【文章導(dǎo)讀】：羅克韋爾自動(dòng)化宣布進(jìn)行新的投資，以增強(qiáng)其信息技術(shù) (IT) 和運(yùn)營(yíng)技術(shù) (OT) 網(wǎng)絡(luò)安全產(chǎn)品的能力，更好地為客戶提供在當(dāng)前危險(xiǎn)環(huán)境中所需的保護(hù)。這些舉措包括與 Dragos, Inc. 和 CrowdStrike 建立戰(zhàn)略合作伙伴關(guān)系，以及在以色列建立新的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心。

 

 

羅克韋爾自動(dòng)化宣布與工控環(huán)境網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)者Dragos 建立合作關(guān)系

 

 

羅克韋爾自動(dòng)化宣布進(jìn)行新的投資，以增強(qiáng)其信息技術(shù) (IT) 和運(yùn)營(yíng)技術(shù) (OT) 網(wǎng)絡(luò)安全產(chǎn)品的能力，更好地為客戶提供在當(dāng)前危險(xiǎn)環(huán)境中所需的保護(hù)。這些舉措包括與 Dragos, Inc. 和 CrowdStrike 建立戰(zhàn)略合作伙伴關(guān)系，以及在以色列建立新的網(wǎng)絡(luò)安全運(yùn)營(yíng)中心。


羅克韋爾自動(dòng)化全球服務(wù)副總裁兼總經(jīng)理 Rachael Conrad 表示。“實(shí)現(xiàn)強(qiáng)大的網(wǎng)絡(luò)安全是必選項(xiàng)。對(duì)于制造企業(yè)而言，保護(hù)網(wǎng)絡(luò)安全始于堅(jiān)實(shí)的 OT 專業(yè)知識(shí)基礎(chǔ)。這就是為什么我們要加大網(wǎng)絡(luò)安全投資，打造市場(chǎng)上無(wú)比強(qiáng)大的專業(yè) IT/OT 網(wǎng)絡(luò)安全產(chǎn)品的原因。”

事件響應(yīng)、威脅情報(bào)

羅克韋爾自動(dòng)化與工業(yè)控制系統(tǒng) (ICS)/OT環(huán)境網(wǎng)絡(luò)安全的全球領(lǐng)導(dǎo)者 Dragos 宣布建立合作關(guān)系，將羅克韋爾自動(dòng)化在全球行業(yè)、應(yīng)用和 ICS 領(lǐng)域的專業(yè)知識(shí)與 Dragos 的世界領(lǐng)先技術(shù)、專業(yè)服務(wù)和威脅情報(bào)服務(wù)相結(jié)合。此合作伙伴關(guān)系能提升客戶的工業(yè)網(wǎng)絡(luò)安全防護(hù)能力，給客戶提供更好的保護(hù)、提供更快的響應(yīng)、幫客戶更快的從網(wǎng)絡(luò)安全事故中恢復(fù)。

該合作伙伴關(guān)系將專注于事故響應(yīng)服務(wù)和威脅情報(bào)。通過(guò)提供增強(qiáng)的事故響應(yīng)服務(wù)，兩家公司的綜合能力將提高客戶評(píng)估和補(bǔ)救網(wǎng)絡(luò)安全威脅的速度。此外，羅克韋爾自動(dòng)化和 Dragos 專家將提供共同開(kāi)發(fā)的威脅情報(bào)數(shù)據(jù)源。

Conrad 表示：

“我們的投資及與 Dragos 的合作，將通過(guò)提供安全可靠的 OT 基礎(chǔ)設(shè)施來(lái)幫助我們的工業(yè)自動(dòng)化客戶實(shí)現(xiàn)互聯(lián)。隨著我們行業(yè)中網(wǎng)絡(luò)安全威脅的頻率和嚴(yán)重程度不斷攀升，自動(dòng)化領(lǐng)導(dǎo)者與網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者合作來(lái)分享專業(yè)知識(shí)并共同創(chuàng)新去提供保護(hù)我們客戶網(wǎng)絡(luò)安全的方案至關(guān)重要。”

云交付端點(diǎn)保護(hù)


羅克韋爾自動(dòng)化與云交付端點(diǎn)和工作負(fù)載保護(hù)的領(lǐng)導(dǎo)者 CrowdStrike 建立合作伙伴關(guān)系，為客戶提供端到端的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)服務(wù)解決方案。此次合作將檢驗(yàn) CrowdStrike 的云原生、人工智能驅(qū)動(dòng)的 Falcon 平臺(tái)與羅克韋爾自動(dòng)化的全球部署、網(wǎng)絡(luò)架構(gòu)、支持、OT 和管理服務(wù)能力的計(jì)劃，計(jì)劃旨在提供解決客戶網(wǎng)絡(luò)安全痛點(diǎn)的差異化解決方案。

Conrad 表示：

“羅克韋爾自動(dòng)化與 CrowdStrike 的合作使我們能夠在整個(gè)客戶網(wǎng)絡(luò)安全旅程中提供完全集成的端到端工業(yè)安全服務(wù)和解決方案，從威脅檢測(cè)到響應(yīng)和從網(wǎng)絡(luò)事件中恢復(fù)。將 CrowdStrike 領(lǐng)先的端點(diǎn)保護(hù)平臺(tái)與羅克韋爾自動(dòng)化廣泛的集成安全產(chǎn)品和服務(wù)相結(jié)合，使我們的客戶能夠獲得市場(chǎng)上綜合性極強(qiáng)的安全方案。”

全球遠(yuǎn)程管理風(fēng)險(xiǎn)的新方案


通過(guò)在以色列建立網(wǎng)絡(luò)安全運(yùn)營(yíng)中心，羅克韋爾自動(dòng)化繼續(xù)增強(qiáng)其全球安全服務(wù)能力。該中心位于以色列某城市，于 11 月 1 日運(yùn)營(yíng)，專注于向羅克韋爾自動(dòng)化的全球客戶群提供遠(yuǎn)程網(wǎng)絡(luò)安全服務(wù)。作為羅克韋爾自動(dòng)化現(xiàn)有全球業(yè)務(wù)的一部分，該中心提供增強(qiáng)的網(wǎng)絡(luò)安全管理服務(wù)，并在全球另外設(shè)有 15 個(gè)遠(yuǎn)程服務(wù)中心。

該中心展示了羅克韋爾自動(dòng)化在全球網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)知識(shí)和服務(wù)面的持續(xù)投資。2020 年羅克韋爾自動(dòng)化收購(gòu) Avnet（一家位于以色列的私人控股網(wǎng)絡(luò)安全提供商，擁有 20 多年網(wǎng)絡(luò)安全服務(wù)經(jīng)驗(yàn)）和 Oylo（一家位于西班牙巴塞羅那的私人控股工業(yè)網(wǎng)絡(luò)安全服務(wù)提供商），旨在加強(qiáng)其工業(yè)控制解決方案和事故響應(yīng)能力。羅克韋爾自動(dòng)化的合作伙伴生態(tài)系統(tǒng)也包括世界領(lǐng)先的合作伙伴，如 Claroty 和思科。

 

 

---

 

 

Dragos《工業(yè)網(wǎng)絡(luò)安全管理指南》

 

 

隨著企業(yè)投資數(shù)字化轉(zhuǎn)型，工業(yè)網(wǎng)絡(luò)安全將越來(lái)越成為通過(guò)技術(shù)創(chuàng)新安全可靠推進(jìn)業(yè)務(wù)目標(biāo)的關(guān)鍵推動(dòng)因素。雖然運(yùn)營(yíng)技術(shù)(OT)的轉(zhuǎn)型帶來(lái)了巨大好處，但也隨之帶來(lái)了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

對(duì)此，Dragos發(fā)布了《工業(yè)網(wǎng)絡(luò)安全管理指南》報(bào)告，詳細(xì)分析了企業(yè)如何更好地保護(hù)運(yùn)營(yíng)技術(shù)系統(tǒng)，具體包括：ICS/OT系統(tǒng)成為業(yè)務(wù)運(yùn)營(yíng)的關(guān)鍵、數(shù)字化轉(zhuǎn)型及連通性增加OT系統(tǒng)風(fēng)險(xiǎn)及暴露程度、OT與IT網(wǎng)絡(luò)安全的不同之處、OT威脅形勢(shì)快速增長(zhǎng)且日益復(fù)雜、與IT相關(guān)的威脅仍然影響OT、修復(fù)OT漏洞及IT漏洞的不同方法、評(píng)估及應(yīng)對(duì)獨(dú)特的OT網(wǎng)絡(luò)安全威脅。

一、工業(yè)網(wǎng)絡(luò)安全的重要性

隨著企業(yè)大力投資數(shù)字化轉(zhuǎn)型，工業(yè)網(wǎng)絡(luò)安全將越來(lái)越成為通過(guò)技術(shù)創(chuàng)新安全可靠地推進(jìn)業(yè)務(wù)目標(biāo)的關(guān)鍵推動(dòng)因素。推進(jìn)運(yùn)營(yíng)技術(shù)(OT)的連接性和數(shù)字化可為企業(yè)帶來(lái)重大利益，包括：

提高自動(dòng)化程度； 提高流程效率； 更好地利用資產(chǎn)； 增強(qiáng)用于業(yè)務(wù)預(yù)測(cè)和設(shè)備可維護(hù)性的機(jī)械遙測(cè)功能。

但是，當(dāng)這種連接的網(wǎng)絡(luò)風(fēng)險(xiǎn)沒(méi)有與創(chuàng)新同步解決時(shí)，安全事件的影響可能會(huì)加劇，從而減少收益。

近期發(fā)生了一些關(guān)鍵基礎(chǔ)設(shè)施的事件，如發(fā)電廠使用易受攻擊的IT遠(yuǎn)程管理工具、Oldsmar水處理設(shè)施及Colonial天然氣管道遭受破壞性網(wǎng)絡(luò)攻擊。這些風(fēng)險(xiǎn)因缺乏有效的OT網(wǎng)絡(luò)安全準(zhǔn)備而加劇。

二、主要趨勢(shì)

90%的組織對(duì)其OT環(huán)境（包括ICS網(wǎng)絡(luò)、資產(chǎn)及其之間的信息流）的可見(jiàn)性非常有限，甚至無(wú)法了解； 88%的組織在ICS網(wǎng)絡(luò)周圍表現(xiàn)出較差的安全邊界，這意味著通過(guò)IT網(wǎng)絡(luò)或整個(gè)互聯(lián)網(wǎng)遭受攻擊的風(fēng)險(xiǎn)增加； 只有五分之一的組織每年進(jìn)行一次以上的ICS網(wǎng)絡(luò)安全評(píng)估； 近一半甚至不做年度評(píng)估； 63%的受訪者表示，OT和IT安全風(fēng)險(xiǎn)管理工作沒(méi)有協(xié)調(diào)，因此難以在OT環(huán)境中實(shí)現(xiàn)強(qiáng)大的安全態(tài)勢(shì)。

三、工業(yè)環(huán)境中的OT

工業(yè)控制系統(tǒng)(ICS)和運(yùn)營(yíng)技術(shù)(OT)是控制整個(gè)企業(yè)物理流程的系統(tǒng)和網(wǎng)絡(luò)。ICS/OT系統(tǒng)架起了從軟件世界到物理世界的橋梁。

在工業(yè)環(huán)境中普遍存在的ICS/OT系統(tǒng)是控制物理過(guò)程的系統(tǒng)，包括發(fā)電、石油和天然氣精煉和管道、自動(dòng)化采礦設(shè)備和工廠自動(dòng)化。但OT實(shí)際上存在于比這更廣泛的用例中。它對(duì)于在數(shù)據(jù)中心、大型建筑和校園中運(yùn)行倉(cāng)儲(chǔ)和配送系統(tǒng)、運(yùn)輸線路，甚至HVAC系統(tǒng)至關(guān)重要。簡(jiǎn)而言之，OT之于物理系統(tǒng)就像IT之于業(yè)務(wù)系統(tǒng)。

OT和IT通常共享相似的技術(shù)，運(yùn)行在相似的操作系統(tǒng)、網(wǎng)絡(luò)連接和數(shù)字架構(gòu)上。但是OT并不是直接與IT一一對(duì)應(yīng)。OT工作環(huán)境與IT非常不同，并且與業(yè)務(wù)的核心功能相關(guān)：生產(chǎn)電力、制造產(chǎn)品、運(yùn)輸產(chǎn)品以及保持設(shè)施的開(kāi)放性和功能性。

因此，OT的業(yè)務(wù)風(fēng)險(xiǎn)不同，OT的業(yè)務(wù)連續(xù)性要求要更為嚴(yán)格，并且增加了物理安全考慮因素和監(jiān)管義務(wù)。

OT系統(tǒng)也經(jīng)過(guò)嚴(yán)格設(shè)計(jì)，與專用機(jī)器密緊密相連，采用獨(dú)特的協(xié)議運(yùn)行，并且比IT設(shè)備的生命周期長(zhǎng)得多。OT系統(tǒng)運(yùn)行的流程需要來(lái)自運(yùn)營(yíng)商的極其深厚的領(lǐng)域?qū)I(yè)知識(shí)，才能勝任管理和監(jiān)督。此外，OT中復(fù)雜的供應(yīng)商關(guān)系通常會(huì)在合同中規(guī)定如何以及何時(shí)更改系統(tǒng)配置，甚至誰(shuí)可以進(jìn)行這些更改。

這些OT系統(tǒng)首先在“氣隙”環(huán)境中發(fā)展，并且不與外部IT系統(tǒng)連接。即使這種情況發(fā)生了變化，OT仍然在一個(gè)遠(yuǎn)離IT的世界中運(yùn)行。直到最近，也很少有IT供應(yīng)商能夠根據(jù)OT環(huán)境的獨(dú)特需求定制網(wǎng)絡(luò)安全解決方案，因此與IT相比，OT網(wǎng)絡(luò)中潛在風(fēng)險(xiǎn)的可見(jiàn)性通常非常有限。

四、OT網(wǎng)絡(luò)安全的重要性

隨著數(shù)字化轉(zhuǎn)型計(jì)劃的加速，依賴工業(yè)流程推動(dòng)核心業(yè)務(wù)的企業(yè)集體站在了網(wǎng)絡(luò)風(fēng)險(xiǎn)的十字路口。在數(shù)字時(shí)代，公司領(lǐng)導(dǎo)層推動(dòng)其組織使用先進(jìn)技術(shù)來(lái)提高生產(chǎn)力、效率、質(zhì)量和安全性。然而，實(shí)現(xiàn)這些目標(biāo)所需的數(shù)字化進(jìn)步和超連接性為新的網(wǎng)絡(luò)風(fēng)險(xiǎn)打開(kāi)了大門，并加劇了現(xiàn)有的風(fēng)險(xiǎn)。

雖然IT和OT系統(tǒng)多年前使用類似的技術(shù)融合，但網(wǎng)絡(luò)安全主要集中在IT系統(tǒng)上，造成了IT與OT的網(wǎng)絡(luò)安全差距。這種滯后的原因是多方面的，因?yàn)樵S多利益相關(guān)者都有這些誤解：

OT系統(tǒng)保持氣隙，或氣隙仍然足夠； 物理風(fēng)險(xiǎn)管理措施足以保證工業(yè)系統(tǒng)的安全； 網(wǎng)絡(luò)安全措施總是會(huì)帶來(lái)不成比例的運(yùn)營(yíng)風(fēng)險(xiǎn)； 現(xiàn)有工具未能解決OT網(wǎng)絡(luò)安全的獨(dú)特性。

面對(duì)這些持續(xù)存在的OT網(wǎng)絡(luò)安全誤解，數(shù)字化轉(zhuǎn)型繼續(xù)推進(jìn)，進(jìn)一步增加了OT系統(tǒng)與更廣泛的企業(yè)和互聯(lián)網(wǎng)的連接性。因此，OT網(wǎng)絡(luò)風(fēng)險(xiǎn)和暴露不斷增加。

許多IT網(wǎng)絡(luò)安全策略人員專注于隱私問(wèn)題，將稀缺資源從OT中更多的生存風(fēng)險(xiǎn)中轉(zhuǎn)移，例如安全風(fēng)險(xiǎn)、業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)、以及公司聲譽(yù)和品牌的風(fēng)險(xiǎn)。

根據(jù)2020年IDC對(duì)1,014家制造商的調(diào)查結(jié)果顯示，79%的全球運(yùn)營(yíng)資產(chǎn)連接到網(wǎng)絡(luò)，高于2016年的60%。其余的21%運(yùn)營(yíng)資產(chǎn)中，大部分根本沒(méi)有數(shù)字功能。

Forrester Research研究人員Allie Mellen及Steve Turner表示，“關(guān)鍵基礎(chǔ)設(shè)施提供商正成為勒索軟件攻擊者的目標(biāo)，因?yàn)楫?dāng)受到勒索軟件攻擊時(shí)，他們需要在關(guān)鍵業(yè)務(wù)流程無(wú)限期暫?；蛑Ц囤H金之間做出選擇。”

Gartner分析師Barika Pace表示，“IT和OT系統(tǒng)的融合正在挑戰(zhàn)許多安全實(shí)踐，以定義與轉(zhuǎn)型和現(xiàn)代化環(huán)境保持一致的最佳安全架構(gòu)。OT所有者的氣隙受到侵蝕。”

新書(shū)《網(wǎng)絡(luò)危機(jī)》作者、前奧巴馬政府網(wǎng)絡(luò)安全專員Eric Cole表示，“關(guān)鍵基礎(chǔ)設(shè)施始終設(shè)計(jì)為將控制系統(tǒng)與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)隔離并在物理上分開(kāi)。這些系統(tǒng)最初是為了實(shí)現(xiàn)自動(dòng)化，并因新冠疫情而加速，現(xiàn)在已連接到互聯(lián)網(wǎng)。已知的漏洞使它們很容易成為目標(biāo)。”

五、工業(yè)網(wǎng)絡(luò)威脅形勢(shì)

與此同時(shí)，工業(yè)攻擊的頻率和復(fù)雜性正在增加。不僅存在針對(duì)IT資產(chǎn)的威脅和攻擊載體的交叉，而且存在越來(lái)越多的專門針對(duì)ICS/OT環(huán)境的威脅行為者。在2020年Dragos威脅情報(bào)團(tuán)隊(duì)報(bào)告表示，明確試圖訪問(wèn)ICS網(wǎng)絡(luò)和運(yùn)營(yíng)的主動(dòng)威脅的增長(zhǎng)速度是處于休眠狀態(tài)時(shí)的三倍。

針對(duì)OT的勒索軟件的興起預(yù)示著該領(lǐng)域目前正在加速發(fā)生的風(fēng)險(xiǎn)。2020年，Dragos情報(bào)分析人員發(fā)現(xiàn)了第一個(gè)針對(duì)ICS資產(chǎn)的勒索軟件證據(jù)，攻擊頻率在一年中不斷增加。到2021年上半年，工業(yè)界遭受了兩次勒索軟件攻擊。在過(guò)去的18個(gè)月中，Dragos目睹了一系列針對(duì)工業(yè)環(huán)境的其他威脅活動(dòng)，包括：

水坑憑證獲取攻擊和隨后使用有效賬戶對(duì)歐洲關(guān)鍵基礎(chǔ)設(shè)施發(fā)起入侵； 針對(duì)美國(guó)電力行業(yè)的初步訪問(wèn)和偵察活動(dòng)； 針對(duì)涉及遠(yuǎn)程訪問(wèn)木馬(RAT)惡意軟件的美國(guó)公用事業(yè)公司的活動(dòng)； 完全入侵歐洲能源組織的IT網(wǎng)絡(luò)及其Active Directory。

美國(guó)CISA表示，“與OT網(wǎng)絡(luò)和設(shè)備的遠(yuǎn)程連接提供了可被網(wǎng)絡(luò)參與者利用的已知路徑。應(yīng)盡可能減少外部接觸。”

現(xiàn)如今，很多OT攻擊者的行為都集中在安靜的前置和偵察工作上，如果沒(méi)有適當(dāng)?shù)目梢?jiàn)性，這些攻擊就不會(huì)被發(fā)現(xiàn)。隨著時(shí)間的推移，威脅行為者通常會(huì)緩慢地制定計(jì)劃和活動(dòng)，由于先前的努力，后續(xù)的活動(dòng)會(huì)更成功且更具破壞性。Dragos分析人員追蹤的許多威脅可能不會(huì)引起重大破壞，但它們通常為演變成未來(lái)可能具有破壞性的攻擊奠定了基礎(chǔ)。

六、OT及IT安全性差異

許多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理模式和實(shí)踐都與OT和IT領(lǐng)域相關(guān)。例如，通過(guò)減少重要資產(chǎn)周圍的攻擊面和強(qiáng)化配置來(lái)限制風(fēng)險(xiǎn)暴露的方式在OT環(huán)境中同樣適用。

但是，許多根本差異對(duì)OT中的網(wǎng)絡(luò)安全戰(zhàn)略和執(zhí)行產(chǎn)生了重大影響。有效管理OT環(huán)境中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要認(rèn)識(shí)到一些關(guān)鍵差異。

風(fēng)險(xiǎn)狀況不同：OT漏洞帶來(lái)的最高風(fēng)險(xiǎn)往往是威脅系統(tǒng)可用性或完整性的風(fēng)險(xiǎn)，而不是威脅系統(tǒng)處理數(shù)據(jù)的機(jī)密性的風(fēng)險(xiǎn)。雖然IT經(jīng)常被隱私和數(shù)據(jù)泄露問(wèn)題所困擾，但讓OT運(yùn)營(yíng)商夜不能寐的是系統(tǒng)中斷或故障，這可能威脅到業(yè)務(wù)甚至人員的安全。

策略及方法不同：不適合OT的安全措施導(dǎo)致的安全事件和停機(jī)的后果比IT系統(tǒng)的要嚴(yán)重得多。雖然在IT中仍有可能，但OT攻擊可能更容易影響品牌、股票價(jià)格和創(chuàng)收。但是，暫停水電大壩的運(yùn)行或制造設(shè)施中的連續(xù)過(guò)程以實(shí)施安全控制或修補(bǔ)操作系統(tǒng)根本不可行。此外，嚴(yán)格的安全法規(guī)對(duì)系統(tǒng)的處理方式增加了額外的限制。

技術(shù)不同：OT系統(tǒng)使用不同的協(xié)議，適用于特定用途的硬件和軟件，每個(gè)組織具有特有的配置、神秘的嵌入式技術(shù)和各種端點(diǎn)，其中許多端點(diǎn)運(yùn)行不受支持的版本，由于運(yùn)營(yíng)風(fēng)險(xiǎn)而無(wú)法更改。昂貴的OT機(jī)器的生命周期以幾十年來(lái)衡量，遺留的系統(tǒng)根深蒂固。

漏洞及補(bǔ)丁方法不同：對(duì)于許多OT和ICS系統(tǒng)，沒(méi)有每周或每月的維護(hù)窗口，管理員可以輕松地推送補(bǔ)丁。在許多情況下，通過(guò)側(cè)重于網(wǎng)絡(luò)配置更改而不是修補(bǔ)的緩解措施，可以更好地解決ICS環(huán)境中的漏洞。此外，用于檢測(cè)IT系統(tǒng)漏洞的傳統(tǒng)主動(dòng)掃描方法可能會(huì)導(dǎo)致OT環(huán)境中的重大流程中斷。

所需技能不同：OT系統(tǒng)的獨(dú)特性質(zhì)意味著操作人員必須具備一套非常專業(yè)的流程管理和工程領(lǐng)域?qū)I(yè)知識(shí)。這意味著安全團(tuán)隊(duì)需要特別小心地與專家密切合作以協(xié)調(diào)安全執(zhí)行。

利益相關(guān)者不同：由于業(yè)務(wù)風(fēng)險(xiǎn)如此之高，OT網(wǎng)絡(luò)風(fēng)險(xiǎn)管理是一項(xiàng)組織范圍的活動(dòng)。CISO作為風(fēng)險(xiǎn)顧問(wèn)發(fā)揮著關(guān)鍵作用，但風(fēng)險(xiǎn)由各業(yè)務(wù)部門領(lǐng)導(dǎo)以及最終由CEO和董事會(huì)承擔(dān)。規(guī)劃和戰(zhàn)略必須與所有相關(guān)利益相關(guān)者持續(xù)合作，特別是在保持OT設(shè)備運(yùn)行和維護(hù)復(fù)雜ICS供應(yīng)商關(guān)系方面具有專業(yè)知識(shí)的運(yùn)營(yíng)工程師。

七、評(píng)估及應(yīng)對(duì)風(fēng)險(xiǎn)

由于OT安全的獨(dú)特性質(zhì)，工業(yè)網(wǎng)絡(luò)安全計(jì)劃不能是IT網(wǎng)絡(luò)安全計(jì)劃的復(fù)制粘貼。ICS環(huán)境需要專門針對(duì)工業(yè)組織面臨的不同任務(wù)、挑戰(zhàn)和威脅量身定制的網(wǎng)絡(luò)安全策略和工具。

制定OT網(wǎng)絡(luò)安全規(guī)劃：有效的工業(yè)網(wǎng)絡(luò)安全計(jì)劃往往由OT資產(chǎn)的威脅和后果驅(qū)動(dòng)，優(yōu)先考慮資產(chǎn)的業(yè)務(wù)價(jià)值和給定攻擊場(chǎng)景的可能性。

理想情況下，組織應(yīng)該能夠在整個(gè)OT環(huán)境中獲得可見(jiàn)性、控制和最低限度的網(wǎng)絡(luò)安全衛(wèi)生，但這需要時(shí)間和金錢。為了制定可以逐步采用良好網(wǎng)絡(luò)安全實(shí)踐的可靠網(wǎng)絡(luò)安全路線圖，組織應(yīng)首先從發(fā)現(xiàn)流程開(kāi)始，從董事會(huì)、高管利益相關(guān)者和資產(chǎn)所有者那里收集與OT流程相關(guān)的最高業(yè)務(wù)優(yōu)先級(jí)的意見(jiàn)，然后進(jìn)行調(diào)查，了解所有現(xiàn)有OT資產(chǎn)以及這些資產(chǎn)如何映射到高優(yōu)先級(jí)流程的環(huán)境。

然后，團(tuán)隊(duì)根據(jù)業(yè)務(wù)重要性識(shí)別并排列所涉及的OT資產(chǎn)。在此基礎(chǔ)上，團(tuán)隊(duì)?wèi)?yīng)繪制出最有可能影響高優(yōu)先級(jí)資產(chǎn)的威脅驅(qū)動(dòng)和后果驅(qū)動(dòng)的場(chǎng)景。

威脅驅(qū)動(dòng)場(chǎng)景是威脅情報(bào)報(bào)告顯示會(huì)影響組織的場(chǎng)景。結(jié)果驅(qū)動(dòng)場(chǎng)景是通過(guò)從管理層希望在ICS環(huán)境中避免的高優(yōu)先級(jí)的攻擊的導(dǎo)致的最壞結(jié)果，然后向后移動(dòng)，并勾勒出可用于觸發(fā)它們的常見(jiàn)攻擊技術(shù)，來(lái)構(gòu)建結(jié)果驅(qū)動(dòng)場(chǎng)景。

考慮到這些情況，團(tuán)隊(duì)?wèi)?yīng)該檢查現(xiàn)有的控制措施，以及它們?nèi)绾闻c攻擊者在每種情況下使用的戰(zhàn)術(shù)、技術(shù)和程序(TTP)相抗衡。使用它來(lái)識(shí)別與理想控制相比的差距，這為制定路線圖提供了基礎(chǔ)。隨后將其分解為持續(xù)改進(jìn)的多年計(jì)劃，根據(jù)從利益相關(guān)者那里收集的資產(chǎn)排名，優(yōu)先考慮投資范圍和速度。

獲取正確工具：許多IT檢測(cè)和監(jiān)控工具無(wú)法很好地轉(zhuǎn)換到ICS環(huán)境。IT檢測(cè)工具通常無(wú)法與OT系統(tǒng)很好地交互，或者在ICS環(huán)境中不實(shí)用。例如，端點(diǎn)保護(hù)不適用于PLC。

更重要的是，檢測(cè)機(jī)制和輸出都是基于以IT為中心的威脅，因此對(duì)于OT運(yùn)營(yíng)商來(lái)說(shuō)重要的上下文和相關(guān)性將丟失。機(jī)器學(xué)習(xí)模型在ICS環(huán)境中沒(méi)有用處，因?yàn)樗鼈兪菫镮T環(huán)境設(shè)計(jì)和調(diào)整的。Dragos研究人員發(fā)現(xiàn)，Windows防病毒軟件經(jīng)常誤報(bào)ICS應(yīng)用程序，因?yàn)槠洳涣?xí)慣ICS功能運(yùn)行方式，對(duì)于啟發(fā)式引擎來(lái)說(shuō)很奇怪。

這就是組織需要特定于OT的網(wǎng)絡(luò)安全工具的原因，支持工業(yè)環(huán)境中最重要的風(fēng)險(xiǎn)管理。

技能提升：OT網(wǎng)絡(luò)安全是一項(xiàng)專門的工作。雖然企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)可以牽頭制定戰(zhàn)略規(guī)劃，與大量的OT利益相關(guān)者協(xié)作，甚至承擔(dān)一些日常工作，但該團(tuán)隊(duì)將需要額外的資源來(lái)執(zhí)行計(jì)劃。對(duì)于許多組織而言，快速建立必要技能的最佳方法是利用合作伙伴和第三方來(lái)彌補(bǔ)內(nèi)部差距，例如聘請(qǐng)公司進(jìn)行快速事件響應(yīng)。

IDC研究報(bào)告顯示，由于董事會(huì)層面對(duì)安全風(fēng)險(xiǎn)的要求，到2023年，90%的工業(yè)公司將開(kāi)發(fā)IT驅(qū)動(dòng)的OT安全治理，以支持工程師通過(guò)關(guān)聯(lián)資產(chǎn)進(jìn)行快速創(chuàng)新。