當前IT/OT融合已經(jīng)成為一種趨勢，本文對融合現狀和管理進(jìn)行了調研，并為企業(yè)的新CISO如何應對融合挑戰提供了一些建議。

IT和OT的深度融合已是大勢所趨，一方面為企業(yè)帶來(lái)運營(yíng)效率、性能和服務(wù)質(zhì)量的提高，同時(shí)也帶來(lái)更大的安全風(fēng)險等弊端。當面對缺乏專(zhuān)業(yè)人員、合規不等于安全、企業(yè)領(lǐng)導關(guān)注度不足、OT日益嚴峻的威脅等關(guān)鍵挑戰時(shí)，應對IT/OT融合挑戰的六大關(guān)鍵步驟正是企業(yè)CISO需要的。

1.IT/OT融合下的利弊

西門(mén)子和Ponemon研究所最近發(fā)布的調查報告，對供電企業(yè)面臨的工業(yè)網(wǎng)絡(luò )風(fēng)險進(jìn)行了探討。調查發(fā)現，隨著(zhù)工業(yè)物聯(lián)網(wǎng) (IIoT）的出現，將網(wǎng)絡(luò )傳感器和相關(guān)軟件與復雜的物理機械結合在一起，IT 和OT 之間的鴻溝正在迅速消散。供電企業(yè)的的經(jīng)營(yíng)方式逐漸轉變?yōu)橛锰?yáng)能和風(fēng)能等可再生能源替代傳統發(fā)電，并結合資產(chǎn)數字化管理的主流方式，OT（運營(yíng)技術(shù)）資產(chǎn)的數字化為全球公共事業(yè)行業(yè)帶來(lái)了無(wú)限商機，也加速了IT（信息技術(shù)）和OT的融合。

一半以上的受訪(fǎng)者表示在數字化的推動(dòng)下，IT/OT融合是一件好事，它有著(zhù)包括優(yōu)化業(yè)務(wù)流程、降低成本、降低風(fēng)險以及縮短項目時(shí)間等優(yōu)點(diǎn)，同時(shí)也是提高供應鏈合作伙伴的信任和信心的重要因素。IT和OT“雙劍合璧”后爆發(fā)出巨大的威力。

但IT和OT都有著(zhù)各自的背景和特性，對兩者進(jìn)行區分是很重要的，如下表一所示：

表一 IT和OT特性對比

通常，企業(yè)運營(yíng)團隊在可用性和機密性?xún)烧咧g會(huì )優(yōu)先考慮可用性，因此OT網(wǎng)絡(luò )通常都缺乏基本的安全防護。在這樣的情況下，有受訪(fǎng)者對兩者的融合表達了擔憂(yōu)，因為隨著(zhù)行業(yè)內IT/OT集成度越來(lái)越高，供電企業(yè)的關(guān)鍵基礎架構面臨的攻擊和威脅正日益增長(cháng)，有可能造成嚴重的經(jīng)濟、環(huán)境和基礎設施破壞。全球54%的被調查供電企業(yè)預計2020年會(huì )遭遇針對運營(yíng)技術(shù)網(wǎng)絡(luò )的攻擊。

隨著(zhù)將大量規模的資產(chǎn)連接在一起，OT安全的風(fēng)險也越來(lái)越大。大量具有不同功能、相互連接的設備分布在不同區域，通過(guò)這些連接可以擴展到數以萬(wàn)計的資產(chǎn)，而保護這些綿延數十上百公里的資產(chǎn)的安全，無(wú)疑是一件風(fēng)險很大的事情，這也成為IT/OT融合的弊端。

2.IT/OT融合的關(guān)鍵挑戰

IT/OT的融合面臨著(zhù)關(guān)鍵挑戰：

缺乏專(zhuān)業(yè)人員：安全專(zhuān)家無(wú)疑是確保IT/OT成功融合的關(guān)鍵因素，組建跨職能團隊來(lái)管理IT和OT系統中的網(wǎng)絡(luò )風(fēng)險將有助于問(wèn)題的消除。但企業(yè)的風(fēng)險管理，在46%的情況下是通過(guò)內部團隊和外部服務(wù)提供商結合進(jìn)行的，僅是內部團隊或者僅外部服務(wù)提供商進(jìn)行管理的情況則分別是34%和20%。缺乏專(zhuān)業(yè)的人員大大延遲了對攻擊的響應——惡意軟件攻擊的響應需要72天！西門(mén)子的研究報告也指出，面對融合的安全風(fēng)險，企業(yè)準備明顯不足，只有不到1/3的受訪(fǎng)者表示企業(yè)目前所做的準備足以應對可能發(fā)生的網(wǎng)絡(luò )風(fēng)險。

合規≠安全：行業(yè)內很多企業(yè)相信合規性可以給企業(yè)帶來(lái)安全保障，因此他們按照“法規遵從為中心”的方法來(lái)管理企業(yè)網(wǎng)絡(luò )安全風(fēng)險，這種方式在一定程度上改善了網(wǎng)絡(luò )安全狀況，但是受訪(fǎng)者披露，實(shí)現法規的合規并不等于實(shí)現良好的安全態(tài)勢，僅依賴(lài)法規遵從性方法可能會(huì )對過(guò)去的安全事件做出響應，但面臨新的網(wǎng)絡(luò )攻擊時(shí)則可能會(huì )顯得束手無(wú)策。

領(lǐng)導缺乏關(guān)注度：此外，企業(yè)領(lǐng)導層對IT/OT融合過(guò)程中安全的關(guān)注度明顯不足，有些企業(yè)管理者會(huì )覺(jué)得近幾年發(fā)生的伊朗“震網(wǎng)”病毒攻擊核電站、土耳其原油輸送管遭受網(wǎng)絡(luò )攻擊爆炸、烏克蘭遭受網(wǎng)絡(luò )攻擊造成大范圍停電等安全事件并沒(méi)有把攻擊重點(diǎn)放在自己企業(yè)的網(wǎng)絡(luò )上。烏克蘭遭受的網(wǎng)絡(luò )攻擊主要是破壞國家的基礎架構并令其癱瘓，但仍有大量企業(yè)的OT網(wǎng)絡(luò )遭受到嚴重影響，如果這些攻擊專(zhuān)門(mén)針對工業(yè)網(wǎng)絡(luò )，后果將不堪設想。

OT威脅日益嚴峻：隨著(zhù)企業(yè)運營(yíng)的數字化，網(wǎng)絡(luò )攻擊范圍已經(jīng)擴展到OT，與IT環(huán)境相比，網(wǎng)絡(luò )威脅對缺乏安全防護的OT的影響更大。當網(wǎng)絡(luò )攻擊在關(guān)鍵能源基礎設施間展開(kāi)時(shí)，可能會(huì )對設備造成破壞、給員工帶來(lái)風(fēng)險，并造成企業(yè)高機密信息被竊取，OT的威脅成為IT/OT網(wǎng)絡(luò )防御的痛點(diǎn)。

3.CISO應對OT/IT融合的六大關(guān)鍵步驟

那么在面對往往是陳舊且特有的關(guān)鍵業(yè)務(wù)運營(yíng)技術(shù)（OT）與信息技術(shù)（IT）融合在一起產(chǎn)生的沖突時(shí)，誰(shuí)為可能產(chǎn)生的網(wǎng)絡(luò )安全風(fēng)險買(mǎi)單？作為公司的CISO，如何降低企業(yè)整體的風(fēng)險？是購買(mǎi)一種端點(diǎn)檢測和響應（EDR）解決方案？或是將可視化和監視功能引入OT網(wǎng)絡(luò )？可能下面的六個(gè)步驟是所有新CISO應該采取的最有效保護其OT環(huán)境的方式。

步驟1：資產(chǎn)盤(pán)點(diǎn)。公司的資產(chǎn)對公司是至關(guān)重要的。首先，CISO需要發(fā)現和盤(pán)點(diǎn)組織中的每項OT資產(chǎn)，對需要保護的內容（數據，軟件，系統）做到全面的了解。缺乏完整而準確的資產(chǎn)盤(pán)點(diǎn)，后續步驟將無(wú)法最大程度地降低網(wǎng)絡(luò )安全風(fēng)險。 

步驟2：備份/測試還原。保護OT系統免受毀滅性勒索軟件攻擊的最有效方法是對OT數據進(jìn)行備份并進(jìn)行測試還原，以確保最佳備份。出于多種原因（其中包括安全原因），對系統進(jìn)行備份可以通過(guò)保護網(wǎng)絡(luò )免受數據丟失來(lái)確保其有效性。正如我們將在步驟5中看到的那樣，連續不斷地標識用于測試還原的相關(guān)數據非常重要，通?？梢酝ㄟ^(guò)詢(xún)問(wèn)企業(yè)中的用戶(hù)哪些數據對工作最重要，而當進(jìn)行第一次進(jìn)行備份/測試還原時(shí)，請盡可能全面和深入執行此操作，從而避免數據的丟失和其他問(wèn)題。

步驟3：軟件漏洞分析。步驟1的資產(chǎn)清單將對企業(yè)OT系統中的所有軟件進(jìn)行盤(pán)點(diǎn)，CISO必須清楚每項軟件資產(chǎn)的狀態(tài)，并對每個(gè)軟件進(jìn)行漏洞分析。比如軟件的版本？是否有較新的版本（更安全，更有效）的OT系統可以使用？通常對于軟件有一個(gè)關(guān)鍵性問(wèn)題：是否需要打補??？這里建議不要像IT那樣對所有內容自動(dòng)進(jìn)行打補丁，因為對OT打補丁是一個(gè)復雜而具有挑戰性的過(guò)程，需要用整個(gè)步驟進(jìn)行評估。

步驟4：打補丁。盡管在IT中是自動(dòng)進(jìn)行打補丁，但在OT中要復雜的多，甚至有時(shí)給OT軟件打補丁可能會(huì )起到適得其反的效果。一些非常重要的OT系統已經(jīng)在工廠(chǎng)車(chē)間使用了15到25年甚至更長(cháng)的時(shí)間，并且無(wú)法拆卸和打補丁，而且即使有適當（且安全）的補丁程序，陳舊的OT可能也沒(méi)有足夠的內存或CPU帶寬來(lái)安裝。

步驟5：二次備份/測試恢復。每當OT或IT系統中的任何內容發(fā)生更改（例如更新）時(shí)，備份/測試還原都必須成為一種根深蒂固的習慣。這里有個(gè)很重要的建議：持續定期的重復步驟3到5，新漏洞通常在舊軟件中發(fā)現。

步驟6：?jiǎn)⒂萌罩?。CISO不僅必須知道某件事情是如何工作或失敗的，還必須知道為什么它會(huì )失敗，日志記錄這個(gè)時(shí)候就顯得很重要，通過(guò)管理和分析日志，CISO團隊能夠了解環(huán)境，盡早發(fā)現威脅并優(yōu)化防御。

隨著(zhù)越來(lái)越多的設備開(kāi)始加入IIoT 網(wǎng)絡(luò )，IT 與OT 之間的界限將逐漸消失，直到成為一個(gè)或相同的系統為止。在兩者融合的過(guò)程中，如果企業(yè)的新CISO采取這六個(gè)基本但必不可少的步驟，并習慣性地重復那些需要重復的步驟，那么他們可以確信他們已經(jīng)做的很扎實(shí)，將企業(yè)的OT風(fēng)險降至到最低了。

來(lái)源：安全內參