如何彌補OT與IT的安全差距

編者按：如今針對OT環境的攻擊愈加頻繁，OT網絡與傳統IT網絡的差異導致傳統安全技術無法很好地解決OT安全問題，那么應如何彌補這些差異呢？

企業的信息技術（IT）與運營技術（OT）在安全問題上似乎總存在一些無法避免的差距。本文將探討一些縮短這些差距的技巧，其中也涉及如何避免一些常見的安全陷阱。

筆者在此假設企業的安全團隊都非常熟悉IT網絡，但對OT網絡并沒有那么精通，因而往往容易將關于IT網絡安全的一些最佳方法應用到OT環境中，并采取一種循序漸進的方法。換言之，安全團隊往往從最基本的保障外圍安全開始，并實施物理分段。

問題在于，我們并沒有太長的時間也沒有足夠的資源對在地理上分散的網絡進行分段。例如，不妨設想一下在全世界擁有100個生產基地的企業情況，試圖在OT環境中實施同等數量的IT安全工具，其花費的時間勢必太長，并且效益低或無必要。而攻擊者卻在磨刀霍霍，不斷改進其針對工業控制系統（ICS）網絡的攻擊方法。攻擊者不會等待，所以安全團隊需要直面挑戰，要專注于最快捷的方法，盡力減少風險。

OT網絡并沒有現代的安全控制，因而無法提供一種從頭開始構建安全項目的機會。我們只能利用現有的IT安全資源，快速強化生產環境的安全。

消除復雜性

在我們努力將同樣的IT控制應用到OT環境中時，也會帶來一些不必要的復雜性。在OT網絡內部實施冗長的物理分段以及部署多重安全工具等手段并不會同步提升安全性，不能立即減少安全風險。雖然我們仍需要為物理分段進行規劃，并且期望部署某些技術和工具，但是，我們需要更多的創造性，并且為OT環境的網絡使用不同的策略和控制。

最大挑戰是無法洞察OT網絡。企業并不需要受那些先入為主的完美概念的限制，而只需要一個立即執行的可以獲得洞察先機的計劃，從而減少風險。例如，不妨關注如下要點：

首先，清除那些不會增加價值的業務。例如，其中可能包括在OT網絡中的二級終端及以下實施終端檢測和響應方案。企業還可能遭到工程部門的反對，因為實時的機器系統控制著無法中斷的物理過程。在試圖將EDR方案安裝在這些機器上時，企業面臨著一場可能會失敗的戰斗。而且，更為重要的是，企業不應當花費時間去嘗試。原因何在？這就引出下一個要點：充分利用這些OT網絡的自然特性，使其適合企業需求。

OT網絡通信是一種數據豐富的源頭，用戶在使用它的時候攻擊者也可能將矛頭對準了它。攻擊者可能已經進入了網絡中，而由于存在重大的盲點，企業可能并不知道。但EDR方案并非解決之道。OT網絡的設計目的是為了傳輸和共享更多的可由IT組件獲得的信息，例如運行的軟件版本、固件、序列號等。OT網絡通信可以提供企業需要用來監視威脅的所有安全信息。為了資產的可見度和持續的威脅監視，企業不妨考慮那些能夠快速實施的方案。

第三，部署虛擬分段。企業在OT網絡內部實施物理分段項目時（例如，分段為一級和二級），還要在ICS（工業控制系統）網絡內部的區域部署虛擬分段。在惡意攻擊者試圖建立連接、跳轉區域或在企業環境中移動時，這種舉措能夠發出警告，或者可以確定運營中的問題。在實現正常運行和可用性的目標問題上，這同等重要。在網絡的某些層級中，我們無法阻止通信，因為這樣做還會阻止物理過程，并會產生安全問題。但是，這種分段可以改善網絡監視和訪問控制，并且可以極大地加速響應，節省成本，可以減少由于攻擊者侵入網絡而導致的“宕機”時間。而且，虛擬分段還可以提供整個網絡的可見度，可以向企業的物理分段項目發出通知。所以，虛擬分段不但可以極大地減少今天的風險，而且還可以加速提升長期物理分段的效益。

IT和OT團隊協同作戰

在加強OT網絡安全性問題上，大型公司往往得到高層領導的支持，并且預算充足。但是，在開始構建安全項目時，公司往往會認識到IT和OT團隊根本沒有達成共識，這種不協調體現在兩個方面：

首先是兩個團隊對機密性、完整性和可用性的優先級認識和處理方式不同。管理信息安全的團隊往往強調數據的機密性高于完整性和可用性，而OT網絡團隊認為可用性（或正常運行時間）的重要性要高于完整性和機密性。為彌合兩團隊在安全問題上的差距，企業必須重視這些優先權問題。業務中斷的風險和由于實施新安全控制而造成的“宕機”時間，打補丁或系統升級等，對OT團隊來說，并不是簡單問題，更不必說對運行生產環境的價值高昂的系統做出改變了。

其次，由于不同的團隊和工作而導致的其他不協調。在大型企業開始關注保障OT網絡的安全時，我們往往可以看到圍繞同一項目工作的不同團隊，但每個團隊都持有不同的觀點。例如，工程部團隊可能任務是從OT網絡獲得資產信息，而網絡安全團隊的任務是監視這些網絡，而另一個團隊的任務是管理漏洞。由于任務緊急，每個人都如此匆忙且沒有協調好。每個團隊都在尋找幫助其完成特定任務的工具，而且由于沒有在彼此之間保持協調，大家都沒有認識到同樣的技術可以實施到不同的使用場合。在沒有集中協調時、決策或預算時，也不會有人從整體上考慮安全平臺。由此就減弱了用于強化OT安全的任何投資的益處和價值。

好消息是多數企業正從頭開始，并且無需擔心現有的安全技術就能夠設計OT安全項目。這意味著企業可以優先重視并實施最重要的技術。

另一個好消息是由于OT網絡通信可以提供企業所需的用以監視威脅和漏洞的所有安全信息，所以我們可以用同樣的技術實現最重要的應用，而不需要獨立的其他工具。用于資產發現和持續威脅監視的單一無代理方案可以滿足各個團隊的目標，并且無需中斷生產或引起“宕機”就可以實施。

簡化管理

很多公司為如何將新的OT管理和過程整合到現有的IT框架中而苦苦探索。有些公司是從重新構建獨立的管理過程和安全運營中心（SOC）開始的，因為公司認為企業需要不同的技能和工具。由于諸多原因，這種方法并不可取。首先，找到并保留OT安全專家非常困難，并且成本高昂。其次，攻擊者并不將IT與OT分開對待。各種攻擊往往是交織在一起，因而我們并不希望由于企業有兩個不同的SOC或者兩個獨立的團隊而遺漏某個連接。第三，重新構建已有的管理過程并花費雙倍的努力會造成高昂的成本。

最常見的最佳方法就是將保障OT環境安全的責任和義務集中化。將OT網絡作為IT網絡的一個擴展，并且從整體上看待管理和過程，企業就可以獲得技術基礎架構的一個統一視圖。

企業在選擇OT安全方案時應采取一種整體化的方法，這意味著OT安全方案應該與OT和IT系統的生態和流程平等地整合到一起，而且還要為IT的SOC分析師轉換OT網絡中那些不太容易被理解的地方，因而SOC分析師的技能才能施展，并且企業也不必雇傭OT的SOC分析師。

以CISO為核心的安全團隊，只要能夠利用一個獨立的安全運營中心和一個IT與OT都能使用的方案，就可以優化人才、預算和時間等資源。而且，還可以在整個攻擊面上獲得連續性和一致性，因而就可以用同樣的過程和報告指標實施管理。

消除復雜性，IT和OT團隊協同作戰，以及簡化管理，對于彌合信息技術和運營技術的安全差距極為重要。上述任何要點都專注于清除障礙，從而可以使企業快速行動。這對于企業非常重要，因為攻擊者也在不斷地改進其方法和對OT網絡的攻擊。因而，積極應對刻不容緩。