幫助企業(yè)創(chuàng)建IT/OT融合的4個關(guān)鍵步驟

導(dǎo)讀：IT 和 OT 團(tuán)隊(duì)通?？雌饋硐袷翘幱诓煌氖澜?。要將真正的 IT 安全性帶入 OT 環(huán)境，以下是幫助企業(yè)創(chuàng)建IT/OT 融合的4 個關(guān)鍵步驟。

在許多工業(yè)企業(yè)中，信息技術(shù)（IT）和運(yùn)營技術(shù)（OT）團(tuán)隊(duì)仿佛來自不同的星球。他們有各自的目標(biāo)、優(yōu)先事項(xiàng)、技能、指標(biāo)甚至語言。IT/OT 融合需要這些團(tuán)隊(duì)共同努力，以幫助這些新的互聯(lián)系統(tǒng)，實(shí)現(xiàn)諸如更高的效率和產(chǎn)出，以及增強(qiáng)的安全性等關(guān)鍵業(yè)務(wù)目標(biāo)。

通過IT/OT 融合，以前與企業(yè)IT 系統(tǒng)隔離，并無法訪問互聯(lián)網(wǎng)和通信應(yīng)用（如電子郵件和云接口）的系統(tǒng)，現(xiàn)在可以通過企業(yè)基礎(chǔ)設(shè)施，利用規(guī)模優(yōu)勢和大數(shù)據(jù)分析的優(yōu)勢。但帶來收益的同時，IT 網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)也隨之增加：勒索軟件、間諜黑客，甚至更糟糕的是，物理過程的潛在中斷可能會造成物理破壞。

現(xiàn)在，企業(yè)的董事會要求首席信息安全官（CISO）和首席信息官（CIO）確保這些系統(tǒng)的安全，并確保它們與企業(yè)內(nèi)的其他設(shè)備具有相同的安全級別。因此，IT 部門正在尋求加強(qiáng)IT 和OT 的集成，以在企業(yè)中推動所有端點(diǎn)和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化。

不幸的是，運(yùn)營技術(shù)（OT/ICS）資產(chǎn)，如人機(jī)界面（HMI）、服務(wù)器、可編程邏輯控制器（PLC）、繼電器、實(shí)時自動化控制器和其他智能電子設(shè)備，由于各種原因被排除在大多數(shù)企業(yè)的網(wǎng)絡(luò)安全流程之外。這些原因可能包括從組織邊界和法規(guī)要求，到IT 人員缺乏OT 系統(tǒng)技能的所有方面。此外，由于運(yùn)營部門希望提高效率，OT 團(tuán)隊(duì)始終面臨人員編制的壓力。

結(jié)果是OT 系統(tǒng)中缺乏網(wǎng)絡(luò)安全所需的許多基本要素。例如 ，庫存不準(zhǔn)確，配置和補(bǔ)丁程序數(shù)據(jù)庫過時，帳戶和用戶訪問管理未得到良好管理等等。部分原因是，鑒于OT/ICS 系統(tǒng)中資產(chǎn)的敏感性、獨(dú)特性和嵌入性，自動化這些過程所需的工具還不可用。

要將真正的 IT 安全性帶入 OT 環(huán)境并實(shí)現(xiàn)穩(wěn)健、一致的安全管理，企業(yè)可以通過以下4 個關(guān)鍵步驟幫助 IT和 OT 協(xié)同工作：

1

創(chuàng)建IT/OT 融合的聯(lián)合培訓(xùn)和溝通

IT 和 OT 的根本差距始于對每個職能部門的目標(biāo)和目的缺乏了解。例如，IT 團(tuán)隊(duì)使用傳統(tǒng)的IT 漏洞掃描器定期掃描OT 系統(tǒng)，并采取一致行動，為OT 設(shè)備打補(bǔ)丁，但沒有意識到它們可能會造成某些問題。類似地，OT 團(tuán)隊(duì)通常會說，“我們不能打補(bǔ)丁”，這只是一個籠統(tǒng)的聲明，他們并不了解IT 的安全目標(biāo)或在特定時間修補(bǔ)某些資產(chǎn)的實(shí)際方法。

企業(yè)為成功實(shí)現(xiàn)IT/OT 融合而采取的第一步，是致力于聯(lián)合培訓(xùn)和溝通。通常情況下，這可能發(fā)生在召開一系列4 到5 個聯(lián)合研討會上，關(guān)鍵的OT 領(lǐng)導(dǎo)人分享他們的業(yè)務(wù)流程和目標(biāo)細(xì)節(jié)，IT 團(tuán)隊(duì)則分享他們的安全目標(biāo)和典型方法。這些研討會使兩個部門了解如何相互溝通，并了解各自的目標(biāo)和局限性。

2

構(gòu)建滿足雙方需求的IT/OT 安全團(tuán)隊(duì)

沒有完美的企業(yè)模式。一些企業(yè)已經(jīng)成功地創(chuàng)建了一個聯(lián)合安全領(lǐng)導(dǎo)團(tuán)隊(duì)，OT 領(lǐng)導(dǎo)與IT 同行一起擔(dān)任高級領(lǐng)導(dǎo)職務(wù)。另外一些公司則以IT 成員擔(dān)任安全領(lǐng)導(dǎo)職務(wù)，但將OT 的重要輸入納入到適用于其系統(tǒng)的工具、流程和標(biāo)準(zhǔn)中。

企業(yè)容易犯的最大的錯誤，是在安全領(lǐng)導(dǎo)團(tuán)隊(duì)中設(shè)置一個象征性的OT 代表，或者招聘一到兩名有OT 經(jīng)驗(yàn)的中層人員作為OT 的代表。幾乎在所有情況下，這都會以 OT 代表被納入 IT 組織并且影響有限而告終。那些最成功的企業(yè)會指派一位關(guān)鍵的、資深的、真正受人尊敬的 OT 領(lǐng)導(dǎo)者，并賦予他們在整個安全組織中的真正權(quán)威。

3

建立OT 系統(tǒng)管理計(jì)劃

OT 系統(tǒng)管理是健全OT 安全計(jì)劃的關(guān)鍵。它涉及以下要素：

? 資產(chǎn)庫存管理；

?生命周期管理，包括定義系統(tǒng)需求以實(shí)現(xiàn)預(yù)期的物理系統(tǒng)，制定規(guī)范以確保可靠性和安全性、供應(yīng)鏈管理和控制這些系統(tǒng)，以及更換過時的組件；

?配置管理；

?補(bǔ)丁和漏洞管理；

?網(wǎng)絡(luò)與系統(tǒng)設(shè)計(jì)；

?用戶和帳戶管理；

?日志和性能監(jiān)控以實(shí)現(xiàn)可靠性和安全性；

?事件和故障響應(yīng)；

?備份和恢復(fù)。

在IT 方面，對這些基本組件非常熟悉，被認(rèn)為是理所當(dāng)然的，因?yàn)槎嗄陙硭鼈円恢笔荌T 系統(tǒng)管理的核心部分。但對于OT 方面，實(shí)現(xiàn)大多數(shù)任務(wù)的基礎(chǔ)設(shè)施并不一致。因此，OT 缺乏建立IT 安全性的基礎(chǔ)。 在了解網(wǎng)絡(luò)資產(chǎn)、系統(tǒng)用戶之前，組織希望先實(shí)現(xiàn)威脅檢測或劃分微區(qū)域。 通過建立OT 系統(tǒng)管理，IT 和OT 團(tuán)隊(duì)可以從類似資產(chǎn)管理的基礎(chǔ)開始，有效地開展協(xié)同工作。穩(wěn)健的OT 系統(tǒng)管理計(jì)劃帶來許多其它關(guān)鍵好處，包括：

? 對網(wǎng)絡(luò)中所有硬件和軟件的清晰標(biāo)識，以確保快速識別漏洞；

?正確更新和配置系統(tǒng)，減少攻擊面；

?高效完成系統(tǒng)更新，以實(shí)現(xiàn)關(guān)鍵運(yùn)行任務(wù)的自動化；

?跨IT 和OT 系統(tǒng)進(jìn)行一致的報(bào)告和監(jiān)控，以簡化進(jìn)度報(bào)告；

?更有效和更先進(jìn)的安全控制，因?yàn)樗鼈兪峭ㄟ^適當(dāng)?shù)目梢娦?，以及對底層端點(diǎn)和網(wǎng)絡(luò)信息的訪問而構(gòu)建的。

4

技能發(fā)展

為了真正實(shí)現(xiàn)IT/OT 融合，企業(yè)需要在OT 中構(gòu)建關(guān)鍵的安全管理技能集。在IT 中，幾乎所有系統(tǒng)管理任務(wù)都可以集中完成。然而，在OT 中，在執(zhí)行補(bǔ)丁或配置管理等安全功能之前，獨(dú)特且敏感的流程可能需要本地OT 知識。

因此，有必要在傳統(tǒng)運(yùn)營系統(tǒng)設(shè)備和網(wǎng)絡(luò)設(shè)備以及嵌入式運(yùn)營設(shè)備的范圍內(nèi)，圍繞關(guān)鍵OT 系統(tǒng)管理概念（如修補(bǔ)、配置管理、密碼管理等）開展員工隊(duì)伍建設(shè)。我們當(dāng)然可以贊揚(yáng)圍繞網(wǎng)絡(luò)安全分析、調(diào)查、威脅搜尋等提供的重要培訓(xùn)，但同樣需要關(guān)注其它70%的網(wǎng)絡(luò)安全，包括系統(tǒng)管理的基礎(chǔ)要素。

企業(yè)需要堅(jiān)持這4 個關(guān)鍵步驟：建立共同意識和正確的團(tuán)隊(duì)、建立OT 系統(tǒng)管理和培養(yǎng)正確的技能，以使IT 和OT 團(tuán)隊(duì)有效地協(xié)同工作，并在兩個部門中推動真正的安全能力。

關(guān)鍵概念：

■ IT 部門正在尋求加強(qiáng)IT 和OT 的集成，以在企業(yè)中推動所有端點(diǎn)和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化。

■ 通過建立OT 系統(tǒng)管理的基礎(chǔ)，IT 和OT 團(tuán)隊(duì)可以從類似資產(chǎn)管理的基礎(chǔ)開始，有效地開展協(xié)同工作。

思考一下：

為了實(shí)現(xiàn)更高的效率和產(chǎn)出，您的團(tuán)隊(duì)在IT/OT 融合方面都做了哪些努力？

審核編輯 ：李倩