Top
首页 > 正文

如何弥补OT与IT的安全差距

企业的信息技术(IT)与运营技术(OT)在安全问题上似乎总存在一些无法避免的差距。本文将探讨一些缩短这些差距的技巧,其中也涉及如何避免一些常见的安全陷阱。
发布时间:2020-07-31 10:08        来源:网络安全和信息化        作者:网络安全和信息化

企业的信息技术(IT)与运营技术(OT)在安全问题上似乎总存在一些无法避免的差距。本文将探讨一些缩短这些差距的技巧,其中也涉及如何避免一些常见的安全陷阱。

笔者在此假设企业的安全团队都非常熟悉IT网络,但对OT网络并没有那么精通,因而往往容易将关于IT网络安全的一些最佳方法应用到OT环境中,并采取一种循序渐进的方法。换言之,安全团队往往从最基本的保障外围安全开始,并实施物理分段。

问题在于,我们并没有太长的时间也没有足够的资源对在地理上分散的网络进行分段。例如,不妨设想一下在全世界拥有100个生产基地的企业情况,试图在OT环境中实施同等数量的IT安全工具,其花费的时间势必太长,并且效益低或无必要。而攻击者却在磨刀霍霍,不断改进其针对工业控制系统(ICS)网络的攻击方法。攻击者不会等待,所以安全团队需要直面挑战,要专注于最快捷的方法,尽力减少风险。

OT网络并没有现代的安全控制,因而无法提供一种从头开始构建安全项目的机会。我们只能利用现有的IT安全资源,快速强化生产环境的安全。

消除复杂性

在我们努力将同样的IT控制应用到OT环境中时,也会带来一些不必要的复杂性。在OT网络内部实施冗长的物理分段以及部署多重安全工具等手段并不会同步提升安全性,不能立即减少安全风险。虽然我们仍需要为物理分段进行规划,并且期望部署某些技术和工具,但是,我们需要更多的创造性,并且为OT环境的网络使用不同的策略和控制。

最大挑战是无法洞察OT网络。企业并不需要受那些先入为主的完美概念的限制,而只需要一个立即执行的可以获得洞察先机的计划,从而减少风险。例如,不妨关注如下要点:

首先,清除那些不会增加价值的业务。例如,其中可能包括在OT网络中的二级终端及以下实施终端检测和响应方案。企业还可能遭到工程部门的反对,因为实时的机器系统控制着无法中断的物理过程。在试图将EDR方案安装在这些机器上时,企业面临着一场可能会失败的战斗。而且,更为重要的是,企业不应当花费时间去尝试。原因何在?这就引出下一个要点:充分利用这些OT网络的自然特性,使其适合企业需求。

OT网络通信是一种数据丰富的源头,用户在使用它的时候攻击者也可能将矛头对准了它。攻击者可能已经进入了网络中,而由于存在重大的盲点,企业可能并不知道。但EDR方案并非解决之道。OT网络的设计目的是为了传输和共享更多的可由IT组件获得的信息,例如运行的软件版本、固件、序列号等。OT网络通信可以提供企业需要用来监视威胁的所有安全信息。为了资产的可见度和持续的威胁监视,企业不妨考虑那些能够快速实施的方案。

第三,部署虚拟分段。企业在OT网络内部实施物理分段项目时(例如,分段为一级和二级),还要在ICS(工业控制系统)网络内部的区域部署虚拟分段。在恶意攻击者试图建立连接、跳转区域或在企业环境中移动时,这种举措能够发出警告,或者可以确定运营中的问题。在实现正常运行和可用性的目标问题上,这同等重要。在网络的某些层级中,我们无法阻止通信,因为这样做还会阻止物理过程,并会产生安全问题。但是,这种分段可以改善网络监视和访问控制,并且可以极大地加速响应,节省成本,可以减少由于攻击者侵入网络而导致的“宕机”时间。而且,虚拟分段还可以提供整个网络的可见度,可以向企业的物理分段项目发出通知。所以,虚拟分段不但可以极大地减少今天的风险,而且还可以加速提升长期物理分段的效益。

IT和OT团队协同作战

在加强OT网络安全性问题上,大型公司往往得到高层领导的支持,并且预算充足。但是,在开始构建安全项目时,公司往往会认识到IT和OT团队根本没有达成共识,这种不协调体现在两个方面:

首先是两个团队对机密性、完整性和可用性的优先级认识和处理方式不同。管理信息安全的团队往往强调数据的机密性高于完整性和可用性,而OT网络团队认为可用性(或正常运行时间)的重要性要高于完整性和机密性。为弥合两团队在安全问题上的差距,企业必须重视这些优先权问题。业务中断的风险和由于实施新安全控制而造成的“宕机”时间,打补丁或系统升级等,对OT团队来说,并不是简单问题,更不必说对运行生产环境的价值高昂的系统做出改变了。

其次,由于不同的团队和工作而导致的其他不协调。在大型企业开始关注保障OT网络的安全时,我们往往可以看到围绕同一项目工作的不同团队,但每个团队都持有不同的观点。例如,工程部团队可能任务是从OT网络获得资产信息,而网络安全团队的任务是监视这些网络,而另一个团队的任务是管理漏洞。由于任务紧急,每个人都如此匆忙且没有协调好。每个团队都在寻找帮助其完成特定任务的工具,而且由于没有在彼此之间保持协调,大家都没有认识到同样的技术可以实施到不同的使用场合。在没有集中协调时、决策或预算时,也不会有人从整体上考虑安全平台。由此就减弱了用于强化OT安全的任何投资的益处和价值。

好消息是多数企业正从头开始,并且无需担心现有的安全技术就能够设计OT安全项目。这意味着企业可以优先重视并实施最重要的技术。

另一个好消息是由于OT网络通信可以提供企业所需的用以监视威胁和漏洞的所有安全信息,所以我们可以用同样的技术实现最重要的应用,而不需要独立的其他工具。用于资产发现和持续威胁监视的单一无代理方案可以满足各个团队的目标,并且无需中断生产或引起“宕机”就可以实施。

简化管理

很多公司为如何将新的OT管理和过程整合到现有的IT框架中而苦苦探索。有些公司是从重新构建独立的管理过程和安全运营中心(SOC)开始的,因为公司认为企业需要不同的技能和工具。由于诸多原因,这种方法并不可取。首先,找到并保留OT安全专家非常困难,并且成本高昂。其次,攻击者并不将IT与OT分开对待。各种攻击往往是交织在一起,因而我们并不希望由于企业有两个不同的SOC或者两个独立的团队而遗漏某个连接。第三,重新构建已有的管理过程并花费双倍的努力会造成高昂的成本。

最常见的最佳方法就是将保障OT环境安全的责任和义务集中化。将OT网络作为IT网络的一个扩展,并且从整体上看待管理和过程,企业就可以获得技术基础架构的一个统一视图。

企业在选择OT安全方案时应采取一种整体化的方法,这意味着OT安全方案应该与OT和IT系统的生态和流程平等地整合到一起,而且还要为IT的SOC分析师转换OT网络中那些不太容易被理解的地方,因而SOC分析师的技能才能施展,并且企业也不必雇佣OT的SOC分析师。

以CISO为核心的安全团队,只要能够利用一个独立的安全运营中心和一个IT与OT都能使用的方案,就可以优化人才、预算和时间等资源。而且,还可以在整个攻击面上获得连续性和一致性,因而就可以用同样的过程和报告指标实施管理。

消除复杂性,IT和OT团队协同作战,以及简化管理,对于弥合信息技术和运营技术的安全差距极为重要。上述任何要点都专注于清除障碍,从而可以使企业快速行动。这对于企业非常重要,因为攻击者也在不断地改进其方法和对OT网络的攻击。因此,积极应对刻不容缓。

专题访谈

合作站点
stat