導讀：IT 和 OT 團隊通常看起來像是處于不同的世界。要將真正的 IT 安全性帶入 OT 環(huán)境，以下是幫助企業(yè)創(chuàng)建IT/OT 融合的4 個關(guān)鍵步驟。

在許多工業(yè)企業(yè)中，信息技術(shù)（IT）和運營技術(shù)（OT）團隊仿佛來自不同的星球。他們有各自的目標、優(yōu)先事項、技能、指標甚至語言。IT/OT 融合需要這些團隊共同努力，以幫助這些新的互聯(lián)系統(tǒng)，實現(xiàn)諸如更高的效率和產(chǎn)出，以及增強的安全性等關(guān)鍵業(yè)務目標。

通過IT/OT 融合，以前與企業(yè)IT 系統(tǒng)隔離，并無法訪問互聯(lián)網(wǎng)和通信應用（如電子郵件和云接口）的系統(tǒng)，現(xiàn)在可以通過企業(yè)基礎(chǔ)設施，利用規(guī)模優(yōu)勢和大數(shù)據(jù)分析的優(yōu)勢。但帶來收益的同時，IT 網(wǎng)絡中存在的風險也隨之增加：勒索軟件、間諜黑客，甚至更糟糕的是，物理過程的潛在中斷可能會造成物理破壞。

現(xiàn)在，企業(yè)的董事會要求首席信息安全官（CISO）和首席信息官（CIO）確保這些系統(tǒng)的安全，并確保它們與企業(yè)內(nèi)的其他設備具有相同的安全級別。因此，IT 部門正在尋求加強IT 和OT 的集成，以在企業(yè)中推動所有端點和網(wǎng)絡安全的標準化。

不幸的是，運營技術(shù)（OT/ICS）資產(chǎn)，如人機界面（HMI）、服務器、可編程邏輯控制器（PLC）、繼電器、實時自動化控制器和其他智能電子設備，由于各種原因被排除在大多數(shù)企業(yè)的網(wǎng)絡安全流程之外。這些原因可能包括從組織邊界和法規(guī)要求，到IT 人員缺乏OT 系統(tǒng)技能的所有方面。此外，由于運營部門希望提高效率，OT 團隊始終面臨人員編制的壓力。

結(jié)果是OT 系統(tǒng)中缺乏網(wǎng)絡安全所需的許多基本要素。例如 ，庫存不準確，配置和補丁程序數(shù)據(jù)庫過時，帳戶和用戶訪問管理未得到良好管理等等。部分原因是，鑒于OT/ICS 系統(tǒng)中資產(chǎn)的敏感性、獨特性和嵌入性，自動化這些過程所需的工具還不可用。

要將真正的 IT 安全性帶入 OT 環(huán)境并實現(xiàn)穩(wěn)健、一致的安全管理，企業(yè)可以通過以下4 個關(guān)鍵步驟幫助 IT和 OT 協(xié)同工作：

1

創(chuàng)建IT/OT 融合的聯(lián)合培訓和溝通

IT 和 OT 的根本差距始于對每個職能部門的目標和目的缺乏了解。例如，IT 團隊使用傳統(tǒng)的IT 漏洞掃描器定期掃描OT 系統(tǒng)，并采取一致行動，為OT 設備打補丁，但沒有意識到它們可能會造成某些問題。類似地，OT 團隊通常會說，“我們不能打補丁”，這只是一個籠統(tǒng)的聲明，他們并不了解IT 的安全目標或在特定時間修補某些資產(chǎn)的實際方法。

企業(yè)為成功實現(xiàn)IT/OT 融合而采取的第一步，是致力于聯(lián)合培訓和溝通。通常情況下，這可能發(fā)生在召開一系列4 到5 個聯(lián)合研討會上，關(guān)鍵的OT 領(lǐng)導人分享他們的業(yè)務流程和目標細節(jié)，IT 團隊則分享他們的安全目標和典型方法。這些研討會使兩個部門了解如何相互溝通，并了解各自的目標和局限性。

2

構(gòu)建滿足雙方需求的IT/OT 安全團隊

沒有完美的企業(yè)模式。一些企業(yè)已經(jīng)成功地創(chuàng)建了一個聯(lián)合安全領(lǐng)導團隊，OT 領(lǐng)導與IT 同行一起擔任高級領(lǐng)導職務。另外一些公司則以IT 成員擔任安全領(lǐng)導職務，但將OT 的重要輸入納入到適用于其系統(tǒng)的工具、流程和標準中。

企業(yè)容易犯的最大的錯誤，是在安全領(lǐng)導團隊中設置一個象征性的OT 代表，或者招聘一到兩名有OT 經(jīng)驗的中層人員作為OT 的代表。幾乎在所有情況下，這都會以 OT 代表被納入 IT 組織并且影響有限而告終。那些最成功的企業(yè)會指派一位關(guān)鍵的、資深的、真正受人尊敬的 OT 領(lǐng)導者，并賦予他們在整個安全組織中的真正權(quán)威。

3

建立OT 系統(tǒng)管理計劃

OT 系統(tǒng)管理是健全OT 安全計劃的關(guān)鍵。它涉及以下要素：

? 資產(chǎn)庫存管理；

?生命周期管理，包括定義系統(tǒng)需求以實現(xiàn)預期的物理系統(tǒng)，制定規(guī)范以確?？煽啃院桶踩?、供應鏈管理和控制這些系統(tǒng)，以及更換過時的組件；

?配置管理；

?補丁和漏洞管理；

?網(wǎng)絡與系統(tǒng)設計；

?用戶和帳戶管理；

?日志和性能監(jiān)控以實現(xiàn)可靠性和安全性；

?事件和故障響應；

?備份和恢復。

在IT 方面，對這些基本組件非常熟悉，被認為是理所當然的，因為多年來它們一直是IT 系統(tǒng)管理的核心部分。但對于OT 方面，實現(xiàn)大多數(shù)任務的基礎(chǔ)設施并不一致。因此，OT 缺乏建立IT 安全性的基礎(chǔ)。 在了解網(wǎng)絡資產(chǎn)、系統(tǒng)用戶之前，組織希望先實現(xiàn)威脅檢測或劃分微區(qū)域。 通過建立OT 系統(tǒng)管理，IT 和OT 團隊可以從類似資產(chǎn)管理的基礎(chǔ)開始，有效地開展協(xié)同工作。穩(wěn)健的OT 系統(tǒng)管理計劃帶來許多其它關(guān)鍵好處，包括：

? 對網(wǎng)絡中所有硬件和軟件的清晰標識，以確?？焖僮R別漏洞；

?正確更新和配置系統(tǒng)，減少攻擊面；

?高效完成系統(tǒng)更新，以實現(xiàn)關(guān)鍵運行任務的自動化；

?跨IT 和OT 系統(tǒng)進行一致的報告和監(jiān)控，以簡化進度報告；

?更有效和更先進的安全控制，因為它們是通過適當?shù)目梢娦?，以及對底層端點和網(wǎng)絡信息的訪問而構(gòu)建的。

4

技能發(fā)展

為了真正實現(xiàn)IT/OT 融合，企業(yè)需要在OT 中構(gòu)建關(guān)鍵的安全管理技能集。在IT 中，幾乎所有系統(tǒng)管理任務都可以集中完成。然而，在OT 中，在執(zhí)行補丁或配置管理等安全功能之前，獨特且敏感的流程可能需要本地OT 知識。

因此，有必要在傳統(tǒng)運營系統(tǒng)設備和網(wǎng)絡設備以及嵌入式運營設備的范圍內(nèi)，圍繞關(guān)鍵OT 系統(tǒng)管理概念（如修補、配置管理、密碼管理等）開展員工隊伍建設。我們當然可以贊揚圍繞網(wǎng)絡安全分析、調(diào)查、威脅搜尋等提供的重要培訓，但同樣需要關(guān)注其它70%的網(wǎng)絡安全，包括系統(tǒng)管理的基礎(chǔ)要素。

企業(yè)需要堅持這4 個關(guān)鍵步驟：建立共同意識和正確的團隊、建立OT 系統(tǒng)管理和培養(yǎng)正確的技能，以使IT 和OT 團隊有效地協(xié)同工作，并在兩個部門中推動真正的安全能力。

關(guān)鍵概念：

■ IT 部門正在尋求加強IT 和OT 的集成，以在企業(yè)中推動所有端點和網(wǎng)絡安全的標準化。

■ 通過建立OT 系統(tǒng)管理的基礎(chǔ)，IT 和OT 團隊可以從類似資產(chǎn)管理的基礎(chǔ)開始，有效地開展協(xié)同工作。

思考一下：

為了實現(xiàn)更高的效率和產(chǎn)出，您的團隊在IT/OT 融合方面都做了哪些努力？

審核編輯 ：李倩