工業(yè)網(wǎng)絡(luò)安全的新趨勢(shì):網(wǎng)絡(luò)彈性
不久前,運(yùn)營技術(shù)(OT)和信息技術(shù)(IT)還被劃分為獨(dú)立的職能領(lǐng)域。然而,數(shù)字化轉(zhuǎn)型舉措正在迅速模糊它們之間的界限。隨著越來越多的企業(yè)部署IIoT設(shè)備,如傳感器、智能能源管理系統(tǒng)和遠(yuǎn)程溫度控制器等,以優(yōu)化產(chǎn)能和提高效率,OT領(lǐng)域面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也在持續(xù)增加。
對(duì)OT的網(wǎng)絡(luò)安全威脅正在增加
在過去十年中,由于OT網(wǎng)絡(luò)泄露,諸如NotPetya、Stuxnet、Aurora和Havex等惡意病毒利用OT網(wǎng)絡(luò)漏洞,將企業(yè)暴露于網(wǎng)絡(luò)攻擊之下的事件屢見不鮮。壞消息是此類攻擊現(xiàn)在仍然很普遍。
根據(jù)市場(chǎng)研究公司Ponemon Institute和Tenable聯(lián)合進(jìn)行的一項(xiàng)調(diào)查顯示,90%的IT安全決策者承認(rèn):他們所在的企業(yè)在過去兩年中遭受了至少一次網(wǎng)絡(luò)攻擊。另有66%的決策者承認(rèn),在同一時(shí)期內(nèi)至少遭受了兩次網(wǎng)絡(luò)攻擊。
OT應(yīng)用中的網(wǎng)絡(luò)安全立場(chǎng)
盡管IT網(wǎng)絡(luò)安全歷來關(guān)注數(shù)據(jù)的完整性、可用性和機(jī)密性,但OT領(lǐng)域與之略有不同。在OT領(lǐng)域,優(yōu)先級(jí)通常圍繞著關(guān)鍵任務(wù)系統(tǒng)的可靠性、可用性、可維護(hù)性和安全性展開,例如工業(yè)控制系統(tǒng)(ICS)、監(jiān)控和數(shù)據(jù)采集(SCADA)以及分布式控制系統(tǒng)(DCS)。很顯然,OT系統(tǒng)代表了獨(dú)特的網(wǎng)絡(luò)安全挑戰(zhàn),這超出了傳統(tǒng)網(wǎng)絡(luò)安全措施的范圍。
正是由于這個(gè)原因,原始設(shè)備制造商(OEM)正努力通過企業(yè)IT和互聯(lián)網(wǎng)來提高OT的安全性、可靠性和整體設(shè)備效率(OEE)。盡管這種融合可為組織抵御網(wǎng)絡(luò)威脅提供某種彈性,但如果管理不當(dāng),也會(huì)帶來一系列風(fēng)險(xiǎn)。
克服OT/IT網(wǎng)絡(luò)安全的障礙
隨著業(yè)務(wù)領(lǐng)導(dǎo)者更加專注于集成OT和IT基礎(chǔ)架構(gòu),他們必須考慮3個(gè)主要的網(wǎng)絡(luò)安全障礙:
1.在傳統(tǒng)技術(shù)上運(yùn)行的連續(xù)性;
2.IT和OT團(tuán)隊(duì)在網(wǎng)絡(luò)安全方面的立場(chǎng)不同;
3.OT環(huán)境中缺乏安全專業(yè)知識(shí)。
除此之外,組織還需要考慮責(zé)任的分配以及技能和工具的缺乏。根據(jù)安全公司NTT Security進(jìn)行的一項(xiàng)在線調(diào)查,技能差距是企業(yè)試圖緩解OT安全威脅所面臨的最大挑戰(zhàn)之一。更糟糕的是,大多數(shù)IT決策者對(duì)于誰為OT安全負(fù)責(zé)感到困惑。
實(shí)現(xiàn)網(wǎng)絡(luò)彈性的3個(gè)步驟
為了填補(bǔ)安全漏洞并改善組織對(duì)OT網(wǎng)絡(luò)安全的防御能力,需要企業(yè)實(shí)施聯(lián)合的IT/OT網(wǎng)絡(luò)安全戰(zhàn)略。盡管由于IT和OT之間的界限,很難立即實(shí)現(xiàn)這一目標(biāo),但對(duì)于企業(yè)而言,必須制定出長遠(yuǎn)計(jì)劃,并將正確的技術(shù)應(yīng)用在正確的地方。由于IT/OT融合不是某個(gè)行業(yè)特有的現(xiàn)象,因此網(wǎng)絡(luò)安全策略也將因行業(yè)而異。但是,每個(gè)企業(yè)都應(yīng)該采取適當(dāng)?shù)拇胧瑸楦蟆⒏唧w的網(wǎng)絡(luò)安全計(jì)劃打下基礎(chǔ)。
1.識(shí)別威脅和漏洞
網(wǎng)絡(luò)安全計(jì)劃的有效性取決于IT/OT風(fēng)險(xiǎn)的識(shí)別程度。由于這兩個(gè)獨(dú)立環(huán)境有不同的技術(shù)堆棧,因此對(duì)IT和OT進(jìn)行單獨(dú)的漏洞分析,可能永遠(yuǎn)不會(huì)產(chǎn)生正確的結(jié)果。企業(yè)需要促進(jìn)二者之間無縫的知識(shí)共享,以便更好地了解彼此的領(lǐng)域。在這方面,對(duì)IT和OT團(tuán)隊(duì)進(jìn)行相互培訓(xùn)以了解彼此的優(yōu)勢(shì)和弱點(diǎn),對(duì)于確定融合環(huán)境中的威脅范圍至關(guān)重要。
2.設(shè)定明確的職責(zé)
傳統(tǒng)上,IT和OT工作人員扮演著不同的角色。隨著兩者的不斷融合,在新環(huán)境中,圍繞每個(gè)成員職責(zé)的困惑和不確定性可能會(huì)帶來潛在的威脅。在IT/OT融合的初期,明確員工的角色和職責(zé),對(duì)于實(shí)現(xiàn)平穩(wěn)過渡以及為網(wǎng)絡(luò)安全策略奠定堅(jiān)實(shí)基礎(chǔ)至關(guān)重要。應(yīng)當(dāng)將IT/OT安全性視為一個(gè)整體去考慮,并由對(duì)IT和OT都非常了解的人來領(lǐng)導(dǎo)。
3.重新定義流程
由于前面提到的原因,也需要對(duì)流程進(jìn)行重新定義。在IT/OT融合環(huán)境中,由于需要利用IT實(shí)現(xiàn)OT的最佳應(yīng)用,因此OT所提供的數(shù)據(jù)是福還是禍,取決于所采用的流程。如果沒有正確或明確定義的流程,數(shù)據(jù)泄露的風(fēng)險(xiǎn)將持續(xù)不斷。而正確的數(shù)據(jù),可以為改善整體IT/OT網(wǎng)絡(luò)安全策略鋪平道路。
實(shí)時(shí)數(shù)據(jù)分析和隨之而來的智能決策能力是IT帶來的優(yōu)勢(shì)。隨著各行業(yè)的企業(yè)認(rèn)識(shí)到IT支持的OT優(yōu)化的潛力和范圍,IT/OT融合將越來越多。因此,只有在IT和OT團(tuán)隊(duì)協(xié)作并相助支持的情況下,才能緩解由此帶來的安全挑戰(zhàn)。
由于設(shè)備故障可能對(duì)人、財(cái)產(chǎn)和自然環(huán)境造成的風(fēng)險(xiǎn),因此OT注重實(shí)現(xiàn)零故障。而IT供應(yīng)商的責(zé)任主要是考慮數(shù)據(jù)安全以外的問題,并使OT系統(tǒng)的RAMS成為開發(fā)和測(cè)試模型的一個(gè)組成部分。
Tag: 工業(yè)網(wǎng)絡(luò) 信息技術(shù) 網(wǎng)絡(luò)彈性
