在许多工业企业中,信息技术(IT)和运营技术(OT)团队仿佛来自不同的星球。他们有各自的目标、优先事项、技能、指标甚至语言。IT/OT融合需要这些团队共同努力,以帮助这些新的互联系统,实现诸如更高的效率和产出,以及增强的安全性等关键业务目标。
通过IT/OT融合,以前与企业IT系统隔离,并无法访问互联网和通信应用(如电子邮件和云接口)的系统,现在可以通过企业基础设施,利用规模优势和大数据分析的优势。但带来收益的同时,IT网络中存在的风险也随之增加:勒索软件、间谍黑客,甚至更糟糕的是,物理过程的潜在中断可能会造成物理破坏。
现在,企业的董事会要求首席信息安全官(CISO)和首席信息官(CIO)确保这些系统的安全,并确保它们与企业内的其他设备具有相同的安全级别。因此,IT部门正在寻求加强IT和OT的集成,以在企业中推动所有端点和网络安全的标准化。
不幸的是,运营技术(OT/ICS)资产,如人机界面(HMI)、服务器、可编程逻辑控制器(PLC)、继电器、实时自动化控制器和其他智能电子设备,由于各种原因被排除在大多数企业的网络安全流程之外。这些原因可能包括从组织边界和法规要求,到IT人员缺乏OT系统技能的所有方面。此外,由于运营部门希望提高效率,OT团队始终面临人员编制的压力。
结果是OT系统中缺乏网络安全所需的许多基本要素。例如 ,库存不准确,配置和补丁程序数据库过时,帐户和用户访问管理未得到良好管理等等。部分原因是,鉴于OT/ICS系统中资产的敏感性、独特性和嵌入性,自动化这些过程所需的工具还不可用。
要将真正的IT安全性带入OT环境并实现稳健、一致的安全管理,企业可以通过以下4个关键步骤帮助IT和OT协同工作:
1、创建IT/OT融合的联合培训和沟通
IT和OT的根本差距始于对每个职能部门的目标和目的缺乏了解。例如,IT团队使用传统的IT漏洞扫描器定期扫描OT系统,并采取一致行动,为OT设备打补丁,但没有意识到它们可能会造成某些问题。类似地,OT团队通常会说,“我们不能打补丁”,这只是一个笼统的声明,他们并不了解IT的安全目标或在特定时间修补某些资产的实际方法。
企业为成功实现IT/OT融合而采取的第一步,是致力于联合培训和沟通。通常情况下,这可能发生在召开一系列4 到5 个联合研讨会上,关键的OT 领导人分享他们的业务流程和目标细节,IT 团队则分享他们的安全目标和典型方法。这些研讨会使两个部门了解如何相互沟通,并了解各自的目标和局限性。
2、构建满足双方需求的IT/OT安全团队
没有完美的企业模式。一些企业已经成功地创建了一个联合安全领导团队,OT领导与IT同行一起担任高级领导职务。另外一些公司则以IT成员担任安全领导职务,但将OT的重要输入纳入到适用于其系统的工具、流程和标准中。
企业容易犯的最大的错误,是在安全领导团队中设置一个象征性的OT代表,或者招聘一到两名有OT经验的中层人员作为OT的代表。几乎在所有情况下,这都会以OT代表被纳入IT组织并且影响有限而告终。那些最成功的企业会指派一位关键的、资深的、真正受人尊敬的OT领导者,并赋予他们在整个安全组织中的真正权威。
3、建立OT系统管理计划
OT系统管理是健全OT安全计划的关键。它涉及以下要素:
①资产库存管理;
②生命周期管理,包括定义系统需求以实现预期的物理系统,制定规范以确保可靠性和安全性、供应链管理和控制这些系统,以及更换过时的组件;
③配置管理;
④补丁和漏洞管理;
⑤网络与系统设计;
⑥用户和帐户管理;
⑦日志和性能监控以实现可靠性和安全性;
⑧事件和故障响应;
⑨备份和恢复。
在IT方面,对这些基本组件非常熟悉,被认为是理所当然的,因为多年来它们一直是IT系统管理的核心部分。但对于OT方面,实现大多数任务的基础设施并不一致。因此,OT缺乏建立IT安全性的基础。
在了解网络资产、系统用户之前,组织希望先实现威胁检测或划分微区域。
通过建立OT系统管理,IT和OT团队可以从类似资产管理的基础开始,有效地开展协同工作。稳健的OT系统管理计划带来许多其它关键好处,包括:
①对网络中所有硬件和软件的清晰标识,以确保快速识别漏洞;
②正确更新和配置系统,减少攻击面;
③高效完成系统更新,以实现关键运行任务的自动化;
④跨IT和OT系统进行一致的报告和监控,以简化进度报告;
⑤更有效和更先进的安全控制,因为它们是通过适当的可见性,以及对底层端点和网络信息的访问而构建的。
4、技能发展
为了真正实现IT/OT融合,企业需要在OT中构建关键的安全管理技能集。在IT中,几乎所有系统管理任务都可以集中完成。然而,在OT中,在执行补丁或配置管理等安全功能之前,独特且敏感的流程可能需要本地OT知识。
因此,有必要在传统运营系统设备和网络设备以及嵌入式运营设备的范围内,围绕关键OT系统管理概念(如修补、配置管理、密码管理等)开展员工队伍建设。我们当然可以赞扬围绕网络安全分析、调查、威胁搜寻等提供的重要培训,但同样需要关注其它70%的网络安全,包括系统管理的基础要素。
企业需要坚持这4个关键步骤:建立共同意识和正确的团队、建立OT系统管理和培养正确的技能,以使IT和OT团队有效地协同工作,并在两个部门中推动真正的安全能力。
作者:John Livingston,Verve Industrial
