企業(yè)創(chuàng)建信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)融合的4個關(guān)鍵步驟

2022/4/29 0:04:38 人評論次瀏覽分類：過程控制文章地址：http://m.prosperiteweb.com/tech/4211.html

IT和OT團(tuán)隊(duì)通?？雌饋硐袷翘幱诓煌氖澜纭Ｒ獙⒄嬲腎T安全性帶入OT環(huán)境，創(chuàng)建IT/OT融合的聯(lián)合培訓(xùn)和溝通；構(gòu)建滿足雙方需求的IT/OT安全團(tuán)隊(duì)；建立OT系統(tǒng)管理計(jì)劃；技能發(fā)展是幫助企業(yè)創(chuàng)建IT/OT融合的4個關(guān)鍵步驟。

在許多工業(yè)企業(yè)中，信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)團(tuán)隊(duì)仿佛來自不同的星球。他們有各自的目標(biāo)、優(yōu)先事項(xiàng)、技能、指標(biāo)甚至語言。IT/OT融合需要這些團(tuán)隊(duì)共同努力，以幫助這些新的互聯(lián)系統(tǒng)，實(shí)現(xiàn)諸如更高的效率和產(chǎn)出，以及增強(qiáng)的安全性等關(guān)鍵業(yè)務(wù)目標(biāo)。

通過IT/OT融合，以前與企業(yè)IT系統(tǒng)隔離，并無法訪問互聯(lián)網(wǎng)和通信應(yīng)用(如電子郵件和云接口)的系統(tǒng)，現(xiàn)在可以通過企業(yè)基礎(chǔ)設(shè)施，利用規(guī)模優(yōu)勢和大數(shù)據(jù)分析的優(yōu)勢。但帶來收益的同時，IT網(wǎng)絡(luò)中存在的風(fēng)險也隨之增加：勒索軟件、間諜黑客，甚至更糟糕的是，物理過程的潛在中斷可能會造成物理破壞。

現(xiàn)在，企業(yè)的董事會要求首席信息安全官(CISO)和首席信息官(CIO)確保這些系統(tǒng)的安全，并確保它們與企業(yè)內(nèi)的其他設(shè)備具有相同的安全級別。因此，IT部門正在尋求加強(qiáng)IT和OT的集成，以在企業(yè)中推動所有端點(diǎn)和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)化。

不幸的是，運(yùn)營技術(shù)(OT/ICS)資產(chǎn)，如人機(jī)界面(HMI)、服務(wù)器、可編程邏輯控制器(PLC)、繼電器、實(shí)時自動化控制器和其他智能電子設(shè)備，由于各種原因被排除在大多數(shù)企業(yè)的網(wǎng)絡(luò)安全流程之外。這些原因可能包括從組織邊界和法規(guī)要求，到IT人員缺乏OT系統(tǒng)技能的所有方面。此外，由于運(yùn)營部門希望提高效率，OT團(tuán)隊(duì)始終面臨人員編制的壓力。

結(jié)果是OT系統(tǒng)中缺乏網(wǎng)絡(luò)安全所需的許多基本要素。例如，庫存不準(zhǔn)確，配置和補(bǔ)丁程序數(shù)據(jù)庫過時，帳戶和用戶訪問管理未得到良好管理等等。部分原因是，鑒于OT/ICS系統(tǒng)中資產(chǎn)的敏感性、獨(dú)特性和嵌入性，自動化這些過程所需的工具還不可用。

IT/OT融合

要將真正的IT安全性帶入OT環(huán)境并實(shí)現(xiàn)穩(wěn)健、一致的安全管理，企業(yè)可以通過以下4個關(guān)鍵步驟幫助IT和OT協(xié)同工作：

1、創(chuàng)建IT/OT融合的聯(lián)合培訓(xùn)和溝通
IT和OT的根本差距始于對每個職能部門的目標(biāo)和目的缺乏了解。例如，IT團(tuán)隊(duì)使用傳統(tǒng)的IT漏洞掃描器定期掃描OT系統(tǒng)，并采取一致行動，為OT設(shè)備打補(bǔ)丁，但沒有意識到它們可能會造成某些問題。類似地，OT團(tuán)隊(duì)通常會說，“我們不能打補(bǔ)丁”，這只是一個籠統(tǒng)的聲明，他們并不了解IT的安全目標(biāo)或在特定時間修補(bǔ)某些資產(chǎn)的實(shí)際方法。

企業(yè)為成功實(shí)現(xiàn)IT/OT融合而采取的第一步，是致力于聯(lián)合培訓(xùn)和溝通。通常情況下，這可能發(fā)生在召開一系列4 到5 個聯(lián)合研討會上，關(guān)鍵的OT 領(lǐng)導(dǎo)人分享他們的業(yè)務(wù)流程和目標(biāo)細(xì)節(jié)，IT 團(tuán)隊(duì)則分享他們的安全目標(biāo)和典型方法。這些研討會使兩個部門了解如何相互溝通，并了解各自的目標(biāo)和局限性。

2、構(gòu)建滿足雙方需求的IT/OT安全團(tuán)隊(duì)
沒有完美的企業(yè)模式。一些企業(yè)已經(jīng)成功地創(chuàng)建了一個聯(lián)合安全領(lǐng)導(dǎo)團(tuán)隊(duì)，OT領(lǐng)導(dǎo)與IT同行一起擔(dān)任高級領(lǐng)導(dǎo)職務(wù)。另外一些公司則以IT成員擔(dān)任安全領(lǐng)導(dǎo)職務(wù)，但將OT的重要輸入納入到適用于其系統(tǒng)的工具、流程和標(biāo)準(zhǔn)中。

企業(yè)容易犯的最大的錯誤，是在安全領(lǐng)導(dǎo)團(tuán)隊(duì)中設(shè)置一個象征性的OT代表，或者招聘一到兩名有OT經(jīng)驗(yàn)的中層人員作為OT的代表。幾乎在所有情況下，這都會以O(shè)T代表被納入IT組織并且影響有限而告終。那些最成功的企業(yè)會指派一位關(guān)鍵的、資深的、真正受人尊敬的OT領(lǐng)導(dǎo)者，并賦予他們在整個安全組織中的真正權(quán)威。

3、建立OT系統(tǒng)管理計(jì)劃
OT系統(tǒng)管理是健全OT安全計(jì)劃的關(guān)鍵。它涉及以下要素：
①資產(chǎn)庫存管理；
②生命周期管理，包括定義系統(tǒng)需求以實(shí)現(xiàn)預(yù)期的物理系統(tǒng)，制定規(guī)范以確保可靠性和安全性、供應(yīng)鏈管理和控制這些系統(tǒng)，以及更換過時的組件；
③配置管理；
④補(bǔ)丁和漏洞管理；
⑤網(wǎng)絡(luò)與系統(tǒng)設(shè)計(jì)；
⑥用戶和帳戶管理；
⑦日志和性能監(jiān)控以實(shí)現(xiàn)可靠性和安全性；
⑧事件和故障響應(yīng)；
⑨備份和恢復(fù)。

在IT方面，對這些基本組件非常熟悉，被認(rèn)為是理所當(dāng)然的，因?yàn)槎嗄陙硭鼈円恢笔荌T系統(tǒng)管理的核心部分。但對于OT方面，實(shí)現(xiàn)大多數(shù)任務(wù)的基礎(chǔ)設(shè)施并不一致。因此，OT缺乏建立IT安全性的基礎(chǔ)。

在了解網(wǎng)絡(luò)資產(chǎn)、系統(tǒng)用戶之前，組織希望先實(shí)現(xiàn)威脅檢測或劃分微區(qū)域。

通過建立OT系統(tǒng)管理，IT和OT團(tuán)隊(duì)可以從類似資產(chǎn)管理的基礎(chǔ)開始，有效地開展協(xié)同工作。穩(wěn)健的OT系統(tǒng)管理計(jì)劃帶來許多其它關(guān)鍵好處，包括：
①對網(wǎng)絡(luò)中所有硬件和軟件的清晰標(biāo)識，以確保快速識別漏洞；
②正確更新和配置系統(tǒng)，減少攻擊面；
③高效完成系統(tǒng)更新，以實(shí)現(xiàn)關(guān)鍵運(yùn)行任務(wù)的自動化；
④跨IT和OT系統(tǒng)進(jìn)行一致的報告和監(jiān)控，以簡化進(jìn)度報告；
⑤更有效和更先進(jìn)的安全控制，因?yàn)樗鼈兪峭ㄟ^適當(dāng)?shù)目梢娦?，以及對底層端點(diǎn)和網(wǎng)絡(luò)信息的訪問而構(gòu)建的。

4、技能發(fā)展
為了真正實(shí)現(xiàn)IT/OT融合，企業(yè)需要在OT中構(gòu)建關(guān)鍵的安全管理技能集。在IT中，幾乎所有系統(tǒng)管理任務(wù)都可以集中完成。然而，在OT中，在執(zhí)行補(bǔ)丁或配置管理等安全功能之前，獨(dú)特且敏感的流程可能需要本地OT知識。

因此，有必要在傳統(tǒng)運(yùn)營系統(tǒng)設(shè)備和網(wǎng)絡(luò)設(shè)備以及嵌入式運(yùn)營設(shè)備的范圍內(nèi)，圍繞關(guān)鍵OT系統(tǒng)管理概念(如修補(bǔ)、配置管理、密碼管理等)開展員工隊(duì)伍建設(shè)。我們當(dāng)然可以贊揚(yáng)圍繞網(wǎng)絡(luò)安全分析、調(diào)查、威脅搜尋等提供的重要培訓(xùn)，但同樣需要關(guān)注其它70%的網(wǎng)絡(luò)安全，包括系統(tǒng)管理的基礎(chǔ)要素。

企業(yè)需要堅(jiān)持這4個關(guān)鍵步驟：建立共同意識和正確的團(tuán)隊(duì)、建立OT系統(tǒng)管理和培養(yǎng)正確的技能，以使IT和OT團(tuán)隊(duì)有效地協(xié)同工作，并在兩個部門中推動真正的安全能力。

作者：John Livingston,Verve Industrial

上一篇：先進(jìn)過程控制(APC):基于矩陣的現(xiàn)代多變量控制

下一篇：Back to Basics將流程圖作為溝通工具