不久前,运营技术(OT)和信息技术(IT)还被划分为独立的职能领域。然而,数字化转型举措正在迅速模糊它们之间的界限。随着越来越多的企业部署IIoT设备,如传感器、智能能源管理系统和远程温度控制器等,以优化产能和提高效率,OT领域面临的网络安全风险也在持续增加。
对OT的网络安全威胁正在增加
在过去十年中,由于OT网络泄露,诸如NotPetya、Stuxnet、Aurora和Havex等恶意病毒利用OT网络漏洞,将企业暴露于网络攻击之下的事件屡见不鲜。坏消息是此类攻击现在仍然很普遍。
根据市场研究公司Ponemon Institute和Tenable联合进行的一项调查显示,90%的IT安全决策者承认:他们所在的企业在过去两年中遭受了至少一次网络攻击。另有66%的决策者承认,在同一时期内至少遭受了两次网络攻击。
OT应用中的网络安全立场
尽管IT网络安全历来关注数据的完整性、可用性和机密性,但OT领域与之略有不同。在OT领域,优先级通常围绕着关键任务系统的可靠性、可用性、可维护性和安全性展开,例如工业控制系统(ICS)、监控和数据采集(SCADA)以及分布式控制系统(DCS)。很显然,OT系统代表了独特的网络安全挑战,这超出了传统网络安全措施的范围。
正是由于这个原因,原始设备制造商(OEM)正努力通过企业IT和互联网来提高OT的安全性、可靠性和整体设备效率(OEE)。尽管这种融合可为组织抵御网络威胁提供某种弹性,但如果管理不当,也会带来一系列风险。
克服OT/IT网络安全的障碍
随着业务领导者更加专注于集成OT和IT基础架构,他们必须考虑3个主要的网络安全障碍:
1.在传统技术上运行的连续性;
2.IT和OT团队在网络安全方面的立场不同;
3.OT环境中缺乏安全专业知识。
除此之外,组织还需要考虑责任的分配以及技能和工具的缺乏。根据安全公司NTT Security进行的一项在线调查,技能差距是企业试图缓解OT安全威胁所面临的最大挑战之一。更糟糕的是,大多数IT决策者对于谁为OT安全负责感到困惑。
此图展示了网络安全计划的3项措施以及网络安全实施的3大障碍。图片来源: LTTS
实现网络弹性的3个步骤
为了填补安全漏洞并改善组织对OT网络安全的防御能力,需要企业实施联合的IT/OT网络安全战略。尽管由于IT和OT之间的界限,很难立即实现这一目标,但对于企业而言,必须制定出长远计划,并将正确的技术应用在正确的地方。由于IT/OT融合不是某个行业特有的现象,因此网络安全策略也将因行业而异。但是,每个企业都应该采取适当的措施,为更大、更具体的网络安全计划打下基础。
1.识别威胁和漏洞
网络安全计划的有效性取决于IT/OT风险的识别程度。由于这两个独立环境有不同的技术堆栈,因此对IT和OT进行单独的漏洞分析,可能永远不会产生正确的结果。企业需要促进二者之间无缝的知识共享,以便更好地了解彼此的领域。在这方面,对IT和OT团队进行相互培训以了解彼此的优势和弱点,对于确定融合环境中的威胁范围至关重要。
2.设定明确的职责
传统上,IT和OT工作人员扮演着不同的角色。随着两者的不断融合,在新环境中,围绕每个成员职责的困惑和不确定性可能会带来潜在的威胁。在IT/OT融合的初期,明确员工的角色和职责,对于实现平稳过渡以及为网络安全策略奠定坚实基础至关重要。应当将IT/OT安全性视为一个整体去考虑,并由对IT和OT都非常了解的人来领导。
3.重新定义流程
由于前面提到的原因,也需要对流程进行重新定义。在IT/OT融合环境中,由于需要利用IT实现OT的最佳应用,因此OT所提供的数据是福还是祸,取决于所采用的流程。如果没有正确或明确定义的流程,数据泄露的风险将持续不断。而正确的数据,可以为改善整体IT/OT网络安全策略铺平道路。
实时数据分析和随之而来的智能决策能力是IT带来的优势。随着各行业的企业认识到IT支持的OT优化的潜力和范围,IT/OT融合将越来越多。因此,只有在IT和OT团队协作并相助支持的情况下,才能缓解由此带来的安全挑战。
由于设备故障可能对人、财产和自然环境造成的风险,因此OT注重实现零故障。而IT供应商的责任主要是考虑数据安全以外的问题,并使OT系统的RAMS成为开发和测试模型的一个组成部分。(作者:Amir Sobol)
关键概念:
·网络安全威胁正在增加。
·克服IT/OT障碍以增强网络安全性。
·识别漏洞,设定角色,重新定义流程。
思考一下:
您是否已迁移老旧系统,以降低网络安全风险?