118bet金博宝

IT/OT融合的三种方式对工业网络安全的成功至关重要

有人多次说It和OT需要合作,但为什么它如此重要?这里有三项日常职能,IT/OT融合将有助于降低风险,提高成功几率。

里克·考恩 2021年9月22日
提供:CFE Media and Technology

当我参加小组讨论或在会议发言后,最常被问到的问题之一是关于信息技术/运营技术(IT/OT)融合的主题。关于它已经写了很多,从我们应该如何管理它,到我们如何避免它,以及介于两者之间的一切。在看到这篇文章后,一位业内同行可能会(再次)提醒我,即使是谈论它或给它贴上标签都是危险的。他认为IT仅仅是一个纯粹的工程环境的支持或切线组件,并且建议IT应该参与任何与OT功能有关的事情(阅读:温度、压力等的工程原理)是没有意义的。然而,我坚信IT/OT融合从根本上是必需的,也需要被接受。

我以前写过这个话题(和其他很多话题一样),所以如果你想了解我对OT类型的介绍,请阅读这篇博文. 或者,如果您希望了解如何让IT和OT协同工作,请阅读我的同事约翰·利文斯顿的文章“帮助您的组织实现IT/OT融合的四个关键步骤。

现在,我将提供三个IT/OT融合的日常功能,或者更恰当地说,IT和OT融合合作-不仅能更好地降低风险,而且还能取得少量的成功。另一种选择是让您的离岸IT支持不经意地重新启动一个看似无害的防火墙,该防火墙恰好在向自动关机命令传输关键安全信息。是的,现在是2021年,是的,我们仍然有这些情况。

在IT/OT融合对成功至关重要的三个明显场景中:漏洞映射/识别、修补(或不修补)和威胁/事件检测。

IT/OT融合的漏洞映射/识别

这似乎很简单。我们都想知道操作环境中存在的漏洞。虽然它更喜欢使用基于扫描的工具,但在OT中,扫描有两个非常实际的限制:

  1. 它们可以使脆弱的系统离线
  2. 他们不获取嵌入式资产(继电器、PLC等)的数据。

因此,我们还没有全面了解脆弱的情况,这意味着我们没有能力保护自己。我们真正需要的是用于漏洞识别的ot安全工具,这意味着IT部门需要放弃他们首选的方法,而采用另一种替代方法。事情通常不是这样展开的。尽管如此,这也是我与IT部门分享我的信条的地方:我们将共同达到安全需要的地方,但我们将走一条不同的道路,可能需要不同的工具。现实情况是,一旦识别出风险,我们需要IT帮助我们跟踪、解读和理解风险。

修补或不修补

修补,或者更可能,补偿控制(因为在OT中补丁并不总是一个选项)IT知识真正有助于OT降低风险。当BlueKeep这样的东西出现时(范围广,风险高,测试时间不多),时间就在滴答作响,风险也很高。大多数OT类型可以而且很可能会补丁一些系统(例如,低影响的系统,如基于DMZ的域控制器)。但是皇冠上的珠宝呢?像实验室信息管理系统(LIMS)服务器、安全系统、关键人机界面(HMI)或第2层文件服务器,以及所有可编程逻辑控制器(PLC)梯形图逻辑拷贝和备份?

这是IT和OT必须一起工作的地方,因为如果我们不能打补丁,我们想提供第二或第三道防线保护,如禁用远程桌面。如果IT和OT之间没有进行彻底的协商——OT告诉我们哪些系统需要修补,IT帮助提供技术分析,并为B计划或C计划的替代方案提供建议——我们要么就打补丁,要么就根本不打补丁。我不喜欢这两种方法的可能性。

威胁/事件检测

许多公司已经接受了异常或威胁检测工具的崇高承诺,以清查和保护OT环境。其他公司正在寻求将所有OT数据输入现有(和有能力的)安全运营中心(SOC)实例。这两种技术的挑战在于,您的效率仅与查看数据的技术人员相同。在这两种情况下,您都绝对需要对这两种技术可能存在的问题进行OT审查。查找特定于系统的(阅读:专有OT行为)要忽略或升级的指标只能来自IT和OT,他们在入站数据上积极合作,以正确调整您的监控程序。

对我来说,很明显:从最初的发现和识别,到主动修补和降低风险,再到实时事件,it和OT需要彼此能够导航各自的领域。建议OT有时间或资源来详细复制IT技能集,或者建议IT技能集能够完全理解复杂OT环境的细微差别和脆弱性,这将导致您的设施发生重大事件。为了真正取得成功,您必须将这两个规程结合起来,以促进日常管理、维护和响应活动中的协作。这是您在OT中可获得的最快速、最有效的降低风险和安全维护的途径。

神韵工业是CFE媒体内容合作伙伴。


里克Kaun
作者简介:瑞克·考恩,神韵工业