歲已余暉短，新年即始，接踵而至各種轉(zhuǎn)型或許為你的業(yè)務提供良機。無論您在過去幾年中的威脅環(huán)境如何駕馭風險，新的時機到來之際都應該在運營技術(OT)安全方面做出明確的決定，決定為我們的業(yè)務和環(huán)境的安全做些什么或不做些什么。

由于物聯(lián)網(wǎng)(IoT)設備在工業(yè)環(huán)境和關鍵基礎設施中的普遍部署，在以后的歲月里，我們將看到更多惡意行為者攻擊OT的漏洞。當然，因為許多OT網(wǎng)絡的設計沒有考慮任何安全性或沒有適當?shù)谋Ｗo措施。此外，就是隨著組織繼續(xù)融合其IT和OT環(huán)境，整個被攻擊面每天都在變得更加復雜，變得越來越廣泛。

[[256834]]

國外安全人員花了很多時間在工廠車間和安全運營中心(SOC)，驚訝于這些從業(yè)者共同面臨的共同挑戰(zhàn)。以下是其建議從業(yè)者應該在2019年關注的內(nèi)容：

1.了解運營技術安全風險就是業(yè)務風險。

理解和溝通風險。要明白風險可能會損害組織的聲譽、導致嚴重的運營問題，例如生產(chǎn)停機、合規(guī)性(違規(guī))處罰和環(huán)境安全。業(yè)務監(jiān)督和執(zhí)行領導可以幫助建立IT和OT之間的協(xié)作文化，以實現(xiàn)雙方的共同利益，最終實現(xiàn)組織的整體利益。雙方有效地相互合作提高組織的安全狀況，可以以增進相互理解，提高關鍵基礎架構(gòu)的可靠性和安全性。

2. 監(jiān)控用戶活動。

從公司IT網(wǎng)絡中的用戶或系統(tǒng)檢測工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡的是否成功認證嘗試也非常重要。如果攻擊者通過受感染的系統(tǒng)訪問您的網(wǎng)絡，他們將嘗試跨越到ICS網(wǎng)絡以定位關鍵基礎架構(gòu)。通過監(jiān)控成功和不成功的登錄嘗試，可以有效識別異常，通過考慮諸如時間、頻率和其他可疑行為等因素。

監(jiān)控來自用戶，供應商或系統(tǒng)集成商的遠程連接也很重要。使用遠程桌面協(xié)議(RDP)的任何人都可以訪問設備允許的所有功能，所以開啟RDP時需要考慮白名單策略，同時白名單策略也是工控系統(tǒng)中常用的安全策略之一。通過VPN提供對ICS網(wǎng)絡的遠程訪問。如果未充分監(jiān)視和控制遠程訪問功能，則未經(jīng)授權(quán)的用戶可能訪問系統(tǒng)或整個ICS網(wǎng)絡。

最后，查找存儲在日志和配置文件中的憑據(jù)。未受保護的密碼和其他憑據(jù)意味著黑客可能完全控制您的系統(tǒng)并在互連網(wǎng)絡中橫向移動，更多系統(tǒng)可能遭受攻擊。為防止出現(xiàn)這種情況，應以安全方式存儲憑據(jù)，若無法安全存儲憑證的情況下，限制(最小特權(quán))和/或監(jiān)視訪問。

3. 檢查防火墻，路由器和交換機的變化。

正確配置的防火墻可用于保護控制系統(tǒng)免受未經(jīng)授權(quán)的訪問，需要對規(guī)則集進行監(jiān)控和檢查，以提供持續(xù)，充分的保護。保護控制系統(tǒng)免受不必要的訪問和可能的攻擊需要實時監(jiān)控防火墻，以快速檢測并啟動對網(wǎng)絡事件的響應。

當然也不能忽視ICS網(wǎng)絡上的路由器和交換機等網(wǎng)絡設備。它們起著允許或拒絕ICS網(wǎng)絡和公司網(wǎng)絡之間的通信功能。通過來自路由器和交換機的適當且準確的日志，可以快速檢測到不需要的網(wǎng)絡訪問(異常網(wǎng)絡訪問)，以快速鎖定異常，減少安全事件。

查看新設備以了解它們在整個環(huán)境中的作用和以及對整個環(huán)境的影響。了解環(huán)境中的每個設備(系統(tǒng)資產(chǎn))將有助于了解系統(tǒng)是否感染了惡意軟件并通過網(wǎng)絡擴散到其他系統(tǒng)。

4. 標記用于交換關鍵信息的不安全協(xié)議。

默認情況下，Telnet，HTTP，F(xiàn)TP或Windows文件共享等協(xié)議是不安全的，意味著公司數(shù)據(jù)有可能通過這些途徑外泄，并且可能會對業(yè)務產(chǎn)生破壞性的后果，這些后果帶來的損失將是高昂的代價。例如，內(nèi)容數(shù)據(jù)通常存在于FTP服務器上若干年，未經(jīng)授權(quán)的個人可以相對容易地訪敏感信息。 所以，慎用這些不安全的協(xié)議同時，如果屬于業(yè)務必須則采取好相應防護措施。

5. 考慮采用機器學習。

機器學習是一個當下比較流行的東西，安全專業(yè)人員越來越擔心惡意攻擊者可能會使用機器學習技術，為未來安全帶來全新挑戰(zhàn)，引發(fā)安全危及。鑒于數(shù)據(jù)量呈現(xiàn)與日俱增的勢頭，網(wǎng)絡威脅數(shù)量的增加以及技術變革的快速發(fā)展，安全分析師亦可以借助機器學習，從中獲益。網(wǎng)絡安全的未來將是需要人力和機器的協(xié)作，不斷融合適當?shù)娜祟惻袛嗯c機器學習能力在一起，最終形成最佳的防御策略。

新春來臨之際，信息安全人員應該從IT部門、OT部門、工廠、SOC和整個企業(yè)一路看下去，去尋找他們基于當下的最完美解決方案。當然，此處說的完美是，企業(yè)具體情況下可以做的最好的狀態(tài)，要知道在信息安全領域，是永遠止境的。信息安全的對抗，一直是魔與道，道高一尺魔高一丈的斗爭，一刻不能松懈的。但是，請相信自古邪不壓正，道路險阻，卻也是必然之路。千百年來，魔道比拼只是戰(zhàn)場不同，從來都是魔高道更高，只不過要修好道心，防止魔心罷了。此處雖是戲言，不過理卻很真哦。

在此，祝大家在新春佳節(jié)來臨之際，祝大家抱得金豬肥又圓，闔家歡樂笑聲傳，觥籌交錯美酒滿，春風得意過好年。