企業(yè)創(chuàng)建信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)融合的4個(gè)關(guān)鍵步驟

2022/4/29 0:04:38 人評(píng)論次瀏覽分類：過(guò)程控制文章地址：http://prosperiteweb.com/tech/4211.html

IT和OT團(tuán)隊(duì)通常看起來(lái)像是處于不同的世界。要將真正的IT安全性帶入OT環(huán)境，創(chuàng)建IT/OT融合的聯(lián)合培訓(xùn)和溝通；構(gòu)建滿足雙方需求的IT/OT安全團(tuán)隊(duì)；建立OT系統(tǒng)管理計(jì)劃；技能發(fā)展是幫助企業(yè)創(chuàng)建IT/OT融合的4個(gè)關(guān)鍵步驟。

在許多工業(yè)企業(yè)中，信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)團(tuán)隊(duì)仿佛來(lái)自不同的星球。他們有各自的目標(biāo)、優(yōu)先事項(xiàng)、技能、指標(biāo)甚至語(yǔ)言。IT/OT融合需要這些團(tuán)隊(duì)共同努力，以幫助這些新的互聯(lián)系統(tǒng)，實(shí)現(xiàn)諸如更高的效率和產(chǎn)出，以及增強(qiáng)的安全性等關(guān)鍵業(yè)務(wù)目標(biāo)。

通過(guò)IT/OT融合，以前與企業(yè)IT系統(tǒng)隔離，并無(wú)法訪問(wèn)互聯(lián)網(wǎng)和通信應(yīng)用(如電子郵件和云接口)的系統(tǒng)，現(xiàn)在可以通過(guò)企業(yè)基礎(chǔ)設(shè)施，利用規(guī)模優(yōu)勢(shì)和大數(shù)據(jù)分析的優(yōu)勢(shì)。但帶來(lái)收益的同時(shí)，IT網(wǎng)絡(luò)中存在的風(fēng)險(xiǎn)也隨之增加：勒索軟件、間諜黑客，甚至更糟糕的是，物理過(guò)程的潛在中斷可能會(huì)造成物理破壞。

現(xiàn)在，企業(yè)的董事會(huì)要求首席信息安全官(CISO)和首席信息官(CIO)確保這些系統(tǒng)的安全，并確保它們與企業(yè)內(nèi)的其他設(shè)備具有相同的安全級(jí)別。因此，IT部門(mén)正在尋求加強(qiáng)IT和OT的集成，以在企業(yè)中推動(dòng)所有端點(diǎn)和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化。

不幸的是，運(yùn)營(yíng)技術(shù)(OT/ICS)資產(chǎn)，如人機(jī)界面(HMI)、服務(wù)器、可編程邏輯控制器(PLC)、繼電器、實(shí)時(shí)自動(dòng)化控制器和其他智能電子設(shè)備，由于各種原因被排除在大多數(shù)企業(yè)的網(wǎng)絡(luò)安全流程之外。這些原因可能包括從組織邊界和法規(guī)要求，到IT人員缺乏OT系統(tǒng)技能的所有方面。此外，由于運(yùn)營(yíng)部門(mén)希望提高效率，OT團(tuán)隊(duì)始終面臨人員編制的壓力。

結(jié)果是OT系統(tǒng)中缺乏網(wǎng)絡(luò)安全所需的許多基本要素。例如，庫(kù)存不準(zhǔn)確，配置和補(bǔ)丁程序數(shù)據(jù)庫(kù)過(guò)時(shí)，帳戶和用戶訪問(wèn)管理未得到良好管理等等。部分原因是，鑒于OT/ICS系統(tǒng)中資產(chǎn)的敏感性、獨(dú)特性和嵌入性，自動(dòng)化這些過(guò)程所需的工具還不可用。

IT/OT融合

要將真正的IT安全性帶入OT環(huán)境并實(shí)現(xiàn)穩(wěn)健、一致的安全管理，企業(yè)可以通過(guò)以下4個(gè)關(guān)鍵步驟幫助IT和OT協(xié)同工作：

1、創(chuàng)建IT/OT融合的聯(lián)合培訓(xùn)和溝通
IT和OT的根本差距始于對(duì)每個(gè)職能部門(mén)的目標(biāo)和目的缺乏了解。例如，IT團(tuán)隊(duì)使用傳統(tǒng)的IT漏洞掃描器定期掃描OT系統(tǒng)，并采取一致行動(dòng)，為OT設(shè)備打補(bǔ)丁，但沒(méi)有意識(shí)到它們可能會(huì)造成某些問(wèn)題。類似地，OT團(tuán)隊(duì)通常會(huì)說(shuō)，“我們不能打補(bǔ)丁”，這只是一個(gè)籠統(tǒng)的聲明，他們并不了解IT的安全目標(biāo)或在特定時(shí)間修補(bǔ)某些資產(chǎn)的實(shí)際方法。

企業(yè)為成功實(shí)現(xiàn)IT/OT融合而采取的第一步，是致力于聯(lián)合培訓(xùn)和溝通。通常情況下，這可能發(fā)生在召開(kāi)一系列4 到5 個(gè)聯(lián)合研討會(huì)上，關(guān)鍵的OT 領(lǐng)導(dǎo)人分享他們的業(yè)務(wù)流程和目標(biāo)細(xì)節(jié)，IT 團(tuán)隊(duì)則分享他們的安全目標(biāo)和典型方法。這些研討會(huì)使兩個(gè)部門(mén)了解如何相互溝通，并了解各自的目標(biāo)和局限性。

2、構(gòu)建滿足雙方需求的IT/OT安全團(tuán)隊(duì)
沒(méi)有完美的企業(yè)模式。一些企業(yè)已經(jīng)成功地創(chuàng)建了一個(gè)聯(lián)合安全領(lǐng)導(dǎo)團(tuán)隊(duì)，OT領(lǐng)導(dǎo)與IT同行一起擔(dān)任高級(jí)領(lǐng)導(dǎo)職務(wù)。另外一些公司則以IT成員擔(dān)任安全領(lǐng)導(dǎo)職務(wù)，但將OT的重要輸入納入到適用于其系統(tǒng)的工具、流程和標(biāo)準(zhǔn)中。

企業(yè)容易犯的最大的錯(cuò)誤，是在安全領(lǐng)導(dǎo)團(tuán)隊(duì)中設(shè)置一個(gè)象征性的OT代表，或者招聘一到兩名有OT經(jīng)驗(yàn)的中層人員作為OT的代表。幾乎在所有情況下，這都會(huì)以O(shè)T代表被納入IT組織并且影響有限而告終。那些最成功的企業(yè)會(huì)指派一位關(guān)鍵的、資深的、真正受人尊敬的OT領(lǐng)導(dǎo)者，并賦予他們?cè)谡麄€(gè)安全組織中的真正權(quán)威。

3、建立OT系統(tǒng)管理計(jì)劃
OT系統(tǒng)管理是健全OT安全計(jì)劃的關(guān)鍵。它涉及以下要素：
①資產(chǎn)庫(kù)存管理；
②生命周期管理，包括定義系統(tǒng)需求以實(shí)現(xiàn)預(yù)期的物理系統(tǒng)，制定規(guī)范以確?？煽啃院桶踩?、供應(yīng)鏈管理和控制這些系統(tǒng)，以及更換過(guò)時(shí)的組件；
③配置管理；
④補(bǔ)丁和漏洞管理；
⑤網(wǎng)絡(luò)與系統(tǒng)設(shè)計(jì)；
⑥用戶和帳戶管理；
⑦日志和性能監(jiān)控以實(shí)現(xiàn)可靠性和安全性；
⑧事件和故障響應(yīng)；
⑨備份和恢復(fù)。

在IT方面，對(duì)這些基本組件非常熟悉，被認(rèn)為是理所當(dāng)然的，因?yàn)槎嗄陙?lái)它們一直是IT系統(tǒng)管理的核心部分。但對(duì)于OT方面，實(shí)現(xiàn)大多數(shù)任務(wù)的基礎(chǔ)設(shè)施并不一致。因此，OT缺乏建立IT安全性的基礎(chǔ)。

在了解網(wǎng)絡(luò)資產(chǎn)、系統(tǒng)用戶之前，組織希望先實(shí)現(xiàn)威脅檢測(cè)或劃分微區(qū)域。

通過(guò)建立OT系統(tǒng)管理，IT和OT團(tuán)隊(duì)可以從類似資產(chǎn)管理的基礎(chǔ)開(kāi)始，有效地開(kāi)展協(xié)同工作。穩(wěn)健的OT系統(tǒng)管理計(jì)劃帶來(lái)許多其它關(guān)鍵好處，包括：
①對(duì)網(wǎng)絡(luò)中所有硬件和軟件的清晰標(biāo)識(shí)，以確?？焖僮R(shí)別漏洞；
②正確更新和配置系統(tǒng)，減少攻擊面；
③高效完成系統(tǒng)更新，以實(shí)現(xiàn)關(guān)鍵運(yùn)行任務(wù)的自動(dòng)化；
④跨IT和OT系統(tǒng)進(jìn)行一致的報(bào)告和監(jiān)控，以簡(jiǎn)化進(jìn)度報(bào)告；
⑤更有效和更先進(jìn)的安全控制，因?yàn)樗鼈兪峭ㄟ^(guò)適當(dāng)?shù)目梢?jiàn)性，以及對(duì)底層端點(diǎn)和網(wǎng)絡(luò)信息的訪問(wèn)而構(gòu)建的。

4、技能發(fā)展
為了真正實(shí)現(xiàn)IT/OT融合，企業(yè)需要在OT中構(gòu)建關(guān)鍵的安全管理技能集。在IT中，幾乎所有系統(tǒng)管理任務(wù)都可以集中完成。然而，在OT中，在執(zhí)行補(bǔ)丁或配置管理等安全功能之前，獨(dú)特且敏感的流程可能需要本地OT知識(shí)。

因此，有必要在傳統(tǒng)運(yùn)營(yíng)系統(tǒng)設(shè)備和網(wǎng)絡(luò)設(shè)備以及嵌入式運(yùn)營(yíng)設(shè)備的范圍內(nèi)，圍繞關(guān)鍵OT系統(tǒng)管理概念(如修補(bǔ)、配置管理、密碼管理等)開(kāi)展員工隊(duì)伍建設(shè)。我們當(dāng)然可以贊揚(yáng)圍繞網(wǎng)絡(luò)安全分析、調(diào)查、威脅搜尋等提供的重要培訓(xùn)，但同樣需要關(guān)注其它70%的網(wǎng)絡(luò)安全，包括系統(tǒng)管理的基礎(chǔ)要素。

企業(yè)需要堅(jiān)持這4個(gè)關(guān)鍵步驟：建立共同意識(shí)和正確的團(tuán)隊(duì)、建立OT系統(tǒng)管理和培養(yǎng)正確的技能，以使IT和OT團(tuán)隊(duì)有效地協(xié)同工作，并在兩個(gè)部門(mén)中推動(dòng)真正的安全能力。

作者：John Livingston,Verve Industrial

上一篇：先進(jìn)過(guò)程控制(APC):基于矩陣的現(xiàn)代多變量控制

下一篇：Back to Basics將流程圖作為溝通工具

與在線工程師QQ交流

到論壇與網(wǎng)友交流

向昌暉儀表網(wǎng)投稿

免費(fèi)獲得2000元電子書(shū)