確保發(fā)電廠(chǎng)、水處理設(shè)施、運(yùn)輸系統(tǒng)和其他關(guān)鍵基礎(chǔ)設(shè)施的硬件和軟件系統(tǒng)的安全，需要網(wǎng)絡(luò)可見(jiàn)性、脆弱性評(píng)估和整體戰(zhàn)略和事件響應(yīng)計(jì)劃。

　　隨著國(guó)家越來(lái)越依賴(lài)技術(shù)為關(guān)鍵基礎(chǔ)設(shè)施和政府運(yùn)作提供動(dòng)力，確保運(yùn)營(yíng)技術(shù)的需求變得越來(lái)越重要。OT包括用于控制和監(jiān)測(cè)電廠(chǎng)、水處理設(shè)施、運(yùn)輸系統(tǒng)和其他關(guān)鍵基礎(chǔ)設(shè)施的物理過(guò)程的硬件和軟件系統(tǒng)。這些系統(tǒng)在確保社區(qū)安全和福祉方面發(fā)揮著至關(guān)重要的作用，對(duì)其運(yùn)行的任何破壞都可能造成嚴(yán)重后果。

　　確保OT安全的挑戰(zhàn)在于，這些系統(tǒng)是為了可靠性和安全性而開(kāi)發(fā)的，而不是為了安全性。許多OT系統(tǒng)是在幾十年前開(kāi)發(fā)的，并不是為了連接到互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)而設(shè)計(jì)的。因此，它們往往缺乏基本的安全功能，如加密、身份驗(yàn)證和訪(fǎng)問(wèn)控制。OT系統(tǒng)也很難更新或打補(bǔ)丁，因?yàn)樗鼈兺ǔＩ钋对诨A(chǔ)設(shè)施中，不容易更換或升級(jí)。

　　盡管存在這些挑戰(zhàn)，安全團(tuán)隊(duì)采取措施保護(hù)OT系統(tǒng)以防止網(wǎng)絡(luò)攻擊和惡意威脅至關(guān)重要。以下是提高OT安全性和抵御現(xiàn)代威脅媒介的六個(gè)步驟計(jì)劃。

　　1.將可見(jiàn)性擴(kuò)展到融合的IT/OT部分，對(duì)網(wǎng)絡(luò)上的所有資產(chǎn)進(jìn)行盤(pán)點(diǎn)。

　　首先識(shí)別所有連接到網(wǎng)絡(luò)的設(shè)備和系統(tǒng)，以及任何漏洞或潛在的攻擊媒介。然后可以使用這些信息來(lái)開(kāi)發(fā)一個(gè)全面的安全策略，以解決每個(gè)系統(tǒng)的獨(dú)特風(fēng)險(xiǎn)和挑戰(zhàn)。

　　許多組織都有大型、復(fù)雜的網(wǎng)絡(luò)，其中包括廣泛的OT系統(tǒng)，通常跨越多個(gè)設(shè)施和地理位置。如果不清楚網(wǎng)絡(luò)上有什么，就很難制定有效的安全計(jì)劃。此外，許多OT系統(tǒng)不是集中管理的，這使得跟蹤所有正在使用的設(shè)備和系統(tǒng)變得具有挑戰(zhàn)性。

　　獲得更好的OT系統(tǒng)和資產(chǎn)可見(jiàn)性的一種常見(jiàn)方法是使用網(wǎng)絡(luò)評(píng)估工具，該工具可以根據(jù)IP地址或其他網(wǎng)絡(luò)標(biāo)識(shí)符識(shí)別設(shè)備和系統(tǒng)。這些工具可以配置為評(píng)估整個(gè)網(wǎng)絡(luò)或特定子集。他們可以提供每臺(tái)設(shè)備的詳細(xì)信息，包括制造商和型號(hào)、操作系統(tǒng)和安裝的軟件。但是，安全團(tuán)隊(duì)?wèi)?yīng)該確保為OT環(huán)境選擇經(jīng)過(guò)驗(yàn)證的或?qū)ｉT(mén)構(gòu)建的工具，因?yàn)殄e(cuò)誤的工具集可能會(huì)造成更大的損害。

　　另一種發(fā)現(xiàn)方法是使用被動(dòng)網(wǎng)絡(luò)監(jiān)控工具根據(jù)網(wǎng)絡(luò)流量識(shí)別設(shè)備和系統(tǒng)。這些工具可以檢測(cè)和分析網(wǎng)絡(luò)流量，以識(shí)別可能表明存在OT系統(tǒng)的模式和異常。這種方法對(duì)于識(shí)別網(wǎng)絡(luò)掃描工具可能看不到的設(shè)備特別有用，例如不使用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的遺留系統(tǒng)。被動(dòng)監(jiān)控在OT部署中也有局限性，因?yàn)樵S多這些設(shè)備在設(shè)計(jì)為在低帶寬環(huán)境中運(yùn)行時(shí)，除非與之通話(huà)，否則不會(huì)說(shuō)話(huà)。

　　2.評(píng)估OT漏洞和安全狀態(tài)

　　一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)了資產(chǎn)，下一步就是評(píng)估其安全狀態(tài)并識(shí)別任何漏洞或潛在的攻擊媒介。除了補(bǔ)丁管理之外，安全團(tuán)隊(duì)不僅要知道他們?cè)谀睦锶菀资艿焦簦€要了解跨攻擊路徑的資產(chǎn)、暴露、錯(cuò)誤配置、特權(quán)和威脅之間的關(guān)系。此信息有助于確定漏洞補(bǔ)救和其他安全工作的優(yōu)先級(jí)，同時(shí)釋放資源以專(zhuān)注于關(guān)鍵任務(wù)工作。

　　對(duì)于這一步，考慮使用漏洞評(píng)估工具來(lái)識(shí)別軟件和操作系統(tǒng)中的已知漏洞。這些工具還可以檢查是否符合行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐，例如國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的網(wǎng)絡(luò)安全框架或工業(yè)控制系統(tǒng)的ISA/IEC62443安全標(biāo)準(zhǔn)。

　　滲透測(cè)試是另一個(gè)重要的策略。滲透測(cè)試涉及模擬對(duì)系統(tǒng)的真實(shí)攻擊，以識(shí)別弱點(diǎn)，例如可能被攻擊者利用的錯(cuò)誤配置或客戶(hù)代碼漏洞。滲透測(cè)試甚至可以揭示特定于特定OT環(huán)境的弱點(diǎn)。

　　滲透測(cè)試是另一個(gè)重要的策略。滲透測(cè)試涉及模擬對(duì)系統(tǒng)的真實(shí)攻擊，以識(shí)別弱點(diǎn)，例如可能被攻擊者利用的錯(cuò)誤配置或客戶(hù)代碼漏洞。滲透測(cè)試甚至可以揭示特定于特定OT環(huán)境的弱點(diǎn)。

　　將自動(dòng)化漏洞評(píng)估工具與滲透測(cè)試相結(jié)合，是識(shí)別漏洞緩解并確定其優(yōu)先級(jí)的有效“一二二”組合。

　　3.制定全面的OT安全計(jì)劃

　　一旦確定了漏洞，下一步就是制定一個(gè)全面的安全計(jì)劃，以解決每個(gè)系統(tǒng)的獨(dú)特風(fēng)險(xiǎn)和挑戰(zhàn)。這可能涉及實(shí)施技術(shù)控制，如防火墻、入侵檢測(cè)系統(tǒng)、特權(quán)訪(fǎng)問(wèn)管理和加密，以及管理控制，如訪(fǎng)問(wèn)控制、安全策略和程序以及員工的安全意識(shí)培訓(xùn)。

　　考慮OT系統(tǒng)的物理安全性也很重要。訪(fǎng)問(wèn)控制、視頻監(jiān)控和報(bào)警系統(tǒng)等物理安全措施可以幫助防止對(duì)OT系統(tǒng)的未經(jīng)授權(quán)訪(fǎng)問(wèn)，并降低物理?yè)p壞或破壞的風(fēng)險(xiǎn)。

　　4.保持OT系統(tǒng)的更新

　　保護(hù)OT系統(tǒng)的另一個(gè)重要方面是確保它們得到適當(dāng)?shù)木S護(hù)和更新。對(duì)于許多OT系統(tǒng)來(lái)說(shuō)，這可能是一個(gè)挑戰(zhàn)，因?yàn)樗鼈兛赡芎茈y在不中斷關(guān)鍵操作的情況下進(jìn)行更新或修補(bǔ)。然而，未能維護(hù)OT系統(tǒng)可能會(huì)使它們?nèi)菀资艿揭阎臀粗陌踩┒匆约坝布收虾推渌赡軐?dǎo)致停機(jī)和中斷的問(wèn)題的影響。為了應(yīng)對(duì)這一挑戰(zhàn)，組織應(yīng)該制定一個(gè)全面的維護(hù)和更新計(jì)劃，包括定期的安全更新、備份和OT系統(tǒng)的測(cè)試。

　　5.開(kāi)發(fā)和測(cè)試OT事件響應(yīng)計(jì)劃

　　除了主動(dòng)的安全措施外，關(guān)鍵組織還需要制定全面的事件響應(yīng)計(jì)劃。該計(jì)劃應(yīng)該跨團(tuán)隊(duì)開(kāi)發(fā)并進(jìn)行測(cè)試，以便在需要時(shí)能夠有效地執(zhí)行。該計(jì)劃應(yīng)包括明確的指揮鏈、隔離和控制受影響系統(tǒng)的程序以及與利益攸關(guān)方溝通和回應(yīng)媒體詢(xún)問(wèn)的程序。

　　以協(xié)調(diào)的方式快速響應(yīng)安全事件，使組織有機(jī)會(huì)將影響降至最低。

　　6.加入IT和OT安全的世界

　　最后，行業(yè)不能在真空中解決OT安全問(wèn)題。組織內(nèi)的網(wǎng)絡(luò)安全、信息安全和工程團(tuán)隊(duì)必須建立伙伴關(guān)系并進(jìn)行協(xié)作以確保安全。這些團(tuán)隊(duì)必須在人員、技術(shù)和流程、治理、標(biāo)準(zhǔn)和法規(guī)等方面達(dá)成一致。

　　建立OT網(wǎng)絡(luò)的彈性

　　雖然IT安全投資在過(guò)去幾十年里飛速增長(zhǎng)，但OT安全支出卻落后了。然而，OT安全預(yù)算的增加通常會(huì)帶來(lái)比IT投資大得多的回報(bào)，這主要是因?yàn)镺T安全對(duì)許多組織來(lái)說(shuō)是如此低的優(yōu)先級(jí)。

　　保護(hù)OT系統(tǒng)可能是一項(xiàng)復(fù)雜且具有挑戰(zhàn)性的任務(wù)，需要多方面的方法，需要數(shù)年才能成熟。但是，發(fā)現(xiàn)網(wǎng)絡(luò)上的資產(chǎn)、評(píng)估暴露和風(fēng)險(xiǎn)、制定包括技術(shù)、管理和物理控制在內(nèi)的全面安全計(jì)劃的好處是值得花費(fèi)時(shí)間和投資的。