產種類繁多——有些位于難以到達的位置,。思科Cyber Vision的庫存更簡單,,自動發(fā)現每一個連接OT資產,提供您的安全態(tài)勢的準確視圖,。
記住,,加時賽球隊能承受的風險非常小。他們的系統(tǒng)對底線和工人的安全有直接的影響,,OT團隊最終要負責,。在計劃網絡安全改革時,要讓所有受影響的人都參與進來,。
適應OT系統(tǒng)和企業(yè)文化,。例如,在某些情況下,,停止受感染進程的成本可能超過入侵的成本,。在保護安全和業(yè)務連續(xù)性的同時管理安全風險,需要IT和OT之間建立強有力的伙伴關系,。
未來之路
就像婚姻一樣,,工業(yè)網絡安全需要IT和OT的理解和合作。將OT安全視為一個變更管理過程,,鼓勵每個部門接受對方的觀點,。從認識到自己的偏見開始,,這樣你就可以成為一個很好的合作伙伴,以達到共同的目標——對關鍵操作提供更強的保護,。