對于IT系統(tǒng)來說，大家比較熟悉，但對于以工業(yè)自動化控制系統(tǒng)為代表的OT(操作技術(shù))系統(tǒng)卻要相對陌生。實(shí)際上近年來針對OT發(fā)動的攻擊卻此起彼伏，如電力、醫(yī)療、公共設(shè)施等，安全己轉(zhuǎn)向IT和OT協(xié)同防護(hù)。

[[251892]]

常被忽視的OT

首先，我們來了解下IT與OT。IT即信息技術(shù)，是用于管理和處理信息所采用的各種技術(shù)總稱，主要是應(yīng)用計(jì)算機(jī)科學(xué)和通信技術(shù)來設(shè)計(jì)、開發(fā)、安裝和實(shí)施信息系統(tǒng)及應(yīng)用軟件。而OT (Operational Technology)，則指操作技術(shù)，是工廠內(nèi)的自動化控制系統(tǒng)操作專員為自動化控制系統(tǒng)提供支持，確保生產(chǎn)正常進(jìn)行的專業(yè)技術(shù)。

一般來說，在網(wǎng)絡(luò)風(fēng)險(xiǎn)面前，IT系統(tǒng)擁有較為健全的安全體系，其防護(hù)也備受重視，然而如今生產(chǎn)過程已同信息交互結(jié)合的越來越緊密，甚至要呼喚新的運(yùn)營模式，好讓IT和OT進(jìn)一步深度融合，形成一個(gè)貫穿整個(gè)制造企業(yè)的技術(shù)架構(gòu)。但事實(shí)上，面向OT系統(tǒng)的安全威脅卻常被忽視。這不僅由于OT中的安全程序和技術(shù)應(yīng)用與IT系統(tǒng)大相徑庭，還由于每個(gè)垂直行業(yè)業(yè)務(wù)特征存在較多差異?？蓪?shí)際上OT系統(tǒng)面臨的問題與IT系統(tǒng)同樣嚴(yán)峻。

OT安全怎樣搞?

在2018年Verizon數(shù)據(jù)違規(guī)調(diào)查報(bào)告(DBIR)中，除了金融服務(wù)行業(yè)外的OT系統(tǒng)違規(guī)行為(不是事故)高達(dá)649個(gè)，占該報(bào)告違規(guī)行為中的29.2%。這意味著雖然并未直接出現(xiàn)安全事故，但這些OT系統(tǒng)中卻存在“網(wǎng)絡(luò)珍珠港”，隨時(shí)可發(fā)生大災(zāi)難。

既然之前被忽視了，那從現(xiàn)在開始，對于OT安全就要重視起來，可具體要怎樣搞呢?擁有OT系統(tǒng)的企業(yè)在應(yīng)對安全威脅時(shí)，可以從下面3點(diǎn)入手。

1. 企業(yè)環(huán)境都不了解 沒法防

如果企業(yè)沒有花時(shí)間來清點(diǎn)其系統(tǒng)并評估給定環(huán)境的安全狀況，那么這個(gè)企業(yè)就處于嚴(yán)重的危機(jī)中。而一旦管理者不了解其中的基礎(chǔ)架構(gòu)，各平臺的連接方式，使用或生成的數(shù)據(jù)，以及這些數(shù)據(jù)對業(yè)務(wù)的影響，那么要想保護(hù)其IT/OT環(huán)境不受侵?jǐn)_簡直是不可能的。

因此，對于傳統(tǒng)的工業(yè)化環(huán)境來說，一定要先清楚自身的基礎(chǔ)架構(gòu)、系統(tǒng)環(huán)境，對各種可能發(fā)生的威脅展開預(yù)判與監(jiān)控。這樣的話，面對攻擊時(shí)，企業(yè)也能夠快速地檢測到并及時(shí)處置。

2. IT和OT要協(xié)同防護(hù)

在了解了企業(yè)環(huán)境后，就要將IT和OT的安全防護(hù)協(xié)同起來，不僅僅是在架構(gòu)層面，還要在內(nèi)部團(tuán)隊(duì)、安全廠商等層面上建立協(xié)同機(jī)制。通過幾方協(xié)同把防護(hù)機(jī)制建立起來，把工業(yè)主機(jī)保護(hù)好，確立長期的漏洞攻防機(jī)制，IT和OT協(xié)同的應(yīng)急響應(yīng)處置機(jī)制等。

而促使IT和OT協(xié)同防護(hù)的另一個(gè)原因，還有網(wǎng)絡(luò)邊界的日益模糊。比如2017年國家電網(wǎng)公司的互聯(lián)網(wǎng)邊界就曾遭受不同程度的網(wǎng)絡(luò)攻擊，攻擊數(shù)量同比增長將近50%，在2018年上半年該數(shù)字則同比翻了一倍。在這種嚴(yán)峻的態(tài)勢下，如果將IT和OT防護(hù)割裂開，顯然是不切實(shí)際的。

此外，強(qiáng)化安全廠商、工控廠商、系統(tǒng)集成商，甚至監(jiān)管部門間的無間協(xié)作也相當(dāng)重要。一旦發(fā)現(xiàn)安全隱患，或安全廠商收集到OT相關(guān)的威脅情報(bào)，能夠及時(shí)將其同步給企業(yè)、監(jiān)管部門形成協(xié)同聯(lián)動，讓工業(yè)企業(yè)可以迅速做出響應(yīng)，贏得時(shí)間。

3. 網(wǎng)絡(luò)分段不能少

除了建設(shè)協(xié)同機(jī)制，網(wǎng)絡(luò)分段亦不能少。這是由于許多OT系統(tǒng)部署在扁平網(wǎng)絡(luò)拓?fù)鋬?nèi)，而在不應(yīng)該產(chǎn)生交互的系統(tǒng)之間沒有任何分段，為蓄意攻擊提供了跳板。那么具體該如何做呢?

在評估網(wǎng)絡(luò)拓?fù)浜蛿?shù)據(jù)流之后，開發(fā)出網(wǎng)絡(luò)分段策略就很必要了。這些策略類似于描述控制訪問的區(qū)域和管道的各種行業(yè)標(biāo)準(zhǔn)語言。而這些策略的目標(biāo)則是減輕與異常網(wǎng)絡(luò)流量相關(guān)的漏洞或問題的潛在損害。當(dāng)然，完全的隔離無法實(shí)現(xiàn)，但只要連接，盡量僅在IT、OT系統(tǒng)間傳遞所需的必要流量，并且應(yīng)該強(qiáng)制執(zhí)行各個(gè)區(qū)域之間的通信路徑限制等手段進(jìn)行安全監(jiān)管。

結(jié)語

隨著5G臨近，萬物互聯(lián)時(shí)代即將開啟，網(wǎng)絡(luò)的邊界更加模糊，如何確保涉及國計(jì)民生的OT系統(tǒng)安全，顯然不能將其孤立考慮。這時(shí)，IT和OT的協(xié)同防護(hù)無疑更為靠譜。此外，建設(shè)必要的威脅態(tài)勢感知系統(tǒng)，通過應(yīng)用人工智能和大數(shù)據(jù)技術(shù)，實(shí)現(xiàn)安全數(shù)據(jù)、環(huán)境數(shù)據(jù)、情報(bào)數(shù)據(jù)的關(guān)聯(lián)分析，實(shí)現(xiàn)對威脅的快速識別與有效處置，最終達(dá)到攻擊事件過程可追溯，攻擊鏈路可揭示，讓攻擊者無所遁形的目的。