如何彌補OT與IT的安全差距

編者按：如今針對OT環(huán)境的攻擊愈加頻繁，OT網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)的差異導(dǎo)致傳統(tǒng)安全技術(shù)無法很好地解決OT安全問題，那么應(yīng)如何彌補這些差異呢？

企業(yè)的信息技術(shù)（IT）與運營技術(shù)（OT）在安全問題上似乎總存在一些無法避免的差距。本文將探討一些縮短這些差距的技巧，其中也涉及如何避免一些常見的安全陷阱。

筆者在此假設(shè)企業(yè)的安全團隊都非常熟悉IT網(wǎng)絡(luò)，但對OT網(wǎng)絡(luò)并沒有那么精通，因而往往容易將關(guān)于IT網(wǎng)絡(luò)安全的一些最佳方法應(yīng)用到OT環(huán)境中，并采取一種循序漸進的方法。換言之，安全團隊往往從最基本的保障外圍安全開始，并實施物理分段。

問題在于，我們并沒有太長的時間也沒有足夠的資源對在地理上分散的網(wǎng)絡(luò)進行分段。例如，不妨設(shè)想一下在全世界擁有100個生產(chǎn)基地的企業(yè)情況，試圖在OT環(huán)境中實施同等數(shù)量的IT安全工具，其花費的時間勢必太長，并且效益低或無必要。而攻擊者卻在磨刀霍霍，不斷改進其針對工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)的攻擊方法。攻擊者不會等待，所以安全團隊需要直面挑戰(zhàn)，要專注于最快捷的方法，盡力減少風(fēng)險。

OT網(wǎng)絡(luò)并沒有現(xiàn)代的安全控制，因而無法提供一種從頭開始構(gòu)建安全項目的機會。我們只能利用現(xiàn)有的IT安全資源，快速強化生產(chǎn)環(huán)境的安全。

消除復(fù)雜性

在我們努力將同樣的IT控制應(yīng)用到OT環(huán)境中時，也會帶來一些不必要的復(fù)雜性。在OT網(wǎng)絡(luò)內(nèi)部實施冗長的物理分段以及部署多重安全工具等手段并不會同步提升安全性，不能立即減少安全風(fēng)險。雖然我們?nèi)孕枰獮槲锢矸侄芜M行規(guī)劃，并且期望部署某些技術(shù)和工具，但是，我們需要更多的創(chuàng)造性，并且為OT環(huán)境的網(wǎng)絡(luò)使用不同的策略和控制。

最大挑戰(zhàn)是無法洞察OT網(wǎng)絡(luò)。企業(yè)并不需要受那些先入為主的完美概念的限制，而只需要一個立即執(zhí)行的可以獲得洞察先機的計劃，從而減少風(fēng)險。例如，不妨關(guān)注如下要點：

首先，清除那些不會增加價值的業(yè)務(wù)。例如，其中可能包括在OT網(wǎng)絡(luò)中的二級終端及以下實施終端檢測和響應(yīng)方案。企業(yè)還可能遭到工程部門的反對，因為實時的機器系統(tǒng)控制著無法中斷的物理過程。在試圖將EDR方案安裝在這些機器上時，企業(yè)面臨著一場可能會失敗的戰(zhàn)斗。而且，更為重要的是，企業(yè)不應(yīng)當(dāng)花費時間去嘗試。原因何在？這就引出下一個要點：充分利用這些OT網(wǎng)絡(luò)的自然特性，使其適合企業(yè)需求。

OT網(wǎng)絡(luò)通信是一種數(shù)據(jù)豐富的源頭，用戶在使用它的時候攻擊者也可能將矛頭對準(zhǔn)了它。攻擊者可能已經(jīng)進入了網(wǎng)絡(luò)中，而由于存在重大的盲點，企業(yè)可能并不知道。但EDR方案并非解決之道。OT網(wǎng)絡(luò)的設(shè)計目的是為了傳輸和共享更多的可由IT組件獲得的信息，例如運行的軟件版本、固件、序列號等。OT網(wǎng)絡(luò)通信可以提供企業(yè)需要用來監(jiān)視威脅的所有安全信息。為了資產(chǎn)的可見度和持續(xù)的威脅監(jiān)視，企業(yè)不妨考慮那些能夠快速實施的方案。

第三，部署虛擬分段。企業(yè)在OT網(wǎng)絡(luò)內(nèi)部實施物理分段項目時（例如，分段為一級和二級），還要在ICS（工業(yè)控制系統(tǒng)）網(wǎng)絡(luò)內(nèi)部的區(qū)域部署虛擬分段。在惡意攻擊者試圖建立連接、跳轉(zhuǎn)區(qū)域或在企業(yè)環(huán)境中移動時，這種舉措能夠發(fā)出警告，或者可以確定運營中的問題。在實現(xiàn)正常運行和可用性的目標(biāo)問題上，這同等重要。在網(wǎng)絡(luò)的某些層級中，我們無法阻止通信，因為這樣做還會阻止物理過程，并會產(chǎn)生安全問題。但是，這種分段可以改善網(wǎng)絡(luò)監(jiān)視和訪問控制，并且可以極大地加速響應(yīng)，節(jié)省成本，可以減少由于攻擊者侵入網(wǎng)絡(luò)而導(dǎo)致的“宕機”時間。而且，虛擬分段還可以提供整個網(wǎng)絡(luò)的可見度，可以向企業(yè)的物理分段項目發(fā)出通知。所以，虛擬分段不但可以極大地減少今天的風(fēng)險，而且還可以加速提升長期物理分段的效益。

IT和OT團隊協(xié)同作戰(zhàn)

在加強OT網(wǎng)絡(luò)安全性問題上，大型公司往往得到高層領(lǐng)導(dǎo)的支持，并且預(yù)算充足。但是，在開始構(gòu)建安全項目時，公司往往會認(rèn)識到IT和OT團隊根本沒有達成共識，這種不協(xié)調(diào)體現(xiàn)在兩個方面：

首先是兩個團隊對機密性、完整性和可用性的優(yōu)先級認(rèn)識和處理方式不同。管理信息安全的團隊往往強調(diào)數(shù)據(jù)的機密性高于完整性和可用性，而OT網(wǎng)絡(luò)團隊認(rèn)為可用性（或正常運行時間）的重要性要高于完整性和機密性。為彌合兩團隊在安全問題上的差距，企業(yè)必須重視這些優(yōu)先權(quán)問題。業(yè)務(wù)中斷的風(fēng)險和由于實施新安全控制而造成的“宕機”時間，打補丁或系統(tǒng)升級等，對OT團隊來說，并不是簡單問題，更不必說對運行生產(chǎn)環(huán)境的價值高昂的系統(tǒng)做出改變了。

其次，由于不同的團隊和工作而導(dǎo)致的其他不協(xié)調(diào)。在大型企業(yè)開始關(guān)注保障OT網(wǎng)絡(luò)的安全時，我們往往可以看到圍繞同一項目工作的不同團隊，但每個團隊都持有不同的觀點。例如，工程部團隊可能任務(wù)是從OT網(wǎng)絡(luò)獲得資產(chǎn)信息，而網(wǎng)絡(luò)安全團隊的任務(wù)是監(jiān)視這些網(wǎng)絡(luò)，而另一個團隊的任務(wù)是管理漏洞。由于任務(wù)緊急，每個人都如此匆忙且沒有協(xié)調(diào)好。每個團隊都在尋找?guī)椭渫瓿商囟ㄈ蝿?wù)的工具，而且由于沒有在彼此之間保持協(xié)調(diào)，大家都沒有認(rèn)識到同樣的技術(shù)可以實施到不同的使用場合。在沒有集中協(xié)調(diào)時、決策或預(yù)算時，也不會有人從整體上考慮安全平臺。由此就減弱了用于強化OT安全的任何投資的益處和價值。

好消息是多數(shù)企業(yè)正從頭開始，并且無需擔(dān)心現(xiàn)有的安全技術(shù)就能夠設(shè)計OT安全項目。這意味著企業(yè)可以優(yōu)先重視并實施最重要的技術(shù)。

另一個好消息是由于OT網(wǎng)絡(luò)通信可以提供企業(yè)所需的用以監(jiān)視威脅和漏洞的所有安全信息，所以我們可以用同樣的技術(shù)實現(xiàn)最重要的應(yīng)用，而不需要獨立的其他工具。用于資產(chǎn)發(fā)現(xiàn)和持續(xù)威脅監(jiān)視的單一無代理方案可以滿足各個團隊的目標(biāo)，并且無需中斷生產(chǎn)或引起“宕機”就可以實施。

簡化管理

很多公司為如何將新的OT管理和過程整合到現(xiàn)有的IT框架中而苦苦探索。有些公司是從重新構(gòu)建獨立的管理過程和安全運營中心（SOC）開始的，因為公司認(rèn)為企業(yè)需要不同的技能和工具。由于諸多原因，這種方法并不可取。首先，找到并保留OT安全專家非常困難，并且成本高昂。其次，攻擊者并不將IT與OT分開對待。各種攻擊往往是交織在一起，因而我們并不希望由于企業(yè)有兩個不同的SOC或者兩個獨立的團隊而遺漏某個連接。第三，重新構(gòu)建已有的管理過程并花費雙倍的努力會造成高昂的成本。

最常見的最佳方法就是將保障OT環(huán)境安全的責(zé)任和義務(wù)集中化。將OT網(wǎng)絡(luò)作為IT網(wǎng)絡(luò)的一個擴展，并且從整體上看待管理和過程，企業(yè)就可以獲得技術(shù)基礎(chǔ)架構(gòu)的一個統(tǒng)一視圖。

企業(yè)在選擇OT安全方案時應(yīng)采取一種整體化的方法，這意味著OT安全方案應(yīng)該與OT和IT系統(tǒng)的生態(tài)和流程平等地整合到一起，而且還要為IT的SOC分析師轉(zhuǎn)換OT網(wǎng)絡(luò)中那些不太容易被理解的地方，因而SOC分析師的技能才能施展，并且企業(yè)也不必雇傭OT的SOC分析師。

以CISO為核心的安全團隊，只要能夠利用一個獨立的安全運營中心和一個IT與OT都能使用的方案，就可以優(yōu)化人才、預(yù)算和時間等資源。而且，還可以在整個攻擊面上獲得連續(xù)性和一致性，因而就可以用同樣的過程和報告指標(biāo)實施管理。

消除復(fù)雜性，IT和OT團隊協(xié)同作戰(zhàn)，以及簡化管理，對于彌合信息技術(shù)和運營技術(shù)的安全差距極為重要。上述任何要點都專注于清除障礙，從而可以使企業(yè)快速行動。這對于企業(yè)非常重要，因為攻擊者也在不斷地改進其方法和對OT網(wǎng)絡(luò)的攻擊。因而，積極應(yīng)對刻不容緩。