編者按：如今針對(duì)OT環(huán)境的攻擊愈加頻繁，OT網(wǎng)絡(luò)與傳統(tǒng)IT網(wǎng)絡(luò)的差異導(dǎo)致傳統(tǒng)安全技術(shù)無法很好地解決OT安全問題，那么應(yīng)如何彌補(bǔ)這些差異呢？

企業(yè)的信息技術(shù)（IT）與運(yùn)營(yíng)技術(shù)（OT）在安全問題上似乎總存在一些無法避免的差距。本文將探討一些縮短這些差距的技巧，其中也涉及如何避免一些常見的安全陷阱。

筆者在此假設(shè)企業(yè)的安全團(tuán)隊(duì)都非常熟悉IT網(wǎng)絡(luò)，但對(duì)OT網(wǎng)絡(luò)并沒有那么精通，因而往往容易將關(guān)于IT網(wǎng)絡(luò)安全的一些最佳方法應(yīng)用到OT環(huán)境中，并采取一種循序漸進(jìn)的方法。換言之，安全團(tuán)隊(duì)往往從最基本的保障外圍安全開始，并實(shí)施物理分段。

問題在于，我們并沒有太長(zhǎng)的時(shí)間也沒有足夠的資源對(duì)在地理上分散的網(wǎng)絡(luò)進(jìn)行分段。例如，不妨設(shè)想一下在全世界擁有100個(gè)生產(chǎn)基地的企業(yè)情況，試圖在OT環(huán)境中實(shí)施同等數(shù)量的IT安全工具，其花費(fèi)的時(shí)間勢(shì)必太長(zhǎng)，并且效益低或無必要。而攻擊者卻在磨刀霍霍，不斷改進(jìn)其針對(duì)工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)的攻擊方法。攻擊者不會(huì)等待，所以安全團(tuán)隊(duì)需要直面挑戰(zhàn)，要專注于最快捷的方法，盡力減少風(fēng)險(xiǎn)。

OT網(wǎng)絡(luò)并沒有現(xiàn)代的安全控制，因而無法提供一種從頭開始構(gòu)建安全項(xiàng)目的機(jī)會(huì)。我們只能利用現(xiàn)有的IT安全資源，快速強(qiáng)化生產(chǎn)環(huán)境的安全。

消除復(fù)雜性

在我們努力將同樣的IT控制應(yīng)用到OT環(huán)境中時(shí)，也會(huì)帶來一些不必要的復(fù)雜性。在OT網(wǎng)絡(luò)內(nèi)部實(shí)施冗長(zhǎng)的物理分段以及部署多重安全工具等手段并不會(huì)同步提升安全性，不能立即減少安全風(fēng)險(xiǎn)。雖然我們?nèi)孕枰獮槲锢矸侄芜M(jìn)行規(guī)劃，并且期望部署某些技術(shù)和工具，但是，我們需要更多的創(chuàng)造性，并且為OT環(huán)境的網(wǎng)絡(luò)使用不同的策略和控制。

最大挑戰(zhàn)是無法洞察OT網(wǎng)絡(luò)。企業(yè)并不需要受那些先入為主的完美概念的限制，而只需要一個(gè)立即執(zhí)行的可以獲得洞察先機(jī)的計(jì)劃，從而減少風(fēng)險(xiǎn)。例如，不妨關(guān)注如下要點(diǎn)：

首先，清除那些不會(huì)增加價(jià)值的業(yè)務(wù)。例如，其中可能包括在OT網(wǎng)絡(luò)中的二級(jí)終端及以下實(shí)施終端檢測(cè)和響應(yīng)方案。企業(yè)還可能遭到工程部門的反對(duì)，因?yàn)閷?shí)時(shí)的機(jī)器系統(tǒng)控制著無法中斷的物理過程。在試圖將EDR方案安裝在這些機(jī)器上時(shí)，企業(yè)面臨著一場(chǎng)可能會(huì)失敗的戰(zhàn)斗。而且，更為重要的是，企業(yè)不應(yīng)當(dāng)花費(fèi)時(shí)間去嘗試。原因何在？這就引出下一個(gè)要點(diǎn)：充分利用這些OT網(wǎng)絡(luò)的自然特性，使其適合企業(yè)需求。

OT網(wǎng)絡(luò)通信是一種數(shù)據(jù)豐富的源頭，用戶在使用它的時(shí)候攻擊者也可能將矛頭對(duì)準(zhǔn)了它。攻擊者可能已經(jīng)進(jìn)入了網(wǎng)絡(luò)中，而由于存在重大的盲點(diǎn)，企業(yè)可能并不知道。但EDR方案并非解決之道。OT網(wǎng)絡(luò)的設(shè)計(jì)目的是為了傳輸和共享更多的可由IT組件獲得的信息，例如運(yùn)行的軟件版本、固件、序列號(hào)等。OT網(wǎng)絡(luò)通信可以提供企業(yè)需要用來監(jiān)視威脅的所有安全信息。為了資產(chǎn)的可見度和持續(xù)的威脅監(jiān)視，企業(yè)不妨考慮那些能夠快速實(shí)施的方案。

第三，部署虛擬分段。企業(yè)在OT網(wǎng)絡(luò)內(nèi)部實(shí)施物理分段項(xiàng)目時(shí)（例如，分段為一級(jí)和二級(jí)），還要在ICS（工業(yè)控制系統(tǒng)）網(wǎng)絡(luò)內(nèi)部的區(qū)域部署虛擬分段。在惡意攻擊者試圖建立連接、跳轉(zhuǎn)區(qū)域或在企業(yè)環(huán)境中移動(dòng)時(shí)，這種舉措能夠發(fā)出警告，或者可以確定運(yùn)營(yíng)中的問題。在實(shí)現(xiàn)正常運(yùn)行和可用性的目標(biāo)問題上，這同等重要。在網(wǎng)絡(luò)的某些層級(jí)中，我們無法阻止通信，因?yàn)檫@樣做還會(huì)阻止物理過程，并會(huì)產(chǎn)生安全問題。但是，這種分段可以改善網(wǎng)絡(luò)監(jiān)視和訪問控制，并且可以極大地加速響應(yīng)，節(jié)省成本，可以減少由于攻擊者侵入網(wǎng)絡(luò)而導(dǎo)致的“宕機(jī)”時(shí)間。而且，虛擬分段還可以提供整個(gè)網(wǎng)絡(luò)的可見度，可以向企業(yè)的物理分段項(xiàng)目發(fā)出通知。所以，虛擬分段不但可以極大地減少今天的風(fēng)險(xiǎn)，而且還可以加速提升長(zhǎng)期物理分段的效益。

IT和OT團(tuán)隊(duì)協(xié)同作戰(zhàn)

在加強(qiáng)OT網(wǎng)絡(luò)安全性問題上，大型公司往往得到高層領(lǐng)導(dǎo)的支持，并且預(yù)算充足。但是，在開始構(gòu)建安全項(xiàng)目時(shí)，公司往往會(huì)認(rèn)識(shí)到IT和OT團(tuán)隊(duì)根本沒有達(dá)成共識(shí)，這種不協(xié)調(diào)體現(xiàn)在兩個(gè)方面：

首先是兩個(gè)團(tuán)隊(duì)對(duì)機(jī)密性、完整性和可用性的優(yōu)先級(jí)認(rèn)識(shí)和處理方式不同。管理信息安全的團(tuán)隊(duì)往往強(qiáng)調(diào)數(shù)據(jù)的機(jī)密性高于完整性和可用性，而OT網(wǎng)絡(luò)團(tuán)隊(duì)認(rèn)為可用性（或正常運(yùn)行時(shí)間）的重要性要高于完整性和機(jī)密性。為彌合兩團(tuán)隊(duì)在安全問題上的差距，企業(yè)必須重視這些優(yōu)先權(quán)問題。業(yè)務(wù)中斷的風(fēng)險(xiǎn)和由于實(shí)施新安全控制而造成的“宕機(jī)”時(shí)間，打補(bǔ)丁或系統(tǒng)升級(jí)等，對(duì)OT團(tuán)隊(duì)來說，并不是簡(jiǎn)單問題，更不必說對(duì)運(yùn)行生產(chǎn)環(huán)境的價(jià)值高昂的系統(tǒng)做出改變了。

其次，由于不同的團(tuán)隊(duì)和工作而導(dǎo)致的其他不協(xié)調(diào)。在大型企業(yè)開始關(guān)注保障OT網(wǎng)絡(luò)的安全時(shí)，我們往往可以看到圍繞同一項(xiàng)目工作的不同團(tuán)隊(duì)，但每個(gè)團(tuán)隊(duì)都持有不同的觀點(diǎn)。例如，工程部團(tuán)隊(duì)可能任務(wù)是從OT網(wǎng)絡(luò)獲得資產(chǎn)信息，而網(wǎng)絡(luò)安全團(tuán)隊(duì)的任務(wù)是監(jiān)視這些網(wǎng)絡(luò)，而另一個(gè)團(tuán)隊(duì)的任務(wù)是管理漏洞。由于任務(wù)緊急，每個(gè)人都如此匆忙且沒有協(xié)調(diào)好。每個(gè)團(tuán)隊(duì)都在尋找?guī)椭渫瓿商囟ㄈ蝿?wù)的工具，而且由于沒有在彼此之間保持協(xié)調(diào)，大家都沒有認(rèn)識(shí)到同樣的技術(shù)可以實(shí)施到不同的使用場(chǎng)合。在沒有集中協(xié)調(diào)時(shí)、決策或預(yù)算時(shí)，也不會(huì)有人從整體上考慮安全平臺(tái)。由此就減弱了用于強(qiáng)化OT安全的任何投資的益處和價(jià)值。

好消息是多數(shù)企業(yè)正從頭開始，并且無需擔(dān)心現(xiàn)有的安全技術(shù)就能夠設(shè)計(jì)OT安全項(xiàng)目。這意味著企業(yè)可以優(yōu)先重視并實(shí)施最重要的技術(shù)。

另一個(gè)好消息是由于OT網(wǎng)絡(luò)通信可以提供企業(yè)所需的用以監(jiān)視威脅和漏洞的所有安全信息，所以我們可以用同樣的技術(shù)實(shí)現(xiàn)最重要的應(yīng)用，而不需要獨(dú)立的其他工具。用于資產(chǎn)發(fā)現(xiàn)和持續(xù)威脅監(jiān)視的單一無代理方案可以滿足各個(gè)團(tuán)隊(duì)的目標(biāo)，并且無需中斷生產(chǎn)或引起“宕機(jī)”就可以實(shí)施。

簡(jiǎn)化管理

很多公司為如何將新的OT管理和過程整合到現(xiàn)有的IT框架中而苦苦探索。有些公司是從重新構(gòu)建獨(dú)立的管理過程和安全運(yùn)營(yíng)中心（SOC）開始的，因?yàn)楣菊J(rèn)為企業(yè)需要不同的技能和工具。由于諸多原因，這種方法并不可取。首先，找到并保留OT安全專家非常困難，并且成本高昂。其次，攻擊者并不將IT與OT分開對(duì)待。各種攻擊往往是交織在一起，因而我們并不希望由于企業(yè)有兩個(gè)不同的SOC或者兩個(gè)獨(dú)立的團(tuán)隊(duì)而遺漏某個(gè)連接。第三，重新構(gòu)建已有的管理過程并花費(fèi)雙倍的努力會(huì)造成高昂的成本。

最常見的最佳方法就是將保障OT環(huán)境安全的責(zé)任和義務(wù)集中化。將OT網(wǎng)絡(luò)作為IT網(wǎng)絡(luò)的一個(gè)擴(kuò)展，并且從整體上看待管理和過程，企業(yè)就可以獲得技術(shù)基礎(chǔ)架構(gòu)的一個(gè)統(tǒng)一視圖。

企業(yè)在選擇OT安全方案時(shí)應(yīng)采取一種整體化的方法，這意味著OT安全方案應(yīng)該與OT和IT系統(tǒng)的生態(tài)和流程平等地整合到一起，而且還要為IT的SOC分析師轉(zhuǎn)換OT網(wǎng)絡(luò)中那些不太容易被理解的地方，因而SOC分析師的技能才能施展，并且企業(yè)也不必雇傭OT的SOC分析師。

以CISO為核心的安全團(tuán)隊(duì)，只要能夠利用一個(gè)獨(dú)立的安全運(yùn)營(yíng)中心和一個(gè)IT與OT都能使用的方案，就可以優(yōu)化人才、預(yù)算和時(shí)間等資源。而且，還可以在整個(gè)攻擊面上獲得連續(xù)性和一致性，因而就可以用同樣的過程和報(bào)告指標(biāo)實(shí)施管理。

消除復(fù)雜性，IT和OT團(tuán)隊(duì)協(xié)同作戰(zhàn)，以及簡(jiǎn)化管理，對(duì)于彌合信息技術(shù)和運(yùn)營(yíng)技術(shù)的安全差距極為重要。上述任何要點(diǎn)都專注于清除障礙，從而可以使企業(yè)快速行動(dòng)。這對(duì)于企業(yè)非常重要，因?yàn)楣粽咭苍诓粩嗟馗倪M(jìn)其方法和對(duì)OT網(wǎng)絡(luò)的攻擊。因而，積極應(yīng)對(duì)刻不容緩。