近期美國關鍵基礎設施遭遇的攻擊和美國政府的幾項行動，包括2021年7月28日美國總統(tǒng)拜登簽署的國家安全備忘錄，無不昭示工業(yè)控制系統(tǒng)(ICS)網絡安全功能現(xiàn)代化的緊迫性。

美國關鍵行業(yè)基礎設施中90%是私有的，當前狀況下，勒索軟件攻擊和對基礎設施的探測依舊活躍。因此，盡管備忘錄強調公私伙伴關系和自愿合作，但傳達出的信息很明確：鑒于美國關鍵基礎設施目前的安全脆弱程度，希望基礎設施擁有者和運營商能夠達到美國國家標準與技術研究所(NIST)和網絡安全與基礎設施安全局(CISA)列出的績效目標，并實現(xiàn)各種技術，為控制系統(tǒng)帶來可見性、風險管理和檢測功能。

本文旨在提供可行建議，幫助關鍵基礎設施企業(yè)的首席信息安全官(CISO)及其團隊加強自身工業(yè)網絡安全計劃。其中包括應詢問供應商的幾個關鍵問題，可以通過這些問題確保企業(yè)獲得必要的工業(yè)環(huán)境可見性，從而了解需要保護哪些內容，應采取哪些具體措施來掌握和降低風險，以及該如何評估威脅檢測與響應能力。

本文中，我們將工業(yè)網絡安全問題放到企業(yè)大背景下觀察，研究如何全面保障安全。運用本文中的方法，企業(yè)不僅可以盡可能利用現(xiàn)有資源和人員最大化投資回報，還可以顯著提升效率，實現(xiàn)覆蓋整個企業(yè)的全面風險管理。

連接IT與OT所面臨的挑戰(zhàn)

工業(yè)網絡推動業(yè)務順利進行。但很多時候，保護和優(yōu)化這些網絡的工作往往幾乎與其他業(yè)務環(huán)節(jié)完全脫節(jié)。任何業(yè)務決策都應該重點考慮風險因素。然而，考慮到運營場所的復雜性和必須克服的獨特困難，企業(yè)風險管理計劃通常會忽略工業(yè)網絡風險。

運營技術(OT)網絡安全與其他業(yè)務之間的脫節(jié)，可歸咎于難以實現(xiàn)OT環(huán)境可見性、缺乏工業(yè)網絡安全專業(yè)知識，以及不兼容IT安全工具。由于料想自己需要不同技術集和工具，很多企業(yè)一來就著手設置單獨的OT治理流程和安全運營中心(SOC)。

這么做會引發(fā)幾個方面的問題：

• 招聘和留住OT安全專家既難又貴。
• 對手可不把IT和OT分開看待。攻擊都是聯(lián)動的，因此你肯定不想因為設了兩個獨立的SOC或者兩個獨立的團隊就漏掉這種聯(lián)系。
• 重復建設現(xiàn)有治理流程和加倍投入協(xié)調資源純屬浪費時間和精力。

單個SOC構建統(tǒng)一戰(zhàn)線

最佳網絡防御戰(zhàn)略是構建統(tǒng)一戰(zhàn)線來抵御IT和OT威脅。因此，關鍵基礎設施公司需要從整體上考慮網絡安全，由單個SOC統(tǒng)一保護這些曾經獨立的環(huán)境。規(guī)劃前進路線時，可考慮以下幾點成功的關鍵：

• 將保護工業(yè)環(huán)境安全的職責歸集到CISO身上。這么做可以確保企業(yè)工業(yè)網絡安全計劃，以及將工業(yè)網絡安全與其他業(yè)務聯(lián)系起來的計劃，都是從上到下驅動的，而且符合企業(yè)的獨特需求。融合IT/OT SOC只聽命于唯一的領導，具有明確定義的崗位和職責，可交付覆蓋整個攻擊面的跨工作流連續(xù)性。企業(yè)可以采用相同的流程和報告指標進行治理，實現(xiàn)全面的風險管理與合規(guī)。
• 任命其他領導團隊成員。指定一名IT/OT網絡安全項目經理，他將在項目實施中發(fā)揮核心作用。確保挑選注重細節(jié)的強勢領導者來監(jiān)督這項工作，此外，他還必須了解并尊重IT和OT團隊的工作重點差異。管理IT的團隊通常優(yōu)先考慮數(shù)據(jù)的機密性、完整性和可用性，而維持OT網絡的團隊則通常優(yōu)先考慮工業(yè)流程和運營的可用性、可靠性與安全性。另外，每個OT站點都需要指定網絡安全站點負責人。此人將作為現(xiàn)場OT人員和SOC之間的聯(lián)絡員，并在必要的時候主管事件響應工作。
• 確保集成現(xiàn)有IT安全資源。為支持統(tǒng)一的IT和OT網絡威脅防御，企業(yè)的工業(yè)網絡安全解決方案必須盡可能與現(xiàn)有IT安全系統(tǒng)和工作流程相集成。這些集成應涵蓋廣泛的用例，包括安全信息與事件管理(SIEM)，工作流管理，安全編排、自動化與響應(SOAR)，以及網絡基礎設施工具。手頭有豐富的有效集成可用，有助于將核心IT網絡安全控制擴展到OT，同時降低現(xiàn)有工具的總擁有成本(TCO)，平滑OT網絡安全學習曲線?，F(xiàn)有團隊也就有機會培養(yǎng)各項寶貴技能，而企業(yè)也無需另外聘請OT SOC分析師了。

全世界的工業(yè)網絡安全領導都面臨著加強OT網絡安全運營的壓力。只要讓CISO總攬安全職責，設置統(tǒng)一的SOC，創(chuàng)建IT和OT團隊都可以使用的解決方案，企業(yè)就可以將自身工業(yè)網絡安全計劃與IT計劃以及其他業(yè)務聯(lián)系起來。這么做不僅可以優(yōu)化企業(yè)的資源(人才、預算和時間)，還可以獲得覆蓋整個攻擊面的連續(xù)性。企業(yè)的最終目標是可以縱覽治理、風險和合規(guī)計劃，執(zhí)行覆蓋整個企業(yè)的風險管理戰(zhàn)略。