日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

當(dāng)前IT/OT融合已經(jīng)成為一種趨勢，本文對融合現(xiàn)狀和管理進(jìn)行了調(diào)研，并為企業(yè)的新CISO如何應(yīng)對融合挑戰(zhàn)提供了一些建議。

IT和OT的深度融合已是大勢所趨，一方面為企業(yè)帶來運(yùn)營效率、性能和服務(wù)質(zhì)量的提高，同時也帶來更大的安全風(fēng)險等弊端。當(dāng)面對缺乏專業(yè)人員、合規(guī)不等于安全、企業(yè)領(lǐng)導(dǎo)關(guān)注度不足、OT日益嚴(yán)峻的威脅等關(guān)鍵挑戰(zhàn)時，應(yīng)對IT/OT融合挑戰(zhàn)的六大關(guān)鍵步驟正是企業(yè)CISO需要的。

1.IT/OT融合下的利弊

西門子和Ponemon研究所最近發(fā)布的調(diào)查報告，對供電企業(yè)面臨的工業(yè)網(wǎng)絡(luò)風(fēng)險進(jìn)行了探討。調(diào)查發(fā)現(xiàn)，隨著工業(yè)物聯(lián)網(wǎng) (IIoT）的出現(xiàn)，將網(wǎng)絡(luò)傳感器和相關(guān)軟件與復(fù)雜的物理機(jī)械結(jié)合在一起，IT 和OT 之間的鴻溝正在迅速消散。供電企業(yè)的的經(jīng)營方式逐漸轉(zhuǎn)變?yōu)橛锰柲芎惋L(fēng)能等可再生能源替代傳統(tǒng)發(fā)電，并結(jié)合資產(chǎn)數(shù)字化管理的主流方式，OT（運(yùn)營技術(shù)）資產(chǎn)的數(shù)字化為全球公共事業(yè)行業(yè)帶來了無限商機(jī)，也加速了IT（信息技術(shù)）和OT的融合。

一半以上的受訪者表示在數(shù)字化的推動下，IT/OT融合是一件好事，它有著包括優(yōu)化業(yè)務(wù)流程、降低成本、降低風(fēng)險以及縮短項(xiàng)目時間等優(yōu)點(diǎn)，同時也是提高供應(yīng)鏈合作伙伴的信任和信心的重要因素。IT和OT“雙劍合璧”后爆發(fā)出巨大的威力。

但I(xiàn)T和OT都有著各自的背景和特性，對兩者進(jìn)行區(qū)分是很重要的，如下表一所示：

表一 IT和OT特性對比

通常，企業(yè)運(yùn)營團(tuán)隊(duì)在可用性和機(jī)密性兩者之間會優(yōu)先考慮可用性，因此OT網(wǎng)絡(luò)通常都缺乏基本的安全防護(hù)。在這樣的情況下，有受訪者對兩者的融合表達(dá)了擔(dān)憂，因?yàn)殡S著行業(yè)內(nèi)IT/OT集成度越來越高，供電企業(yè)的關(guān)鍵基礎(chǔ)架構(gòu)面臨的攻擊和威脅正日益增長，有可能造成嚴(yán)重的經(jīng)濟(jì)、環(huán)境和基礎(chǔ)設(shè)施破壞。全球54%的被調(diào)查供電企業(yè)預(yù)計2020年會遭遇針對運(yùn)營技術(shù)網(wǎng)絡(luò)的攻擊。

隨著將大量規(guī)模的資產(chǎn)連接在一起，OT安全的風(fēng)險也越來越大。大量具有不同功能、相互連接的設(shè)備分布在不同區(qū)域，通過這些連接可以擴(kuò)展到數(shù)以萬計的資產(chǎn)，而保護(hù)這些綿延數(shù)十上百公里的資產(chǎn)的安全，無疑是一件風(fēng)險很大的事情，這也成為IT/OT融合的弊端。

2.IT/OT融合的關(guān)鍵挑戰(zhàn)

IT/OT的融合面臨著關(guān)鍵挑戰(zhàn)：

缺乏專業(yè)人員：安全專家無疑是確保IT/OT成功融合的關(guān)鍵因素，組建跨職能團(tuán)隊(duì)來管理IT和OT系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險將有助于問題的消除。但企業(yè)的風(fēng)險管理，在46%的情況下是通過內(nèi)部團(tuán)隊(duì)和外部服務(wù)提供商結(jié)合進(jìn)行的，僅是內(nèi)部團(tuán)隊(duì)或者僅外部服務(wù)提供商進(jìn)行管理的情況則分別是34%和20%。缺乏專業(yè)的人員大大延遲了對攻擊的響應(yīng)——惡意軟件攻擊的響應(yīng)需要72天！西門子的研究報告也指出，面對融合的安全風(fēng)險，企業(yè)準(zhǔn)備明顯不足，只有不到1/3的受訪者表示企業(yè)目前所做的準(zhǔn)備足以應(yīng)對可能發(fā)生的網(wǎng)絡(luò)風(fēng)險。

合規(guī)≠安全：行業(yè)內(nèi)很多企業(yè)相信合規(guī)性可以給企業(yè)帶來安全保障，因此他們按照“法規(guī)遵從為中心”的方法來管理企業(yè)網(wǎng)絡(luò)安全風(fēng)險，這種方式在一定程度上改善了網(wǎng)絡(luò)安全狀況，但是受訪者披露，實(shí)現(xiàn)法規(guī)的合規(guī)并不等于實(shí)現(xiàn)良好的安全態(tài)勢，僅依賴法規(guī)遵從性方法可能會對過去的安全事件做出響應(yīng)，但面臨新的網(wǎng)絡(luò)攻擊時則可能會顯得束手無策。

領(lǐng)導(dǎo)缺乏關(guān)注度：此外，企業(yè)領(lǐng)導(dǎo)層對IT/OT融合過程中安全的關(guān)注度明顯不足，有些企業(yè)管理者會覺得近幾年發(fā)生的伊朗“震網(wǎng)”病毒攻擊核電站、土耳其原油輸送管遭受網(wǎng)絡(luò)攻擊爆炸、烏克蘭遭受網(wǎng)絡(luò)攻擊造成大范圍停電等安全事件并沒有把攻擊重點(diǎn)放在自己企業(yè)的網(wǎng)絡(luò)上。烏克蘭遭受的網(wǎng)絡(luò)攻擊主要是破壞國家的基礎(chǔ)架構(gòu)并令其癱瘓，但仍有大量企業(yè)的OT網(wǎng)絡(luò)遭受到嚴(yán)重影響，如果這些攻擊專門針對工業(yè)網(wǎng)絡(luò)，后果將不堪設(shè)想。

OT威脅日益嚴(yán)峻：隨著企業(yè)運(yùn)營的數(shù)字化，網(wǎng)絡(luò)攻擊范圍已經(jīng)擴(kuò)展到OT，與IT環(huán)境相比，網(wǎng)絡(luò)威脅對缺乏安全防護(hù)的OT的影響更大。當(dāng)網(wǎng)絡(luò)攻擊在關(guān)鍵能源基礎(chǔ)設(shè)施間展開時，可能會對設(shè)備造成破壞、給員工帶來風(fēng)險，并造成企業(yè)高機(jī)密信息被竊取，OT的威脅成為IT/OT網(wǎng)絡(luò)防御的痛點(diǎn)。

3.CISO應(yīng)對OT/IT融合的六大關(guān)鍵步驟

那么在面對往往是陳舊且特有的關(guān)鍵業(yè)務(wù)運(yùn)營技術(shù)（OT）與信息技術(shù)（IT）融合在一起產(chǎn)生的沖突時，誰為可能產(chǎn)生的網(wǎng)絡(luò)安全風(fēng)險買單？作為公司的CISO，如何降低企業(yè)整體的風(fēng)險？是購買一種端點(diǎn)檢測和響應(yīng)（EDR）解決方案？或是將可視化和監(jiān)視功能引入OT網(wǎng)絡(luò)？可能下面的六個步驟是所有新CISO應(yīng)該采取的最有效保護(hù)其OT環(huán)境的方式。

步驟1：資產(chǎn)盤點(diǎn)。公司的資產(chǎn)對公司是至關(guān)重要的。首先，CISO需要發(fā)現(xiàn)和盤點(diǎn)組織中的每項(xiàng)OT資產(chǎn)，對需要保護(hù)的內(nèi)容（數(shù)據(jù)，軟件，系統(tǒng)）做到全面的了解。缺乏完整而準(zhǔn)確的資產(chǎn)盤點(diǎn)，后續(xù)步驟將無法最大程度地降低網(wǎng)絡(luò)安全風(fēng)險。 

步驟2：備份/測試還原。保護(hù)OT系統(tǒng)免受毀滅性勒索軟件攻擊的最有效方法是對OT數(shù)據(jù)進(jìn)行備份并進(jìn)行測試還原，以確保最佳備份。出于多種原因（其中包括安全原因），對系統(tǒng)進(jìn)行備份可以通過保護(hù)網(wǎng)絡(luò)免受數(shù)據(jù)丟失來確保其有效性。正如我們將在步驟5中看到的那樣，連續(xù)不斷地標(biāo)識用于測試還原的相關(guān)數(shù)據(jù)非常重要，通常可以通過詢問企業(yè)中的用戶哪些數(shù)據(jù)對工作最重要，而當(dāng)進(jìn)行第一次進(jìn)行備份/測試還原時，請盡可能全面和深入執(zhí)行此操作，從而避免數(shù)據(jù)的丟失和其他問題。

步驟3：軟件漏洞分析。步驟1的資產(chǎn)清單將對企業(yè)OT系統(tǒng)中的所有軟件進(jìn)行盤點(diǎn)，CISO必須清楚每項(xiàng)軟件資產(chǎn)的狀態(tài)，并對每個軟件進(jìn)行漏洞分析。比如軟件的版本？是否有較新的版本（更安全，更有效）的OT系統(tǒng)可以使用？通常對于軟件有一個關(guān)鍵性問題：是否需要打補(bǔ)??？這里建議不要像IT那樣對所有內(nèi)容自動進(jìn)行打補(bǔ)丁，因?yàn)閷T打補(bǔ)丁是一個復(fù)雜而具有挑戰(zhàn)性的過程，需要用整個步驟進(jìn)行評估。

步驟4：打補(bǔ)丁。盡管在IT中是自動進(jìn)行打補(bǔ)丁，但在OT中要復(fù)雜的多，甚至有時給OT軟件打補(bǔ)丁可能會起到適得其反的效果。一些非常重要的OT系統(tǒng)已經(jīng)在工廠車間使用了15到25年甚至更長的時間，并且無法拆卸和打補(bǔ)丁，而且即使有適當(dāng)（且安全）的補(bǔ)丁程序，陳舊的OT可能也沒有足夠的內(nèi)存或CPU帶寬來安裝。

步驟5：二次備份/測試恢復(fù)。每當(dāng)OT或IT系統(tǒng)中的任何內(nèi)容發(fā)生更改（例如更新）時，備份/測試還原都必須成為一種根深蒂固的習(xí)慣。這里有個很重要的建議：持續(xù)定期的重復(fù)步驟3到5，新漏洞通常在舊軟件中發(fā)現(xiàn)。

步驟6：啟用日志。CISO不僅必須知道某件事情是如何工作或失敗的，還必須知道為什么它會失敗，日志記錄這個時候就顯得很重要，通過管理和分析日志，CISO團(tuán)隊(duì)能夠了解環(huán)境，盡早發(fā)現(xiàn)威脅并優(yōu)化防御。

隨著越來越多的設(shè)備開始加入IIoT 網(wǎng)絡(luò)，IT 與OT 之間的界限將逐漸消失，直到成為一個或相同的系統(tǒng)為止。在兩者融合的過程中，如果企業(yè)的新CISO采取這六個基本但必不可少的步驟，并習(xí)慣性地重復(fù)那些需要重復(fù)的步驟，那么他們可以確信他們已經(jīng)做的很扎實(shí)，將企業(yè)的OT風(fēng)險降至到最低了。

來源：安全內(nèi)參