网络安全等级保护2.0现在已经为大多数单位所知,在《网络安全等级保护基本要求》的扩展要求部分,有专门的针对工业控制系统的测评要求。伴随着我国工业制造技术的升级,未来信息化必然不断助推工业4.0发展,信息安全必然更加凸显。而传统工业控制系统使用场合,IT与OT之间总存在着不可逾越的隔阂。未来IT-OT如何更好合作参与信息安全和生活生产中来,共同推进生产与信息安全工作,最终找到一个完美的平衡点,一直是网络安全领域的话题,当下世界各国也都将关键信息基础设施的保护,看成重中之重。
很多人也知道,在《网络安全法》中既有对常规网络的保护要求,也有对关键信息基础设施增强保护要求。关键信息基础设施,大多集中在工业控制系统领域,所以了解一些IT-OT融合还是有点意义的。
当然,这些议题国内外都在探讨,故我们的一些知识,或许不是非常系统,不过对此探讨与研究,一定是要怀着积极的心态。
这些问题IT方面的信息管理人员很难回答,因为你不能保护你不了解的东西。大多数工业组织的首席信息官和首席信息安全官员对其运营技术(OT)环境并没有太多的了解。他们在IT领域拥有专业知识,包括构成这个动态环境的网络、服务器、端点和应用程序,主要侧重于保护信息。工业控制系统,重点保护工业系统的可用性,服务于工业生产。
与IT不同,OT环境中的技术是专门用于监视和控制物理过程和设备的。环境配置往往是相对静态的,除非发生故障或操作参数的变化是必要的,否则配置不会更改。意味着这些设备和网络通常可能保持持续数十年,更新换代可能比IT的三到五年的时间要长几代。此外,在OT工作的人员的主要关注点是保持正常运行,并确保产出符合设计规格,并按计划交付。
随着恶意行为者越来越关注制造业和其他工业目标,IT和OT必须共同努力,以更好地保护业务。但是将传统的IT安全方法直接应用于工业系统业务的OT方面,并不一定能很好地转化。作为一名安全从业人员,需要考虑的一个基本问题是,如何在运营领域获得你需要的可见性和影响力,以解决你的领导层所提出的关于IT在工业信息化过程中支持OT的问题?
根据国外的专题文章,我们总结以下三点供大家一起探讨
1.与OT协作,根据更广泛的安全战略和目标,为运营领域创建量身定制的安全计划。
该想到IT和OT环境之间存在的差异,然后接受这样的现实:即使IT方面你做的很成功,也不能把IT在方面的经验,直接转化成OT。您需要综合考虑总体安全目标,然后与OT通力合作制定专门针对该领域的信息安全计划。通过在企业范围内包含OT安全的计划,可以优先考虑投资以符合业务部门目标,而不是IT驱动因素。
2.围绕网络安全建立一个共同的术语表和参考框架。
意味着要考虑IT安全人员所热衷的事情(例如,威胁和漏洞),不能将其转化为运营领域的担忧(例如,停机时间和质量受损),以显示正确的安全投入如何能够真正改善运营成果。可以降低不安全OT事件的可能性,以及采取保护措施建立共同安全基础。
3.采取一些近期的安全措施,获得短期可见利益。
使用您共同创建的OT安全计划,通过合作伙伴关系来识别和实施一些当前未实现能够显着改善环境的安全保护措施,同时不会对操作造成负面影响。一些可以支持关键业务部门目标短期胜利,可以帮助建立初步信任。
最终,IT-OT融合的目标是通过有效的网络保护使OT方面更具弹性,并为高级管理人员提供信心。通过展示使用一系列主动的方法,尽可能地改善OT安全性,同时满足业务优先级,更有可能获得所需的投入。这些投入将允许实施与企业组织的预期业务成果相一致的长期战略,并大大增加OT环境的安全状况。
接触工业控制系统过程中,必然会接触OT这个专有名词,他在工业控制系统信息化中,作用是非常重要的,也是在工业系统信息化过程中无法逾越的关键。那么在谈OT,先把OT的名词解释再做一遍说明,OT是两个英文单词Operational Technology 的首字母,翻译过来就是运营技术、操作技术。我们在此就用“运营技术”称之。
IT和OT 为降低不同层面的风险以及成功解决攻击问题,必须不可避免的需要协同工作。在国外某专栏中,他提供了有关IT和OT环境融合过程中出现的一些障碍,提供了一些见解,以及给出融合初期的一些实际步骤。从看埃森哲咨询公司(Accenture Consulting)所做的调查,认为克服不同部门间的文化障碍和组织孤岛,是当前IT-OT整合的最大挑战,融合需要进一步深入研究探讨。
消除IT和OT在实践环境之间的脱节,需要受到两个主要因素的驱动。
第一个催化剂是监管要求。当评估和审计发现某个组织不符合某些标准或新出现的要求时,董事会和高管团队将要求IT和OT领域的领导者共同遵守,监管要求基本上与我们常说的合规性要求同方向的。
第二个催化剂是恶意行为者。恶意行为者越来越关注工业目标如电网、基础制造工业和其他关键基础设施。IT 和 OT必须通力合作才能有效的降低风险并成功解决攻击,是不可回避的一个现实问题。
等到领导下达命令或正处于攻击的压力下,再去尝试处理与其中一方的文化障碍和组织孤岛,是很不明智的选择。那么从IT从业人员角度,再一起讨论作为一名IT安全从业人士,可以尝试以下五项建议,帮助你更加积极有效的与对应的OT方通力合作,以更加优越的姿态保护生产业务安全、网络信息安全。
1.让正确的人参与进来。
从开始,你需要确保正确的人参与到讨论的桌面上来。通常情况下,由执行管理层建立了推动政策、程序、要求和愿景。然后高级IT人员必须确保正确的安全控制措施符合业务需求和要求。OT们必须为支持更广泛的安全策略和目标,在运营领域制定计划,同时不会对运营产生负面的影响。这应该与OT领导者及技术支持领导共同创建,这些人员来自表现最好或最关键的部门。无论是内部还是外部,都需要值得信赖的顾问。顾问可以在讨论过程中,帮助促进建立联系,在提供解决问题的创新解决方案方面发挥重要作用。
2.寻找其他基于技术的解决方案。
IT人员寻找解决威胁和漏洞最有效的方法,可能是直接修补系统。但是这种方法可能需要将系统每次脱机几个小时,而这在OT环境中的任务关键型系统中通常是不可行的。相反,想想所需的结果,并寻找替代方法来达到预期目标。通常在实现安全目标的同时,还有另一种可选技术项,并做到尊重OT环境中系统的局限性。例如,如果您不能直接接触系统,则将其隔离并仅允许通过授权的通信。
3.可以欣赏的技术并不总是唯一的答案。
有许多方法不需要基于技术的控制,可以支持实现安全策略和目标。例如,建立简单且行之有效的安全管理规定,每当用户访问公司PC时就必须显示一个登录身份标识,对可能的入侵者予以警告,防止系统的非法使用,建议合法用户使用可接受的安全策略,并对使用策略进行监控。在OT环境下,系统连续运行,授权用户在每个班次都不能重新登录,改变系统。那么你如何解决这个需求呢?一个简单的解决方案,不涉及任何IT投资,不用昂贵的软件,是打印提醒警示语,并将警示语粘贴到物理显示器上,以示惊醒。
4.不要担心重复。
IT和OT环境都有自己的技术人员,所以技能组合必然会有一些重叠,可能会导致彼此双方视对方为一种威胁。当然,一般都不愿意承担另一个团队的责任,可以通过了解两个团队的责任分工不同,划分权限责任来解决。OT不愿意接受IT领域的关键业务服务,包括电子邮件,互联网访问和备份,这些都在IT团队领域的擅长的内容。另一面,IT不准备承担OT环境中可能造成严重后果的系统故障。现实情况是,IT和OT技能集应该是相互磨合和补充的作用。
5.应该扩大对OT的支持。
对于整个基础架构的更好的保护,可见性至关重要。但是,所谓术业有专攻,当每个专业的人使用不同的技术时,要全面了解运营领域技术确实是一个挑战。IT方面的最新系统如Windows和Mac OS环境不一定能直接转化为OT领域来使用。新系统一般是不能直接适应多年来已有并已经适应运营的OT环境中来。这些系统中的有许多是需要运行Linux或Unix。在这里,对IT方面的投资,就应该区分对工具和人员,并进行一个优先级排序,扩大整个企业的可见性,IT人员应有能力支持运营领域依赖的系统。
世界唯有变是不变的,不过有些改变从来就不是一件容易的事情,在整个OT环境中,改变的欲望一般都很低。所有事情一样,时间就是一切。你必须选择你的时刻,例如,当针对工业部门的攻击研究变得可行时或正在国家政府在制定新的法规时,必须提前做好准备抓住这些改变机会的窗口。通过合作伙伴关系,展示OT环境和业务的真正利益联系,你开启机会的窗口将保持更长的时间。
接上面一句话“当针对工业部门的攻击研究变得可行时或正在国家政府在制定新的法规时,必须提前做好准备抓住这些改变机会的窗口”,其实我们从国内外媒体上,领略了伊朗核电站“震网”攻击事件、乌克兰国家电网大面积停电事件、WannaCry勒索病毒有可能影响工业控制系统、黑客演示攻击风能发电场等新闻报道,其实正是针对工业系统攻击研究变成了事实,其可行性已经确凿无疑了。
也正说明了,这启示全世界工业控制运营技术人员攻击窗口开启,IT与OT必须通力合作,抓住转变的机遇,更好的服务工业控制信息系统安全。
