久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

當前IT/OT融合已經(jīng)成為一種趨勢，本文對融合現(xiàn)狀和管理進行了調(diào)研，并為企業(yè)的新CISO如何應對融合挑戰(zhàn)提供了一些建議。

IT和OT的深度融合已是大勢所趨，一方面為企業(yè)帶來運營效率、性能和服務質(zhì)量的提高，同時也帶來更大的安全風險等弊端。當面對缺乏專業(yè)人員、合規(guī)不等于安全、企業(yè)領導關注度不足、OT日益嚴峻的威脅等關鍵挑戰(zhàn)時，應對IT/OT融合挑戰(zhàn)的六大關鍵步驟正是企業(yè)CISO需要的。

1.IT/OT融合下的利弊

西門子和Ponemon研究所最近發(fā)布的調(diào)查報告，對供電企業(yè)面臨的工業(yè)網(wǎng)絡風險進行了探討。調(diào)查發(fā)現(xiàn)，隨著工業(yè)物聯(lián)網(wǎng) (IIoT）的出現(xiàn)，將網(wǎng)絡傳感器和相關軟件與復雜的物理機械結(jié)合在一起，IT 和OT 之間的鴻溝正在迅速消散。供電企業(yè)的的經(jīng)營方式逐漸轉(zhuǎn)變?yōu)橛锰柲芎惋L能等可再生能源替代傳統(tǒng)發(fā)電，并結(jié)合資產(chǎn)數(shù)字化管理的主流方式，OT（運營技術）資產(chǎn)的數(shù)字化為全球公共事業(yè)行業(yè)帶來了無限商機，也加速了IT（信息技術）和OT的融合。

一半以上的受訪者表示在數(shù)字化的推動下，IT/OT融合是一件好事，它有著包括優(yōu)化業(yè)務流程、降低成本、降低風險以及縮短項目時間等優(yōu)點，同時也是提高供應鏈合作伙伴的信任和信心的重要因素。IT和OT“雙劍合璧”后爆發(fā)出巨大的威力。

但IT和OT都有著各自的背景和特性，對兩者進行區(qū)分是很重要的，如下表一所示：

表一 IT和OT特性對比

通常，企業(yè)運營團隊在可用性和機密性兩者之間會優(yōu)先考慮可用性，因此OT網(wǎng)絡通常都缺乏基本的安全防護。在這樣的情況下，有受訪者對兩者的融合表達了擔憂，因為隨著行業(yè)內(nèi)IT/OT集成度越來越高，供電企業(yè)的關鍵基礎架構面臨的攻擊和威脅正日益增長，有可能造成嚴重的經(jīng)濟、環(huán)境和基礎設施破壞。全球54%的被調(diào)查供電企業(yè)預計2020年會遭遇針對運營技術網(wǎng)絡的攻擊。

隨著將大量規(guī)模的資產(chǎn)連接在一起，OT安全的風險也越來越大。大量具有不同功能、相互連接的設備分布在不同區(qū)域，通過這些連接可以擴展到數(shù)以萬計的資產(chǎn)，而保護這些綿延數(shù)十上百公里的資產(chǎn)的安全，無疑是一件風險很大的事情，這也成為IT/OT融合的弊端。

2.IT/OT融合的關鍵挑戰(zhàn)

IT/OT的融合面臨著關鍵挑戰(zhàn)：

缺乏專業(yè)人員：安全專家無疑是確保IT/OT成功融合的關鍵因素，組建跨職能團隊來管理IT和OT系統(tǒng)中的網(wǎng)絡風險將有助于問題的消除。但企業(yè)的風險管理，在46%的情況下是通過內(nèi)部團隊和外部服務提供商結(jié)合進行的，僅是內(nèi)部團隊或者僅外部服務提供商進行管理的情況則分別是34%和20%。缺乏專業(yè)的人員大大延遲了對攻擊的響應——惡意軟件攻擊的響應需要72天！西門子的研究報告也指出，面對融合的安全風險，企業(yè)準備明顯不足，只有不到1/3的受訪者表示企業(yè)目前所做的準備足以應對可能發(fā)生的網(wǎng)絡風險。

合規(guī)≠安全：行業(yè)內(nèi)很多企業(yè)相信合規(guī)性可以給企業(yè)帶來安全保障，因此他們按照“法規(guī)遵從為中心”的方法來管理企業(yè)網(wǎng)絡安全風險，這種方式在一定程度上改善了網(wǎng)絡安全狀況，但是受訪者披露，實現(xiàn)法規(guī)的合規(guī)并不等于實現(xiàn)良好的安全態(tài)勢，僅依賴法規(guī)遵從性方法可能會對過去的安全事件做出響應，但面臨新的網(wǎng)絡攻擊時則可能會顯得束手無策。

領導缺乏關注度：此外，企業(yè)領導層對IT/OT融合過程中安全的關注度明顯不足，有些企業(yè)管理者會覺得近幾年發(fā)生的伊朗“震網(wǎng)”病毒攻擊核電站、土耳其原油輸送管遭受網(wǎng)絡攻擊爆炸、烏克蘭遭受網(wǎng)絡攻擊造成大范圍停電等安全事件并沒有把攻擊重點放在自己企業(yè)的網(wǎng)絡上。烏克蘭遭受的網(wǎng)絡攻擊主要是破壞國家的基礎架構并令其癱瘓，但仍有大量企業(yè)的OT網(wǎng)絡遭受到嚴重影響，如果這些攻擊專門針對工業(yè)網(wǎng)絡，后果將不堪設想。

OT威脅日益嚴峻：隨著企業(yè)運營的數(shù)字化，網(wǎng)絡攻擊范圍已經(jīng)擴展到OT，與IT環(huán)境相比，網(wǎng)絡威脅對缺乏安全防護的OT的影響更大。當網(wǎng)絡攻擊在關鍵能源基礎設施間展開時，可能會對設備造成破壞、給員工帶來風險，并造成企業(yè)高機密信息被竊取，OT的威脅成為IT/OT網(wǎng)絡防御的痛點。

3.CISO應對OT/IT融合的六大關鍵步驟

那么在面對往往是陳舊且特有的關鍵業(yè)務運營技術（OT）與信息技術（IT）融合在一起產(chǎn)生的沖突時，誰為可能產(chǎn)生的網(wǎng)絡安全風險買單？作為公司的CISO，如何降低企業(yè)整體的風險？是購買一種端點檢測和響應（EDR）解決方案？或是將可視化和監(jiān)視功能引入OT網(wǎng)絡？可能下面的六個步驟是所有新CISO應該采取的最有效保護其OT環(huán)境的方式。

步驟1：資產(chǎn)盤點。公司的資產(chǎn)對公司是至關重要的。首先，CISO需要發(fā)現(xiàn)和盤點組織中的每項OT資產(chǎn)，對需要保護的內(nèi)容（數(shù)據(jù)，軟件，系統(tǒng)）做到全面的了解。缺乏完整而準確的資產(chǎn)盤點，后續(xù)步驟將無法最大程度地降低網(wǎng)絡安全風險。 

步驟2：備份/測試還原。保護OT系統(tǒng)免受毀滅性勒索軟件攻擊的最有效方法是對OT數(shù)據(jù)進行備份并進行測試還原，以確保最佳備份。出于多種原因（其中包括安全原因），對系統(tǒng)進行備份可以通過保護網(wǎng)絡免受數(shù)據(jù)丟失來確保其有效性。正如我們將在步驟5中看到的那樣，連續(xù)不斷地標識用于測試還原的相關數(shù)據(jù)非常重要，通常可以通過詢問企業(yè)中的用戶哪些數(shù)據(jù)對工作最重要，而當進行第一次進行備份/測試還原時，請盡可能全面和深入執(zhí)行此操作，從而避免數(shù)據(jù)的丟失和其他問題。

步驟3：軟件漏洞分析。步驟1的資產(chǎn)清單將對企業(yè)OT系統(tǒng)中的所有軟件進行盤點，CISO必須清楚每項軟件資產(chǎn)的狀態(tài)，并對每個軟件進行漏洞分析。比如軟件的版本？是否有較新的版本（更安全，更有效）的OT系統(tǒng)可以使用？通常對于軟件有一個關鍵性問題：是否需要打補丁？這里建議不要像IT那樣對所有內(nèi)容自動進行打補丁，因為對OT打補丁是一個復雜而具有挑戰(zhàn)性的過程，需要用整個步驟進行評估。

步驟4：打補丁。盡管在IT中是自動進行打補丁，但在OT中要復雜的多，甚至有時給OT軟件打補丁可能會起到適得其反的效果。一些非常重要的OT系統(tǒng)已經(jīng)在工廠車間使用了15到25年甚至更長的時間，并且無法拆卸和打補丁，而且即使有適當（且安全）的補丁程序，陳舊的OT可能也沒有足夠的內(nèi)存或CPU帶寬來安裝。

步驟5：二次備份/測試恢復。每當OT或IT系統(tǒng)中的任何內(nèi)容發(fā)生更改（例如更新）時，備份/測試還原都必須成為一種根深蒂固的習慣。這里有個很重要的建議：持續(xù)定期的重復步驟3到5，新漏洞通常在舊軟件中發(fā)現(xiàn)。

步驟6：啟用日志。CISO不僅必須知道某件事情是如何工作或失敗的，還必須知道為什么它會失敗，日志記錄這個時候就顯得很重要，通過管理和分析日志，CISO團隊能夠了解環(huán)境，盡早發(fā)現(xiàn)威脅并優(yōu)化防御。

隨著越來越多的設備開始加入IIoT 網(wǎng)絡，IT 與OT 之間的界限將逐漸消失，直到成為一個或相同的系統(tǒng)為止。在兩者融合的過程中，如果企業(yè)的新CISO采取這六個基本但必不可少的步驟，并習慣性地重復那些需要重復的步驟，那么他們可以確信他們已經(jīng)做的很扎實，將企業(yè)的OT風險降至到最低了。

來源：安全內(nèi)參