新闻中心
NEWS CENTER
干货分享 | 工控系统未来方向与克服IT与OT融合障碍的五种方法
以下文章来源于祺印说信安 ,作者何威风
网络安全等级保护2.0现在已经为大多数单位所知,在《网络安全等级保护基本要求》的扩展要求部分,有专门的针对工业控制系统的测评要求。
伴随着我国工业制造技术的升级,未来信息化必然不断助推工业4.0发展,信息安全必然更加凸显。而传统工业控制系统使用场合,IT与OT之间总存在着不可逾越的隔阂。未来IT-OT如何更好合作参与到信息安全和生活生产中来,共同推进生产与信息安全工作,最终找到一个完美的平衡点,一直是网络安全领域的话题,当下世界各国也都将关键信息基础设施的保护,看成重中之重。
很多人都知道,在《网络安全法》中既有对常规网络的保护要求,也有对关键信息基础设施增强保护要求。关键信息基础设施,大多集中在工业控制系统领域,所以了解一些IT-OT融合是很有必要的。
当然,这些议题国内外都在探讨,故我们的一些知识,或许不是绝对的,不过对此探讨与研究,一定是要怀着积极的心态。
针对这些问题,仅仅依靠IT方面的信息管理人员或许很难回答,因为你无法保护不了解的东西。大多数工业组织的首席信息官和首席信息安全官对OT环境并没有太多的了解。他们在IT领域拥有专业知识,包括构成这个动态环境的网络、服务器、端点和应用程序,但工业控制系统与之不同,它需要重点保护工业系统的可用性,服务于工业生产。
与IT不同,OT环境中的技术是专门用于监视和控制物理过程和设备的。环境配置往往是相对静态的,除非发生故障或不得不更改操作参数,否则配置不会更改。意味着这些设备和网络通常可能保持持续数十年,更新换代可能比IT的时间要长很多。此外,OT工作人员的主要关注点是保持正常运行、确保产出符合设计规格,并按计划交付。
随着恶意行为者越来越关注制造业和其他工业目标,IT和OT协同工作,以更好地保护业务。但是将传统的IT安全方法直接应用于工业系统业务的OT方面,并不一定适合。作为一名安全从业人员,需要考虑的一个基本问题是,如何解决关于IT在工业信息化过程中支持OT的问题?
根据国内外的专题文章,这里总结以下三点解决思路
1. 与OT协作,制定安全战略和目标,为运营领域创建量身定制的安全计划。
了解IT和OT环境之间存在的差异,然后接受这样的现实:即使IT方面你做的很成功,也不能把IT方面的经验,直接转化成OT。需要综合考虑总体安全目标,然后与OT通力合作制定专门针对该领域的信息安全计划。
2. 围绕网络安全建立一个共同的术语表和参考框架。
意味着要考虑IT安全人员关注的事情(例如,威胁和漏洞),以及OT领域的担忧(例如,停机时间和质量受损),以显示正确的安全投入如何能够真正改善运营成果。可以降低不安全OT事件的可能性,以及采取保护措施建立共同安全基础。
3. 采取一些近期的安全措施,获得短期可见利益。
使用共同创建的OT安全计划,通过合作伙伴关系来识别和实施一些当前未实现但能够显著改善环境的安全保护措施,同时不会对操作造成负面影响。一些短期胜利,可以帮助建立初步信任。
最终,IT-OT融合的目标是通过有效的网络保护使OT方面更具弹性,并为高级管理人员提供信心。通过展示使用一系列主动的方法,尽可能地改善OT安全性,同时满足业务优先级,更有可能获得所需的投入。这些投入将允许实施与企业组织的预期业务成果相一致的长期战略,并大大增加OT环境的安全状况。
接触工业控制系统过程中,必然会接触OT这个专有名词,他在工业控制系统信息化中,作用是非常重要的,也是在工业系统信息化过程中无法逾越的关键。那么在谈OT,先把OT的名词解释再做一遍说明,OT是两个英文单词Operational Technology 的首字母,翻译过来就是运营技术、操作技术。我们在此就用“运营技术”称之。
IT和OT为降低不同层面的风险以及成功解决攻击问题,必须不可避免的需要协同工作。在国外某专栏中,他提供了有关IT和OT环境融合过程中出现的一些障碍,提供了一些见解,以及给出融合初期的一些实际步骤。埃森哲咨询公司(Accenture Consulting)所做的调查认为克服不同部门间的文化障碍和组织孤岛,是当前IT-OT整合的最大挑战,融合需要进一步深入研究探讨。
消除IT和OT在实践环境之间的脱节,需要受到两个主要因素的驱动。
第一个催化剂是监管要求。当评估和审计发现某个组织不符合某些标准或要求时,董事会和高管团队将要求IT和OT领域的领导者共同遵守,以满足监管要求及合规性要求。
第二个催化剂是恶意行为者。恶意行为者越来越关注如电网、基础制造工业和其他关键基础设施等工业目标。IT 和 OT必须通力合作才能有效的降低风险并成功解决攻击。
等到领导下达命令或受到攻击时,再去尝试处理与其中一方的文化障碍和组织孤岛,则为时已晚。那么从IT从业人员角度,可以尝试以下五项建议,帮助你应对IT-OT融合,以更利于保护生产业务安全、网络信息安全。
01 让正确的人参与进来
首先,你需要确保正确的人参与进来。一般由执行管理层建立了推动政策、程序、要求和愿景。然后高级IT人员确保安全控制措施符合业务需求和要求。OT们必须为支持更广泛的安全策略和目标,在运营领域制定计划,同时不会对运营产生负面的影响。这应该由OT领导者及技术支持领导共同创建。其次,无论是内部还是外部,都需要值得信赖的顾问。顾问可以在讨论过程中,帮助促进建立联系,在提供解决问题的创新解决方案方面发挥重要作用。
02 寻找其他基于技术的解决方案
IT人员寻找解决威胁和漏洞最有效的方法,可能是直接修补系统。但是这种方法可能需要将系统脱机几个小时,而这在OT环境中通常是不可行的。因此我们需要寻找替代方法来达到预期目标。使得在实现安全目标的同时,做到尊重OT环境中系统的局限性。例如,如果您不能直接接触系统,则将其隔离并仅允许通过授权的通信。
03 技术并不总是唯一的答案
有许多方法不需要基于技术的控制,可以支持实现安全策略和目标。例如,建立简单且行之有效的安全管理规定,每当用户访问公司PC时就必须显示一个登录身份标识,对可能的入侵者予以警告,防止系统的非法使用,建议合法用户使用可接受的安全策略,并对使用策略进行监控。在OT环境下,系统连续运行,授权用户在每个班次都不能重新登录,改变系统。那么如何解决这个需求呢?有一个简单的解决方案,不涉及任何IT投资,不用昂贵的软件,是打印提醒警示语,并将警示语粘贴到物理显示器上,以示惊醒。
04 不要担心重复
IT和OT环境都有自己的技术人员,所以技能组合必然会有一些重叠,可能会导致彼此双方视对方为一种威胁。并且一般都不愿意互相为对方担责,这种情况下我们可以通过了解两个团队的责任分工不同,来划分权限责任。OT不愿意接受IT领域的关键业务服务,包括电子邮件,互联网访问和备份,这些都是IT团队领域擅长的内容。另一面,IT不准备承担OT环境中可能造成严重后果的系统故障。现实情况是,IT和OT技能集应该是相互磨合和补充的作用。
05 应该扩大对OT的支持
对于整个基础架构的安全问题,可见性至关重要。但是,所谓术业有专攻,当每个专业的人使用不同的技术时,要全面了解运营领域技术确实是一个挑战。IT方面的最新系统如Windows和Mac OS环境不一定能直接转化为OT领域来使用。新系统一般是不能直接适应多年来已有并已经适应运营的OT环境中来。这些系统中的有许多是需要运行Linux或Unix。在这里,对IT方面的投资,就应该区分对工具和人员,并进行一个优先级排序,扩大整个企业的可见性,IT人员应有能力支持运营领域依赖的系统。
世界唯有变是不变的,不过有些改变从来就不是一件容易的事情,在整个OT环境中,改变的欲望一般都很低。所有事情一样,时间就是一切。你必须选择对的时间,例如,当针对工业部门的攻击研究变得可行时或国家政府正在制定新的法规时,就需要提前做好准备抓住这些改变机会的窗口。通过合作伙伴关系,展示OT环境和业务的真正利益联系,你开启机会的窗口将保持更长的时间。
接上面一句话“当针对工业部门的攻击研究变得可行时或国家政府正在制定新的法规时,就需要提前做好准备抓住这些改变机会的窗口”,其实我们从国内外媒体上,领略了伊朗核电站“震网”攻击事件、乌克兰国家电网大面积停电事件、WannaCry勒索病毒有可能影响工业控制系统、黑客演示攻击风能发电场等新闻报道,其实正是针对工业系统攻击研究的可行性已经确凿无疑了。
也正说明了,这启示全世界工业控制运营技术人员攻击窗口开启,IT与OT必须通力合作,抓住转变的机遇,更好的服务工业控制信息系统安全。
杭州中电安科现代科技有限公司
杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。
专注工控安全
护航关基民生
www.zd-sec.com
400-606-8226
渠道合作:李经理 19157600997
技术咨询:齐经理 15010390956
品牌合作:赵经理 15010923501
相关新闻
版权所有 © 2021 杭州中电安科现代科技有限公司