對于IT系統(tǒng)來說，大家比較熟悉，但對于以工業(yè)自動化控制系統(tǒng)為代表的OT(操作技術(shù))系統(tǒng)卻要相對陌生。實際上近年來針對OT發(fā)動的攻擊卻此起彼伏，如電力、醫(yī)療、公共設(shè)施等，安全己轉(zhuǎn)向IT和OT協(xié)同防護。

[[251892]]

常被忽視的OT

首先，我們來了解下IT與OT。IT即信息技術(shù)，是用于管理和處理信息所采用的各種技術(shù)總稱，主要是應(yīng)用計算機科學(xué)和通信技術(shù)來設(shè)計、開發(fā)、安裝和實施信息系統(tǒng)及應(yīng)用軟件。而OT (Operational Technology)，則指操作技術(shù)，是工廠內(nèi)的自動化控制系統(tǒng)操作專員為自動化控制系統(tǒng)提供支持，確保生產(chǎn)正常進行的專業(yè)技術(shù)。

一般來說，在網(wǎng)絡(luò)風(fēng)險面前，IT系統(tǒng)擁有較為健全的安全體系，其防護也備受重視，然而如今生產(chǎn)過程已同信息交互結(jié)合的越來越緊密，甚至要呼喚新的運營模式，好讓IT和OT進一步深度融合，形成一個貫穿整個制造企業(yè)的技術(shù)架構(gòu)。但事實上，面向OT系統(tǒng)的安全威脅卻常被忽視。這不僅由于OT中的安全程序和技術(shù)應(yīng)用與IT系統(tǒng)大相徑庭，還由于每個垂直行業(yè)業(yè)務(wù)特征存在較多差異。可實際上OT系統(tǒng)面臨的問題與IT系統(tǒng)同樣嚴峻。

OT安全怎樣搞?

在2018年Verizon數(shù)據(jù)違規(guī)調(diào)查報告(DBIR)中，除了金融服務(wù)行業(yè)外的OT系統(tǒng)違規(guī)行為(不是事故)高達649個，占該報告違規(guī)行為中的29.2%。這意味著雖然并未直接出現(xiàn)安全事故，但這些OT系統(tǒng)中卻存在“網(wǎng)絡(luò)珍珠港”，隨時可發(fā)生大災(zāi)難。

既然之前被忽視了，那從現(xiàn)在開始，對于OT安全就要重視起來，可具體要怎樣搞呢?擁有OT系統(tǒng)的企業(yè)在應(yīng)對安全威脅時，可以從下面3點入手。

1. 企業(yè)環(huán)境都不了解 沒法防

如果企業(yè)沒有花時間來清點其系統(tǒng)并評估給定環(huán)境的安全狀況，那么這個企業(yè)就處于嚴重的危機中。而一旦管理者不了解其中的基礎(chǔ)架構(gòu)，各平臺的連接方式，使用或生成的數(shù)據(jù)，以及這些數(shù)據(jù)對業(yè)務(wù)的影響，那么要想保護其IT/OT環(huán)境不受侵擾簡直是不可能的。

因此，對于傳統(tǒng)的工業(yè)化環(huán)境來說，一定要先清楚自身的基礎(chǔ)架構(gòu)、系統(tǒng)環(huán)境，對各種可能發(fā)生的威脅展開預(yù)判與監(jiān)控。這樣的話，面對攻擊時，企業(yè)也能夠快速地檢測到并及時處置。

2. IT和OT要協(xié)同防護

在了解了企業(yè)環(huán)境后，就要將IT和OT的安全防護協(xié)同起來，不僅僅是在架構(gòu)層面，還要在內(nèi)部團隊、安全廠商等層面上建立協(xié)同機制。通過幾方協(xié)同把防護機制建立起來，把工業(yè)主機保護好，確立長期的漏洞攻防機制，IT和OT協(xié)同的應(yīng)急響應(yīng)處置機制等。

而促使IT和OT協(xié)同防護的另一個原因，還有網(wǎng)絡(luò)邊界的日益模糊。比如2017年國家電網(wǎng)公司的互聯(lián)網(wǎng)邊界就曾遭受不同程度的網(wǎng)絡(luò)攻擊，攻擊數(shù)量同比增長將近50%，在2018年上半年該數(shù)字則同比翻了一倍。在這種嚴峻的態(tài)勢下，如果將IT和OT防護割裂開，顯然是不切實際的。

此外，強化安全廠商、工控廠商、系統(tǒng)集成商，甚至監(jiān)管部門間的無間協(xié)作也相當(dāng)重要。一旦發(fā)現(xiàn)安全隱患，或安全廠商收集到OT相關(guān)的威脅情報，能夠及時將其同步給企業(yè)、監(jiān)管部門形成協(xié)同聯(lián)動，讓工業(yè)企業(yè)可以迅速做出響應(yīng)，贏得時間。

3. 網(wǎng)絡(luò)分段不能少

除了建設(shè)協(xié)同機制，網(wǎng)絡(luò)分段亦不能少。這是由于許多OT系統(tǒng)部署在扁平網(wǎng)絡(luò)拓撲內(nèi)，而在不應(yīng)該產(chǎn)生交互的系統(tǒng)之間沒有任何分段，為蓄意攻擊提供了跳板。那么具體該如何做呢?

在評估網(wǎng)絡(luò)拓撲和數(shù)據(jù)流之后，開發(fā)出網(wǎng)絡(luò)分段策略就很必要了。這些策略類似于描述控制訪問的區(qū)域和管道的各種行業(yè)標準語言。而這些策略的目標則是減輕與異常網(wǎng)絡(luò)流量相關(guān)的漏洞或問題的潛在損害。當(dāng)然，完全的隔離無法實現(xiàn)，但只要連接，盡量僅在IT、OT系統(tǒng)間傳遞所需的必要流量，并且應(yīng)該強制執(zhí)行各個區(qū)域之間的通信路徑限制等手段進行安全監(jiān)管。

結(jié)語

隨著5G臨近，萬物互聯(lián)時代即將開啟，網(wǎng)絡(luò)的邊界更加模糊，如何確保涉及國計民生的OT系統(tǒng)安全，顯然不能將其孤立考慮。這時，IT和OT的協(xié)同防護無疑更為靠譜。此外，建設(shè)必要的威脅態(tài)勢感知系統(tǒng)，通過應(yīng)用人工智能和大數(shù)據(jù)技術(shù)，實現(xiàn)安全數(shù)據(jù)、環(huán)境數(shù)據(jù)、情報數(shù)據(jù)的關(guān)聯(lián)分析，實現(xiàn)對威脅的快速識別與有效處置，最終達到攻擊事件過程可追溯，攻擊鏈路可揭示，讓攻擊者無所遁形的目的。