今日頭條
官方微信
官方抖音
資訊頻道當(dāng)前IT/OT融合已經(jīng)成為一種趨勢,本文對融合現(xiàn)狀和管理進(jìn)行了調(diào)研,并為企業(yè)的新CISO如何應(yīng)對融合挑戰(zhàn)提供了一些建議。
IT和OT的深度融合已是大勢所趨,一方面為企業(yè)帶來運(yùn)營效率、性能和服務(wù)質(zhì)量的提高,同時(shí)也帶來更大的安全風(fēng)險(xiǎn)等弊端。當(dāng)面對缺乏專業(yè)人員、合規(guī)不等于安全、企業(yè)領(lǐng)導(dǎo)關(guān)注度不足、OT日益嚴(yán)峻的威脅等關(guān)鍵挑戰(zhàn)時(shí),應(yīng)對IT/OT融合挑戰(zhàn)的六大關(guān)鍵步驟正是企業(yè)CISO需要的。
1.IT/OT融合下的利弊
西門子和Ponemon研究所最近發(fā)布的調(diào)查報(bào)告,對供電企業(yè)面臨的工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行了探討。調(diào)查發(fā)現(xiàn),隨著工業(yè)物聯(lián)網(wǎng) (IIoT)的出現(xiàn),將網(wǎng)絡(luò)傳感器和相關(guān)軟件與復(fù)雜的物理機(jī)械結(jié)合在一起,IT 和OT 之間的鴻溝正在迅速消散。供電企業(yè)的的經(jīng)營方式逐漸轉(zhuǎn)變?yōu)橛锰柲芎惋L(fēng)能等可再生能源替代傳統(tǒng)發(fā)電,并結(jié)合資產(chǎn)數(shù)字化管理的主流方式,OT(運(yùn)營技術(shù))資產(chǎn)的數(shù)字化為全球公共事業(yè)行業(yè)帶來了無限商機(jī),也加速了IT(信息技術(shù))和OT的融合。
一半以上的受訪者表示在數(shù)字化的推動下,IT/OT融合是一件好事,它有著包括優(yōu)化業(yè)務(wù)流程、降低成本、降低風(fēng)險(xiǎn)以及縮短項(xiàng)目時(shí)間等優(yōu)點(diǎn),同時(shí)也是提高供應(yīng)鏈合作伙伴的信任和信心的重要因素。IT和OT“雙劍合璧”后爆發(fā)出巨大的威力。
但I(xiàn)T和OT都有著各自的背景和特性,對兩者進(jìn)行區(qū)分是很重要的,如下表一所示:
表一 IT和OT特性對比
IT | OT | |
市場成熟度 | 1.成熟階段; 2.有先進(jìn)的網(wǎng)絡(luò)知識; | 1.早期階段; 2.意識比較淡薄; |
性能 | 1.非實(shí)時(shí)、高吞吐量; 2.高延遲和抖動是可以接受的; | 1.實(shí)時(shí)、適度的吞吐量; 2.高延遲和/或抖動是不能接受的; |
可用性 | 1.可重新啟動; 2.可容忍缺陷; | 1.重新啟動是事故; 2.中斷必須有計(jì)劃和提前預(yù)定時(shí)間; |
交互 | 1.緊急交互不太重要; 2.可以實(shí)施限制的訪問控制; | 1.緊急交互的響應(yīng)是關(guān)鍵; 2.應(yīng)嚴(yán)格控制對ICS的訪問; |
操作系統(tǒng) | 1.使用典型的操作系統(tǒng); 2.采用自動部署工具是的升級非常簡單; | 1.可能是內(nèi)置的操作系統(tǒng),往往沒有內(nèi)置的安全功能; 2.軟件變更必須小心進(jìn)行; |
網(wǎng)絡(luò)通信 | 1.標(biāo)準(zhǔn)通信協(xié)議,如HTTP、FTP; 2.網(wǎng)絡(luò)開放,通常與互聯(lián)網(wǎng)連接; | 1.很多專有的和標(biāo)準(zhǔn)的通信協(xié)議; 2.網(wǎng)絡(luò)封閉,通常與互聯(lián)網(wǎng)無連接; |
生命周期 | 3-5年的生存周期 | 10-20年 的生存周期; 甚至更陳舊的系統(tǒng); |
物理環(huán)境 | 工作溫度0-45℃ | 工作溫度0-60℃或者-40℃-75℃ |
通常,企業(yè)運(yùn)營團(tuán)隊(duì)在可用性和機(jī)密性兩者之間會優(yōu)先考慮可用性,因此OT網(wǎng)絡(luò)通常都缺乏基本的安全防護(hù)。在這樣的情況下,有受訪者對兩者的融合表達(dá)了擔(dān)憂,因?yàn)殡S著行業(yè)內(nèi)IT/OT集成度越來越高,供電企業(yè)的關(guān)鍵基礎(chǔ)架構(gòu)面臨的攻擊和威脅正日益增長,有可能造成嚴(yán)重的經(jīng)濟(jì)、環(huán)境和基礎(chǔ)設(shè)施破壞。全球54%的被調(diào)查供電企業(yè)預(yù)計(jì)2020年會遭遇針對運(yùn)營技術(shù)網(wǎng)絡(luò)的攻擊。
隨著將大量規(guī)模的資產(chǎn)連接在一起,OT安全的風(fēng)險(xiǎn)也越來越大。大量具有不同功能、相互連接的設(shè)備分布在不同區(qū)域,通過這些連接可以擴(kuò)展到數(shù)以萬計(jì)的資產(chǎn),而保護(hù)這些綿延數(shù)十上百公里的資產(chǎn)的安全,無疑是一件風(fēng)險(xiǎn)很大的事情,這也成為IT/OT融合的弊端。
2.IT/OT融合的關(guān)鍵挑戰(zhàn)
IT/OT的融合面臨著關(guān)鍵挑戰(zhàn):
缺乏專業(yè)人員:安全專家無疑是確保IT/OT成功融合的關(guān)鍵因素,組建跨職能團(tuán)隊(duì)來管理IT和OT系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)將有助于問題的消除。但企業(yè)的風(fēng)險(xiǎn)管理,在46%的情況下是通過內(nèi)部團(tuán)隊(duì)和外部服務(wù)提供商結(jié)合進(jìn)行的,僅是內(nèi)部團(tuán)隊(duì)或者僅外部服務(wù)提供商進(jìn)行管理的情況則分別是34%和20%。缺乏專業(yè)的人員大大延遲了對攻擊的響應(yīng)——惡意軟件攻擊的響應(yīng)需要72天!西門子的研究報(bào)告也指出,面對融合的安全風(fēng)險(xiǎn),企業(yè)準(zhǔn)備明顯不足,只有不到1/3的受訪者表示企業(yè)目前所做的準(zhǔn)備足以應(yīng)對可能發(fā)生的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
合規(guī)≠安全:行業(yè)內(nèi)很多企業(yè)相信合規(guī)性可以給企業(yè)帶來安全保障,因此他們按照“法規(guī)遵從為中心”的方法來管理企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),這種方式在一定程度上改善了網(wǎng)絡(luò)安全狀況,但是受訪者披露,實(shí)現(xiàn)法規(guī)的合規(guī)并不等于實(shí)現(xiàn)良好的安全態(tài)勢,僅依賴法規(guī)遵從性方法可能會對過去的安全事件做出響應(yīng),但面臨新的網(wǎng)絡(luò)攻擊時(shí)則可能會顯得束手無策。
領(lǐng)導(dǎo)缺乏關(guān)注度:此外,企業(yè)領(lǐng)導(dǎo)層對IT/OT融合過程中安全的關(guān)注度明顯不足,有些企業(yè)管理者會覺得近幾年發(fā)生的伊朗“震網(wǎng)”病毒攻擊核電站、土耳其原油輸送管遭受網(wǎng)絡(luò)攻擊爆炸、烏克蘭遭受網(wǎng)絡(luò)攻擊造成大范圍停電等安全事件并沒有把攻擊重點(diǎn)放在自己企業(yè)的網(wǎng)絡(luò)上。烏克蘭遭受的網(wǎng)絡(luò)攻擊主要是破壞國家的基礎(chǔ)架構(gòu)并令其癱瘓,但仍有大量企業(yè)的OT網(wǎng)絡(luò)遭受到嚴(yán)重影響,如果這些攻擊專門針對工業(yè)網(wǎng)絡(luò),后果將不堪設(shè)想。
OT威脅日益嚴(yán)峻:隨著企業(yè)運(yùn)營的數(shù)字化,網(wǎng)絡(luò)攻擊范圍已經(jīng)擴(kuò)展到OT,與IT環(huán)境相比,網(wǎng)絡(luò)威脅對缺乏安全防護(hù)的OT的影響更大。當(dāng)網(wǎng)絡(luò)攻擊在關(guān)鍵能源基礎(chǔ)設(shè)施間展開時(shí),可能會對設(shè)備造成破壞、給員工帶來風(fēng)險(xiǎn),并造成企業(yè)高機(jī)密信息被竊取,OT的威脅成為IT/OT網(wǎng)絡(luò)防御的痛點(diǎn)。
3.CISO應(yīng)對OT/IT融合的六大關(guān)鍵步驟
那么在面對往往是陳舊且特有的關(guān)鍵業(yè)務(wù)運(yùn)營技術(shù)(OT)與信息技術(shù)(IT)融合在一起產(chǎn)生的沖突時(shí),誰為可能產(chǎn)生的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)買單?作為公司的CISO,如何降低企業(yè)整體的風(fēng)險(xiǎn)?是購買一種端點(diǎn)檢測和響應(yīng)(EDR)解決方案?或是將可視化和監(jiān)視功能引入OT網(wǎng)絡(luò)?可能下面的六個(gè)步驟是所有新CISO應(yīng)該采取的最有效保護(hù)其OT環(huán)境的方式。
步驟1:資產(chǎn)盤點(diǎn)。公司的資產(chǎn)對公司是至關(guān)重要的。首先,CISO需要發(fā)現(xiàn)和盤點(diǎn)組織中的每項(xiàng)OT資產(chǎn),對需要保護(hù)的內(nèi)容(數(shù)據(jù),軟件,系統(tǒng))做到全面的了解。缺乏完整而準(zhǔn)確的資產(chǎn)盤點(diǎn),后續(xù)步驟將無法最大程度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
步驟2:備份/測試還原。保護(hù)OT系統(tǒng)免受毀滅性勒索軟件攻擊的最有效方法是對OT數(shù)據(jù)進(jìn)行備份并進(jìn)行測試還原,以確保最佳備份。出于多種原因(其中包括安全原因),對系統(tǒng)進(jìn)行備份可以通過保護(hù)網(wǎng)絡(luò)免受數(shù)據(jù)丟失來確保其有效性。正如我們將在步驟5中看到的那樣,連續(xù)不斷地標(biāo)識用于測試還原的相關(guān)數(shù)據(jù)非常重要,通常可以通過詢問企業(yè)中的用戶哪些數(shù)據(jù)對工作最重要,而當(dāng)進(jìn)行第一次進(jìn)行備份/測試還原時(shí),請盡可能全面和深入執(zhí)行此操作,從而避免數(shù)據(jù)的丟失和其他問題。
步驟3:軟件漏洞分析。步驟1的資產(chǎn)清單將對企業(yè)OT系統(tǒng)中的所有軟件進(jìn)行盤點(diǎn),CISO必須清楚每項(xiàng)軟件資產(chǎn)的狀態(tài),并對每個(gè)軟件進(jìn)行漏洞分析。比如軟件的版本?是否有較新的版本(更安全,更有效)的OT系統(tǒng)可以使用?通常對于軟件有一個(gè)關(guān)鍵性問題:是否需要打補(bǔ)丁?這里建議不要像IT那樣對所有內(nèi)容自動進(jìn)行打補(bǔ)丁,因?yàn)閷T打補(bǔ)丁是一個(gè)復(fù)雜而具有挑戰(zhàn)性的過程,需要用整個(gè)步驟進(jìn)行評估。
步驟4:打補(bǔ)丁。盡管在IT中是自動進(jìn)行打補(bǔ)丁,但在OT中要復(fù)雜的多,甚至有時(shí)給OT軟件打補(bǔ)丁可能會起到適得其反的效果。一些非常重要的OT系統(tǒng)已經(jīng)在工廠車間使用了15到25年甚至更長的時(shí)間,并且無法拆卸和打補(bǔ)丁,而且即使有適當(dāng)(且安全)的補(bǔ)丁程序,陳舊的OT可能也沒有足夠的內(nèi)存或CPU帶寬來安裝。
步驟5:二次備份/測試恢復(fù)。每當(dāng)OT或IT系統(tǒng)中的任何內(nèi)容發(fā)生更改(例如更新)時(shí),備份/測試還原都必須成為一種根深蒂固的習(xí)慣。這里有個(gè)很重要的建議:持續(xù)定期的重復(fù)步驟3到5,新漏洞通常在舊軟件中發(fā)現(xiàn)。
步驟6:啟用日志。CISO不僅必須知道某件事情是如何工作或失敗的,還必須知道為什么它會失敗,日志記錄這個(gè)時(shí)候就顯得很重要,通過管理和分析日志,CISO團(tuán)隊(duì)能夠了解環(huán)境,盡早發(fā)現(xiàn)威脅并優(yōu)化防御。
隨著越來越多的設(shè)備開始加入IIoT 網(wǎng)絡(luò),IT 與OT 之間的界限將逐漸消失,直到成為一個(gè)或相同的系統(tǒng)為止。在兩者融合的過程中,如果企業(yè)的新CISO采取這六個(gè)基本但必不可少的步驟,并習(xí)慣性地重復(fù)那些需要重復(fù)的步驟,那么他們可以確信他們已經(jīng)做的很扎實(shí),將企業(yè)的OT風(fēng)險(xiǎn)降至到最低了。
來源:安全內(nèi)參
北京市公安局海淀分局備案號:11010802023656號