近期美國關鍵基礎設施遭遇的攻擊和美國政府的幾項行動，包括2021年7月28日美國總統拜登簽署的國家安全備忘錄，無不昭示工業控制系統(ICS)網絡安全功能現代化的緊迫性。

美國關鍵行業基礎設施中90%是私有的，當前狀況下，勒索軟件攻擊和對基礎設施的探測依舊活躍。因此，盡管備忘錄強調公私伙伴關系和自愿合作，但傳達出的信息很明確：鑒于美國關鍵基礎設施目前的安全脆弱程度，希望基礎設施擁有者和運營商能夠達到美國國家標準與技術研究所(NIST)和網絡安全與基礎設施安全局(CISA)列出的績效目標，并實現各種技術，為控制系統帶來可見性、風險管理和檢測功能。

本文旨在提供可行建議，幫助關鍵基礎設施企業的首席信息安全官(CISO)及其團隊加強自身工業網絡安全計劃。其中包括應詢問供應商的幾個關鍵問題，可以通過這些問題確保企業獲得必要的工業環境可見性，從而了解需要保護哪些內容，應采取哪些具體措施來掌握和降低風險，以及該如何評估威脅檢測與響應能力。

本文中，我們將工業網絡安全問題放到企業大背景下觀察，研究如何全面保障安全。運用本文中的方法，企業不僅可以盡可能利用現有資源和人員最大化投資回報，還可以顯著提升效率，實現覆蓋整個企業的全面風險管理。

連接IT與OT所面臨的挑戰

工業網絡推動業務順利進行。但很多時候，保護和優化這些網絡的工作往往幾乎與其他業務環節完全脫節。任何業務決策都應該重點考慮風險因素。然而，考慮到運營場所的復雜性和必須克服的獨特困難，企業風險管理計劃通常會忽略工業網絡風險。

運營技術(OT)網絡安全與其他業務之間的脫節，可歸咎于難以實現OT環境可見性、缺乏工業網絡安全專業知識，以及不兼容IT安全工具。由于料想自己需要不同技術集和工具，很多企業一來就著手設置單獨的OT治理流程和安全運營中心(SOC)。

這么做會引發幾個方面的問題：

• 招聘和留住OT安全專家既難又貴。
• 對手可不把IT和OT分開看待。攻擊都是聯動的，因此你肯定不想因為設了兩個獨立的SOC或者兩個獨立的團隊就漏掉這種聯系。
• 重復建設現有治理流程和加倍投入協調資源純屬浪費時間和精力。

單個SOC構建統一戰線

最佳網絡防御戰略是構建統一戰線來抵御IT和OT威脅。因此，關鍵基礎設施公司需要從整體上考慮網絡安全，由單個SOC統一保護這些曾經獨立的環境。規劃前進路線時，可考慮以下幾點成功的關鍵：

• 將保護工業環境安全的職責歸集到CISO身上。這么做可以確保企業工業網絡安全計劃，以及將工業網絡安全與其他業務聯系起來的計劃，都是從上到下驅動的，而且符合企業的獨特需求。融合IT/OT SOC只聽命于唯一的領導，具有明確定義的崗位和職責，可交付覆蓋整個攻擊面的跨工作流連續性。企業可以采用相同的流程和報告指標進行治理，實現全面的風險管理與合規。
• 任命其他領導團隊成員。指定一名IT/OT網絡安全項目經理，他將在項目實施中發揮核心作用。確保挑選注重細節的強勢領導者來監督這項工作，此外，他還必須了解并尊重IT和OT團隊的工作重點差異。管理IT的團隊通常優先考慮數據的機密性、完整性和可用性，而維持OT網絡的團隊則通常優先考慮工業流程和運營的可用性、可靠性與安全性。另外，每個OT站點都需要指定網絡安全站點負責人。此人將作為現場OT人員和SOC之間的聯絡員，并在必要的時候主管事件響應工作。
• 確保集成現有IT安全資源。為支持統一的IT和OT網絡威脅防御，企業的工業網絡安全解決方案必須盡可能與現有IT安全系統和工作流程相集成。這些集成應涵蓋廣泛的用例，包括安全信息與事件管理(SIEM)，工作流管理，安全編排、自動化與響應(SOAR)，以及網絡基礎設施工具。手頭有豐富的有效集成可用，有助于將核心IT網絡安全控制擴展到OT，同時降低現有工具的總擁有成本(TCO)，平滑OT網絡安全學習曲線。現有團隊也就有機會培養各項寶貴技能，而企業也無需另外聘請OT SOC分析師了。

全世界的工業網絡安全領導都面臨著加強OT網絡安全運營的壓力。只要讓CISO總攬安全職責，設置統一的SOC，創建IT和OT團隊都可以使用的解決方案，企業就可以將自身工業網絡安全計劃與IT計劃以及其他業務聯系起來。這么做不僅可以優化企業的資源(人才、預算和時間)，還可以獲得覆蓋整個攻擊面的連續性。企業的最終目標是可以縱覽治理、風險和合規計劃，執行覆蓋整個企業的風險管理戰略。