五种方法克服IT与OT的融合障碍
消除IT和OT在实践环境之间的脱节,需要受到两个主要因素的驱动。第一个催化剂是监管要求。当评估和审计发现某个组织不符合某些标准或新出现的要求时,组织高管将要求IT和OT领域的领导者共同遵守。第二个催化剂是恶意行为者。恶意行为者越来越关注工业目标如电网、基础制造工业和其他关键基础设施。
IT 和 OT必须通力合作才能有效的降低风险并成功解决攻击,是不可回避的一个现实问题。
如果等到领导下达命令或正处于攻击的压力下,再去尝试处理与其中一方的文化障碍和组织孤岛,是很不明智的选择。那么今天从IT从业人员角度,一起讨论的是作为一名IT安全专家,可以尝试以下五项建议,帮助你更加积极有效的与对应OT方合作,以更好地保护生产业务安全、网络信息安全。
1.让正确的人参与进来。
从开始,你需要确保正确的人参与到讨论的桌面上来。通常情况下,由执行管理层建立了推动政策、程序、要求和愿景。然后高级IT人员必须确保正确的安全控制措施符合业务需求和要求。OT们必须为支持更广泛的安全策略和目标,在运营领域制定计划,同时不会对运营产生负面的影响。这应该与OT领导者及技术支持领共同创建,这些人员来自表现最好或最关键的设施。无论是内部还是外部,都需要值得信赖的顾问。顾问可以在促进讨论,帮助建立联系,提供解决问题的创新解决方案方面发挥重要作用。
2.寻找其他基于技术的解决方案。
IT人员寻找解决威胁和漏洞最有效的方法,可能是直接修补系统。但是这种方法可能需要将系统每次脱机几个小时,而这在OT环境中的任务关键型系统中通常是不可行的。相反,想想所需的结果,并寻找替代方法来达到预期目标。通常在实现安全目标的同时,还有另一种可选技术项,并做到尊重OT环境中系统的局限性。例如,如果您不能直接接触系统,则将其隔离并仅允许通过授权的通信。
3.可以欣赏的技术并不总是唯一的答案。
有许多方法不需要基于技术的控制,可以支持实现安全策略和目标。例如,建立简单且行之有效的安全规定,每当用户访问公司PC时就必须显示一个登录标志,对可能的入侵者以警告,防止系统的非法使用,建议合法用户使用可接受的使用策略,并对使用策略进行监控。在OT环境下,系统连续运行,授权用户在每个班次都不能重新登录,改变系统。那么你如何解决这个需求呢?一个简单的解决方案,不涉及任何IT投资,不用昂贵的软件,是将提醒条幅打印,并将条幅物理粘贴到显示器上,以示提醒。
4.不要担心重复。
IT和OT环境都有自己的技术人员,所以技能组合必然会有一些重叠,可能会导致彼此双方视其为威胁。当然,一般都不愿意承担另一个团队的责任,可以通过了解两个团队的责任非常不同,划分责任来解决。OT不愿意接受IT领域的关键业务服务,包括电子邮件,互联网访问和备份,这些都在IT团队的擅长的区域。另一面,IT不准备承担OT环境中可能造成严重后果的系统故障。现实情况是,IT和OT技能集是应该相互补充和磨合的。
5.应该扩大对OT的支持。
对于整个基础架构的更好的保护,可见性至关重要。但是,当每个人专业的人使用不同的技术时,全面了解运营领域是一个挑战。IT方面的最新系统如Windows和MacOS环境不一定能直接转化为OT方面使用。新系统不是直接能适应OT在多年来已有系统。这些系统中的有许多需要Linux或Unix。在这里,对IT方面的投资,就应该对工具和人员进行一个优先级排序,扩大整个企业的可见性,人员应有能力支持运营领域依赖的系统。
我们虽然说,世界唯有变是不变的,不够有些改变从来就不是一件容易的事情,在整个OT环境中,改变的欲望一般都很低。但是和所有事情一样,时间就是一切。你必须选择你的时刻,例如,当针对工业部门的攻击研究变得可行时或正在国家政府在制定新的法规时,必须提前做好准备抓住这些改变机会的窗口。通过合作伙伴关系,展示OT环境和业务的真正利益联系,你开启机会的窗口将保持更长的时间。
接上面一句话“当针对工业部门的攻击研究变得可行时或正在国家政府在制定新的法规时,必须提前做好准备抓住这些改变机会的窗口”,其实我们从国内外媒体上,领略了伊朗核电站“震网”攻击事件、乌克兰国家电网大面积停电事件、WannaCry勒索病毒有可能影响工业控制系统、黑客演示攻击风能发电场等新闻报道,其实正是针对工业系统攻击研究变成了事实,其可行性已经确凿无疑了。这也正说明了,这启示全世界工业控制运营技术人员攻击窗口开启,IT与OT必须通力合作,抓住转变的机遇,更好的服务工业控制信息系统安全,也为我国工业建设奉献力量。
我国《网络安全法》的颁布实施,规定关键信息基础设施必须进行网络安全等级保护,等级保护制度的建立是我国《网络安全法》中的一个重点内容。如今网络安全等级保护制度开展已有好几年历史,等级保护已经进入2.0时代,为工业控制系统的等级保护工作指明了方向,结合我国对工业4.0建设以及强国建设的第一个十年行动纲领“中国制造2025”的大力推进,工业控制信息安全已经迈上一个前所未有的高度,在未来我国将建设全面信息化,而工业控制系统的信息安全关系着国计民生,其重视程度将会越来越高,我们只有顺应国家大潮流,顾全大局支持国家政策,才能有一个符合企业也符合国家也符合人民等各方利益的结果。所以在政策法规的层面,也为我们广大企业提供了工业控制信息系统改变的一个窗口。
免责声明:本站内容来源于互联网公开信息,仅供学习和参考使用。如涉及版权问题,请联系我们,我们将在核实后第一时间删除相关内容。