工控系統(tǒng)未來方向與克服IT與OT融合障礙的五種方法
網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0現(xiàn)在已經(jīng)為大多數(shù)單位所知,在《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的擴(kuò)展要求部分,有專門的針對(duì)工業(yè)控制系統(tǒng)的測(cè)評(píng)要求。伴隨著我國工業(yè)制造技術(shù)的升級(jí),未來信息化必然不斷助推工業(yè)4.0發(fā)展,信息安全必然更加凸顯。而傳統(tǒng)工業(yè)控制系統(tǒng)使用場(chǎng)合,IT與OT之間總存在著不可逾越的隔閡。未來IT-OT如何更好合作參與信息安全和生活生產(chǎn)中來,共同推進(jìn)生產(chǎn)與信息安全工作,最終找到一個(gè)完美的平衡點(diǎn),一直是網(wǎng)絡(luò)安全領(lǐng)域的話題,當(dāng)下世界各國也都將關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù),看成重中之重。
很多人也知道,在《網(wǎng)絡(luò)安全法》中既有對(duì)常規(guī)網(wǎng)絡(luò)的保護(hù)要求,也有對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施增強(qiáng)保護(hù)要求。關(guān)鍵信息基礎(chǔ)設(shè)施,大多集中在工業(yè)控制系統(tǒng)領(lǐng)域,所以了解一些IT-OT融合還是有點(diǎn)意義的。
這些問題IT方面的信息管理人員很難回答,因?yàn)槟悴荒鼙Wo(hù)你不了解的東西。大多數(shù)工業(yè)組織的首席信息官和首席信息安全官員對(duì)其運(yùn)營(yíng)技術(shù)(OT)環(huán)境并沒有太多的了解。他們?cè)贗T領(lǐng)域擁有專業(yè)知識(shí),包括構(gòu)成這個(gè)動(dòng)態(tài)環(huán)境的網(wǎng)絡(luò)、服務(wù)器、端點(diǎn)和應(yīng)用程序,主要側(cè)重于保護(hù)信息。工業(yè)控制系統(tǒng),重點(diǎn)保護(hù)工業(yè)系統(tǒng)的可用性,服務(wù)于工業(yè)生產(chǎn)。
與IT不同,OT環(huán)境中的技術(shù)是專門用于監(jiān)視和控制物理過程和設(shè)備的。環(huán)境配置往往是相對(duì)靜態(tài)的,除非發(fā)生故障或操作參數(shù)的變化是必要的,否則配置不會(huì)更改。意味著這些設(shè)備和網(wǎng)絡(luò)通??赡鼙3殖掷m(xù)數(shù)十年,更新?lián)Q代可能比IT的三到五年的時(shí)間要長(zhǎng)幾代。此外,在OT工作的人員的主要關(guān)注點(diǎn)是保持正常運(yùn)行,并確保產(chǎn)出符合設(shè)計(jì)規(guī)格,并按計(jì)劃交付。
隨著惡意行為者越來越關(guān)注制造業(yè)和其他工業(yè)目標(biāo),IT和OT必須共同努力,以更好地保護(hù)業(yè)務(wù)。但是將傳統(tǒng)的IT安全方法直接應(yīng)用于工業(yè)系統(tǒng)業(yè)務(wù)的OT方面,并不一定能很好地轉(zhuǎn)化。作為一名安全從業(yè)人員,需要考慮的一個(gè)基本問題是,如何在運(yùn)營(yíng)領(lǐng)域獲得你需要的可見性和影響力,以解決你的領(lǐng)導(dǎo)層所提出的關(guān)于IT在工業(yè)信息化過程中支持OT的問題?
根據(jù)國外的專題文章,我們總結(jié)以下三點(diǎn)供大家一起探討
1.與OT協(xié)作,根據(jù)更廣泛的安全戰(zhàn)略和目標(biāo),為運(yùn)營(yíng)領(lǐng)域創(chuàng)建量身定制的安全計(jì)劃。
該想到IT和OT環(huán)境之間存在的差異,然后接受這樣的現(xiàn)實(shí):即使IT方面你做的很成功,也不能把IT在方面的經(jīng)驗(yàn),直接轉(zhuǎn)化成OT。您需要綜合考慮總體安全目標(biāo),然后與OT通力合作制定專門針對(duì)該領(lǐng)域的信息安全計(jì)劃。通過在企業(yè)范圍內(nèi)包含OT安全的計(jì)劃,可以優(yōu)先考慮投資以符合業(yè)務(wù)部門目標(biāo),而不是IT驅(qū)動(dòng)因素。
2.圍繞網(wǎng)絡(luò)安全建立一個(gè)共同的術(shù)語表和參考框架。
意味著要考慮IT安全人員所熱衷的事情(例如,威脅和漏洞),不能將其轉(zhuǎn)化為運(yùn)營(yíng)領(lǐng)域的擔(dān)憂(例如,停機(jī)時(shí)間和質(zhì)量受損),以顯示正確的安全投入如何能夠真正改善運(yùn)營(yíng)成果??梢越档筒话踩玂T事件的可能性,以及采取保護(hù)措施建立共同安全基礎(chǔ)。
3.采取一些近期的安全措施,獲得短期可見利益。
使用您共同創(chuàng)建的OT安全計(jì)劃,通過合作伙伴關(guān)系來識(shí)別和實(shí)施一些當(dāng)前未實(shí)現(xiàn)能夠顯著改善環(huán)境的安全保護(hù)措施,同時(shí)不會(huì)對(duì)操作造成負(fù)面影響。一些可以支持關(guān)鍵業(yè)務(wù)部門目標(biāo)短期勝利,可以幫助建立初步信任。
最終,IT-OT融合的目標(biāo)是通過有效的網(wǎng)絡(luò)保護(hù)使OT方面更具彈性,并為高級(jí)管理人員提供信心。通過展示使用一系列主動(dòng)的方法,盡可能地改善OT安全性,同時(shí)滿足業(yè)務(wù)優(yōu)先級(jí),更有可能獲得所需的投入。這些投入將允許實(shí)施與企業(yè)組織的預(yù)期業(yè)務(wù)成果相一致的長(zhǎng)期戰(zhàn)略,并大大增加OT環(huán)境的安全狀況。
接觸工業(yè)控制系統(tǒng)過程中,必然會(huì)接觸OT這個(gè)專有名詞,他在工業(yè)控制系統(tǒng)信息化中,作用是非常重要的,也是在工業(yè)系統(tǒng)信息化過程中無法逾越的關(guān)鍵。那么在談OT,先把OT的名詞解釋再做一遍說明,OT是兩個(gè)英文單詞Operational Technology 的首字母,翻譯過來就是運(yùn)營(yíng)技術(shù)、操作技術(shù)。我們?cè)诖司陀谩斑\(yùn)營(yíng)技術(shù)”稱之。
IT和OT 為降低不同層面的風(fēng)險(xiǎn)以及成功解決攻擊問題,必須不可避免的需要協(xié)同工作。在國外某專欄中,他提供了有關(guān)IT和OT環(huán)境融合過程中出現(xiàn)的一些障礙,提供了一些見解,以及給出融合初期的一些實(shí)際步驟。從看埃森哲咨詢公司(Accenture Consulting)所做的調(diào)查,認(rèn)為克服不同部門間的文化障礙和組織孤島,是當(dāng)前IT-OT整合的最大挑戰(zhàn),融合需要進(jìn)一步深入研究探討。
消除IT和OT在實(shí)踐環(huán)境之間的脫節(jié),需要受到兩個(gè)主要因素的驅(qū)動(dòng)。
第一個(gè)催化劑是監(jiān)管要求。當(dāng)評(píng)估和審計(jì)發(fā)現(xiàn)某個(gè)組織不符合某些標(biāo)準(zhǔn)或新出現(xiàn)的要求時(shí),董事會(huì)和高管團(tuán)隊(duì)將要求IT和OT領(lǐng)域的領(lǐng)導(dǎo)者共同遵守,監(jiān)管要求基本上與我們常說的合規(guī)性要求同方向的。
第二個(gè)催化劑是惡意行為者。惡意行為者越來越關(guān)注工業(yè)目標(biāo)如電網(wǎng)、基礎(chǔ)制造工業(yè)和其他關(guān)鍵基礎(chǔ)設(shè)施。IT 和 OT必須通力合作才能有效的降低風(fēng)險(xiǎn)并成功解決攻擊,是不可回避的一個(gè)現(xiàn)實(shí)問題。
等到領(lǐng)導(dǎo)下達(dá)命令或正處于攻擊的壓力下,再去嘗試處理與其中一方的文化障礙和組織孤島,是很不明智的選擇。那么從IT從業(yè)人員角度,再一起討論作為一名IT安全從業(yè)人士,可以嘗試以下五項(xiàng)建議,幫助你更加積極有效的與對(duì)應(yīng)的OT方通力合作,以更加優(yōu)越的姿態(tài)保護(hù)生產(chǎn)業(yè)務(wù)安全、網(wǎng)絡(luò)信息安全。
1.讓正確的人參與進(jìn)來。
從開始,你需要確保正確的人參與到討論的桌面上來。通常情況下,由執(zhí)行管理層建立了推動(dòng)政策、程序、要求和愿景。然后高級(jí)IT人員必須確保正確的安全控制措施符合業(yè)務(wù)需求和要求。OT們必須為支持更廣泛的安全策略和目標(biāo),在運(yùn)營(yíng)領(lǐng)域制定計(jì)劃,同時(shí)不會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生負(fù)面的影響。這應(yīng)該與OT領(lǐng)導(dǎo)者及技術(shù)支持領(lǐng)導(dǎo)共同創(chuàng)建,這些人員來自表現(xiàn)最好或最關(guān)鍵的部門。無論是內(nèi)部還是外部,都需要值得信賴的顧問。顧問可以在討論過程中,幫助促進(jìn)建立聯(lián)系,在提供解決問題的創(chuàng)新解決方案方面發(fā)揮重要作用。
2.尋找其他基于技術(shù)的解決方案。
IT人員尋找解決威脅和漏洞最有效的方法,可能是直接修補(bǔ)系統(tǒng)。但是這種方法可能需要將系統(tǒng)每次脫機(jī)幾個(gè)小時(shí),而這在OT環(huán)境中的任務(wù)關(guān)鍵型系統(tǒng)中通常是不可行的。相反,想想所需的結(jié)果,并尋找替代方法來達(dá)到預(yù)期目標(biāo)。通常在實(shí)現(xiàn)安全目標(biāo)的同時(shí),還有另一種可選技術(shù)項(xiàng),并做到尊重OT環(huán)境中系統(tǒng)的局限性。例如,如果您不能直接接觸系統(tǒng),則將其隔離并僅允許通過授權(quán)的通信。
3.可以欣賞的技術(shù)并不總是唯一的答案。
有許多方法不需要基于技術(shù)的控制,可以支持實(shí)現(xiàn)安全策略和目標(biāo)。例如,建立簡(jiǎn)單且行之有效的安全管理規(guī)定,每當(dāng)用戶訪問公司PC時(shí)就必須顯示一個(gè)登錄身份標(biāo)識(shí),對(duì)可能的入侵者予以警告,防止系統(tǒng)的非法使用,建議合法用戶使用可接受的安全策略,并對(duì)使用策略進(jìn)行監(jiān)控。在OT環(huán)境下,系統(tǒng)連續(xù)運(yùn)行,授權(quán)用戶在每個(gè)班次都不能重新登錄,改變系統(tǒng)。那么你如何解決這個(gè)需求呢?一個(gè)簡(jiǎn)單的解決方案,不涉及任何IT投資,不用昂貴的軟件,是打印提醒警示語,并將警示語粘貼到物理顯示器上,以示驚醒。
4.不要擔(dān)心重復(fù)。
IT和OT環(huán)境都有自己的技術(shù)人員,所以技能組合必然會(huì)有一些重疊,可能會(huì)導(dǎo)致彼此雙方視對(duì)方為一種威脅。當(dāng)然,一般都不愿意承擔(dān)另一個(gè)團(tuán)隊(duì)的責(zé)任,可以通過了解兩個(gè)團(tuán)隊(duì)的責(zé)任分工不同,劃分權(quán)限責(zé)任來解決。OT不愿意接受IT領(lǐng)域的關(guān)鍵業(yè)務(wù)服務(wù),包括電子郵件,互聯(lián)網(wǎng)訪問和備份,這些都在IT團(tuán)隊(duì)領(lǐng)域的擅長(zhǎng)的內(nèi)容。另一面,IT不準(zhǔn)備承擔(dān)OT環(huán)境中可能造成嚴(yán)重后果的系統(tǒng)故障。現(xiàn)實(shí)情況是,IT和OT技能集應(yīng)該是相互磨合和補(bǔ)充的作用。
5.應(yīng)該擴(kuò)大對(duì)OT的支持。
對(duì)于整個(gè)基礎(chǔ)架構(gòu)的更好的保護(hù),可見性至關(guān)重要。但是,所謂術(shù)業(yè)有專攻,當(dāng)每個(gè)專業(yè)的人使用不同的技術(shù)時(shí),要全面了解運(yùn)營(yíng)領(lǐng)域技術(shù)確實(shí)是一個(gè)挑戰(zhàn)。IT方面的最新系統(tǒng)如Windows和Mac OS環(huán)境不一定能直接轉(zhuǎn)化為OT領(lǐng)域來使用。新系統(tǒng)一般是不能直接適應(yīng)多年來已有并已經(jīng)適應(yīng)運(yùn)營(yíng)的OT環(huán)境中來。這些系統(tǒng)中的有許多是需要運(yùn)行Linux或Unix。在這里,對(duì)IT方面的投資,就應(yīng)該區(qū)分對(duì)工具和人員,并進(jìn)行一個(gè)優(yōu)先級(jí)排序,擴(kuò)大整個(gè)企業(yè)的可見性,IT人員應(yīng)有能力支持運(yùn)營(yíng)領(lǐng)域依賴的系統(tǒng)。
世界唯有變是不變的,不過有些改變從來就不是一件容易的事情,在整個(gè)OT環(huán)境中,改變的欲望一般都很低。所有事情一樣,時(shí)間就是一切。你必須選擇你的時(shí)刻,例如,當(dāng)針對(duì)工業(yè)部門的攻擊研究變得可行時(shí)或正在國家政府在制定新的法規(guī)時(shí),必須提前做好準(zhǔn)備抓住這些改變機(jī)會(huì)的窗口。通過合作伙伴關(guān)系,展示OT環(huán)境和業(yè)務(wù)的真正利益聯(lián)系,你開啟機(jī)會(huì)的窗口將保持更長(zhǎng)的時(shí)間。
接上面一句話“當(dāng)針對(duì)工業(yè)部門的攻擊研究變得可行時(shí)或正在國家政府在制定新的法規(guī)時(shí),必須提前做好準(zhǔn)備抓住這些改變機(jī)會(huì)的窗口”,其實(shí)我們從國內(nèi)外媒體上,領(lǐng)略了伊朗核電站“震網(wǎng)”攻擊事件、烏克蘭國家電網(wǎng)大面積停電事件、WannaCry勒索病毒有可能影響工業(yè)控制系統(tǒng)、黑客演示攻擊風(fēng)能發(fā)電場(chǎng)等新聞報(bào)道,其實(shí)正是針對(duì)工業(yè)系統(tǒng)攻擊研究變成了事實(shí),其可行性已經(jīng)確鑿無疑了。也正說明了,這啟示全世界工業(yè)控制運(yùn)營(yíng)技術(shù)人員攻擊窗口開啟,IT與OT必須通力合作,抓住轉(zhuǎn)變的機(jī)遇,更好的服務(wù)工業(yè)控制信息系統(tǒng)安全。