在許多工業企業中,信息技術(IT)和運營技術(OT)團隊仿佛來自不同的星球。他們有各自的目標、優先事項、技能、指標甚至語言。IT/OT融合需要這些團隊共同努力,以幫助這些新的互聯系統,實現諸如更高的效率和產出,以及增強的安全性等關鍵業務目標。
通過IT/OT融合,以前與企業IT系統隔離,并無法訪問互聯網和通信應用(如電子郵件和云接口)的系統,現在可以通過企業基礎設施,利用規模優勢和大數據分析的優勢。但帶來收益的同時,IT網絡中存在的風險也隨之增加:勒索軟件、間諜黑客,甚至更糟糕的是,物理過程的潛在中斷可能會造成物理破壞。
現在,企業的董事會要求首席信息安全官(CISO)和首席信息官(CIO)確保這些系統的安全,并確保它們與企業內的其他設備具有相同的安全級別。因此,IT部門正在尋求加強IT和OT的集成,以在企業中推動所有端點和網絡安全的標準化。
不幸的是,運營技術(OT/ICS)資產,如人機界面(HMI)、服務器、可編程邏輯控制器(PLC)、繼電器、實時自動化控制器和其他智能電子設備,由于各種原因被排除在大多數企業的網絡安全流程之外。這些原因可能包括從組織邊界和法規要求,到IT人員缺乏OT系統技能的所有方面。此外,由于運營部門希望提高效率,OT團隊始終面臨人員編制的壓力。
結果是OT系統中缺乏網絡安全所需的許多基本要素。例如 ,庫存不準確,配置和補丁程序數據庫過時,帳戶和用戶訪問管理未得到良好管理等等。部分原因是,鑒于OT/ICS系統中資產的敏感性、獨特性和嵌入性,自動化這些過程所需的工具還不可用。
要將真正的IT安全性帶入OT環境并實現穩健、一致的安全管理,企業可以通過以下4個關鍵步驟幫助IT和OT協同工作:
1、創建IT/OT融合的聯合培訓和溝通
IT和OT的根本差距始于對每個職能部門的目標和目的缺乏了解。例如,IT團隊使用傳統的IT漏洞掃描器定期掃描OT系統,并采取一致行動,為OT設備打補丁,但沒有意識到它們可能會造成某些問題。類似地,OT團隊通常會說,“我們不能打補丁”,這只是一個籠統的聲明,他們并不了解IT的安全目標或在特定時間修補某些資產的實際方法。
企業為成功實現IT/OT融合而采取的第一步,是致力于聯合培訓和溝通。通常情況下,這可能發生在召開一系列4 到5 個聯合研討會上,關鍵的OT 領導人分享他們的業務流程和目標細節,IT 團隊則分享他們的安全目標和典型方法。這些研討會使兩個部門了解如何相互溝通,并了解各自的目標和局限性。
2、構建滿足雙方需求的IT/OT安全團隊
沒有完美的企業模式。一些企業已經成功地創建了一個聯合安全領導團隊,OT領導與IT同行一起擔任高級領導職務。另外一些公司則以IT成員擔任安全領導職務,但將OT的重要輸入納入到適用于其系統的工具、流程和標準中。
企業容易犯的最大的錯誤,是在安全領導團隊中設置一個象征性的OT代表,或者招聘一到兩名有OT經驗的中層人員作為OT的代表。幾乎在所有情況下,這都會以OT代表被納入IT組織并且影響有限而告終。那些最成功的企業會指派一位關鍵的、資深的、真正受人尊敬的OT領導者,并賦予他們在整個安全組織中的真正權威。
3、建立OT系統管理計劃
OT系統管理是健全OT安全計劃的關鍵。它涉及以下要素:
①資產庫存管理;
②生命周期管理,包括定義系統需求以實現預期的物理系統,制定規范以確保可靠性和安全性、供應鏈管理和控制這些系統,以及更換過時的組件;
③配置管理;
④補丁和漏洞管理;
⑤網絡與系統設計;
⑥用戶和帳戶管理;
⑦日志和性能監控以實現可靠性和安全性;
⑧事件和故障響應;
⑨備份和恢復。
在IT方面,對這些基本組件非常熟悉,被認為是理所當然的,因為多年來它們一直是IT系統管理的核心部分。但對于OT方面,實現大多數任務的基礎設施并不一致。因此,OT缺乏建立IT安全性的基礎。
在了解網絡資產、系統用戶之前,組織希望先實現威脅檢測或劃分微區域。
通過建立OT系統管理,IT和OT團隊可以從類似資產管理的基礎開始,有效地開展協同工作。穩健的OT系統管理計劃帶來許多其它關鍵好處,包括:
①對網絡中所有硬件和軟件的清晰標識,以確保快速識別漏洞;
②正確更新和配置系統,減少攻擊面;
③高效完成系統更新,以實現關鍵運行任務的自動化;
④跨IT和OT系統進行一致的報告和監控,以簡化進度報告;
⑤更有效和更先進的安全控制,因為它們是通過適當的可見性,以及對底層端點和網絡信息的訪問而構建的。
4、技能發展
為了真正實現IT/OT融合,企業需要在OT中構建關鍵的安全管理技能集。在IT中,幾乎所有系統管理任務都可以集中完成。然而,在OT中,在執行補丁或配置管理等安全功能之前,獨特且敏感的流程可能需要本地OT知識。
因此,有必要在傳統運營系統設備和網絡設備以及嵌入式運營設備的范圍內,圍繞關鍵OT系統管理概念(如修補、配置管理、密碼管理等)開展員工隊伍建設。我們當然可以贊揚圍繞網絡安全分析、調查、威脅搜尋等提供的重要培訓,但同樣需要關注其它70%的網絡安全,包括系統管理的基礎要素。
企業需要堅持這4個關鍵步驟:建立共同意識和正確的團隊、建立OT系統管理和培養正確的技能,以使IT和OT團隊有效地協同工作,并在兩個部門中推動真正的安全能力。
作者:John Livingston,Verve Industrial
