顾名思义,运营技术(OT)和信息技术(IT)有着不同的起源。OT的存在是为了管理操作,具体来说,是指从自动化和机械化中受益的各个工业部门的实际操作。相比之下,IT的存在是为了管理信息。也就是说,它以数字形式为个人和组织记录、存储、整理、分析和呈现信息。IT设备不是针对特定行业的,而且它们往往比OT设备便宜。因此,它们被更广泛地使用——因此,它们对防止安全漏洞的保护需求要高得多。换句话说,每次离开工作场所时,携带笔记本电脑的人数远远高于携带可编程逻辑控制器(plc)的人数。因此,更多的人在考虑如何保护自己的笔记本电脑免受网络攻击,而不是考虑如何加强plc及其控制的机器的网络安全措施。此外,寻找保护计算机用户方法的网络安全提供商比寻找保护plc和OT系统其他组件方法的网络安全提供商要多。
日益增长的OT安全需求
多年来,IT网络安全与OT网络安全之间的兴趣差距并不重要。毕竟,IT系统比OT系统更有可能连接到互联网,而互联网是大多数网络攻击的来源。相反,OT系统可能是气隙式的——也就是说,物理上与互联网隔离,没有直接连接到更广泛的网络的手段,而这些网络可能成为恶意行为者的入口。这已经不一定是真的了。OT运营商现在可以选择将连接设备添加到他们的系统中,以最大限度地降低成本并提高性能。例如,他们可以将工业物联网(IIoT)传感器与分析解决方案结合起来,这些传感器可以生成电力密集型制造过程的数据,分析解决方案可以解析数据,以确定如何利用非高峰电价。如果他们这样做,他们就有机会以更低的成本和更高的效率的形式实现重大收益。但这是有代价的。他们也将自己置于安全漏洞的风险之中,因为产生这些收益的工业物联网传感器和分析解决方案依赖于连接到互联网,这可能为专门针对OT系统的网络犯罪分子提供多个入口点。当然,防范此类漏洞的最佳方法是在OT系统中引入网络安全解决方案。但这到底有什么帮助呢?
网络安全的关键组成部分:威胁检测和响应
有效的网络安全解决方案的关键组成部分之一是威胁检测和响应。如果您的团队正在部署OT安全性,您可能会合并某种形式的威胁检测。用最简单的话来说,网络安全解决方案应该保持警惕。他们应该扫描OT系统,检查与标准的偏差,报告他们的发现,并在出现问题时发出警报。换句话说,网络安全解决方案始于检测。他们负责对OT系统内的每个部件进行自动(即被动)扫描,以确定是否存在任何异常或威胁迹象。他们必须将他们发现的与他们期望发现的进行比较。他们必须根据网络威胁情报(即关于新威胁或上升威胁特征的外部报告)检查他们所观察到的情况。他们必须报告他们遇到的情况,以便用户能够验证需求是否得到满足。除了检测之外,当检测到问题时,网络安全解决方案还会进入响应阶段。他们会发出警报,通知关键人员这些问题,然后团队遵循既定的战略协议,了解下一步该做什么,以及如何最好地防止事件再次发生。这些警报可以帮助安全团队确定威胁是否严重到需要启动主动扫描,在这种扫描中,人类可以引导寻找威胁的迹象,甚至可以呼叫专家,在不影响运营优先级(如最大限度地减少停机时间)的情况下,尽可能进行最有力的响应。
可见性:威胁检测和响应的基础
简而言之,威胁检测和响应至关重要。如果网络安全解决方案不具备寻找威胁和响应威胁的能力,那么它们根本无法完成保护OT系统的工作。因此,OT运营商应该寻找方法来确保他们的解决方案能够最佳地执行这些任务。在这个过程中,他们能做的最好的事情之一就是努力消除盲点,最大限度地提高可见度。检测涉及到扫描,当扫描覆盖到OT系统的每个部分时——每台机器、每个组件、每个传感器、每个连接、每个接口等等——扫描会更有效,因为你无法保护你看不到的东西。它们还受益于最大的数据包可见性——也就是说,能够看到哪些类型的数据正在(和已经)通过系统移动。网络tap(测试接入点)帮助运营商实现这种可见性。它们收集流经OT系统的流量的完整数据,并且比交换端口分析器(SPAN)端口做得更好。网络tap不会丢弃数据包,并且更有可能在整个被扫描的系统中可用,因为遗留交换机和SPAN保留会使威胁检测工具难以访问数据。在主动和被动扫描期间,它们在设置资产清单作为基线时也很有用,并且在这样做时避免系统中断。希望将TAP可见性添加到威胁检测部署中,但不确定从哪里开始?加入体育博彩平台推荐,进行一个简短的网络Design-IT评估或演示。没有义务——这是体育博彩平台推荐喜欢做的。
