一、IT与OT融合是企业数字化转型的必然趋势
1、什么是IT与OT融合
随着新一轮工业革命的推进,智能化转型正在让现实与虚拟世界之间的界限变得越来越模糊,带有IP地址的网络设备正在快速大面积覆盖智能化工厂。智能工厂是将信息技术(IT)的数字世界与运营技术(OT)的物理世界连接起来, 也就是实现IT与OT的融合。
从OT领域角度看,传统工业自动化公司纷纷延伸其产品的IT 能力,包括联合软件公司拓展的软件实力;IT领域也在不断向OT领域渗透,利用其自身掌握的先进技术以及广阔的市场阵地,紧盯OT领域的“互联、互通、互享”需求,推出带有明显OT特征的产品和技术。
当今数据密集型的环境和工业4.0时代的发展,激发了人们对于数据价值的想象,从而大大促使了OT和IT融合的必要性。IT和OT的融合帮助企业改善业务系统以及各部门之间整体的信息流动,从而更有效达成企业的运营目标。
2、当前的融合趋势
从历史上看,IT和OT分别由独立的组织管理,彼此之间没有任何相互依赖关系。然而,在过去的十年里,缓慢而稳定的模式转变悄然发生。
OT系统越来越多地采用网络和计算技术。IT和OT的两个世界正在融合,为工业物联网(IIoT)奠定了基础,工业物联网是一个互连的传感器、仪器和设备矩阵,收集和共享数据,供制造业、石油和天然气、交通、能源、公用事业等许多行业使用。
IT与OT的融合是由以下需求推动的:优化机器、基础架构资产和应用程序之间的数据收集和交换,同时在物理和虚拟系统之间可操作地扩展流程。这种集成带来许多好处:改善信息流、流程自动化、提高了分布式操作的管理水平,并更好地遵守了法规。
随着越来越多的设备加入IIoT 网络,会有更多机会向前发展。IT 与OT 的融合将为工厂自动化、资产管理和生产制造执行系统提供开箱即用的集成解决方案,其中包括企业级的供应链和企业资源规划 (ERP)应用程序,提供更有价值的数据分析。按照目前的趋势发展下去, IT 与OT 之间的界限将逐渐消失,直到成为一个或相同的系统为止。
3、融合背景下需要融合的网络安全
对于工业组织而言,网络安全从未像现在这样具有挑战性。IT、OT、云和第三方系统之间日益增强的连接性为攻击者提供了更多进入关键系统的方式。抵御这些新漏洞是至关重要的,也是充满挑战的,使得发现、调查和补救网络安全威胁和事件变得更加困难。传统上由IT网络进行突破,形成据点,进而攻陷OT网络的案例已不新鲜,未来由OT网络进行突破而攻陷IT网络的情况也会大概率发生。
在工业4.0时代,企业不仅担心常见的业务中断因素(自然灾害、负面宣传和关键人员流失等),还担心针对关键基础设施和用来虚拟控制它们的智能设备的日益复杂的网络威胁。世界经济论坛(World Economic Forum)最近的一份报告指出,对关键基础设施和战略工业资产的网络攻击已成为全球头五大风险之一。现代ICS容易出现让攻击者利用来进入目标网络的漏洞。工业机器人或任何保持暴露的连接系统都可以很容易地扫描出漏洞,这些漏洞一旦被利用,可能会导致生产有缺陷的商品。安全不足的物联网设备在遭到黑客攻击时,可能会被用来煽动DDoS和其他影响业务的攻击。
对控制系统的攻击很可能导致企业数据泄露,企业IT网络可能会因为一次ICS攻击就全盘崩溃。这是极其可怕的,因为这些OT相关网络肩负诸多关键职能,尤其在电力、水利、运输、通信、能源、制造业、卫生保健等等,如果这些方面遭受到攻击,结果将会是灾难性的。
二、 OT可见性缺失是IT/OT融合下网络安全的最大挑战
1、OT可见是网络安全的前提
现代OT安全需要比传统IT方法更多的要求,需要在构建安全解决方案之后将其连接到网络。约三分之二(65%)的OT网络缺少基于角色的访问控制,从而使攻击者拥有更大的自由度,可以在OT环境中横向移动。我们需要的是一种集成的安全方法,可以可视化和跟踪所有设备,同时应用实时分析以维护态势感知。
当然,你无法保护看不到的东西。目前,有82%的组织无法识别连接到其网络的所有设备。OT安全的挑战之一是工业IoT(IIoT)设备的激增,例如智能环境控制或连接的设备监视器,这些设备为攻击者提供了额外的接入点。因此,确保OT运营的安全需要在环境中的每台设备(有线和无线)加入、离开或从一个位置移动到另一个位置时保持连续的可见性。
一个有效的策略是采用网络访问控制(NAC)来帮助被动清点和管理物联网设备以及其他端点,而不会中断敏感的OT系统。通过将NAC与基于意图的分段(对应用程序进行分组、链接数据并根据策略限制访问的动态、基于角色的控制)相结合,组织可以根据持续的信任评估来不断调整设备的访问权限。
此外,将从所有已识别和跟踪的设备收集的数据与行为分析解决方案和SIEM解决方案相关联,可使OT管理员快速识别受感染的设备。
2、OT可见的标志
为了降低组织的工业环境中的风险,有效地监视和防御对其组织的OT环境的威胁,需要对包括所有资产、通信和流程的详细信息进行实时、细粒度的可见性,因而OT可见性体现在如下几个方面:
——资产可见性
●对OT网络上所有设备的详细可见性,涵盖广泛的属性,例如型号、固件版本、网卡插槽等,这对于精确识别和评估漏洞至关重要。
——网络可见性
●IT安全人员还需要对所有活动和过去的OT网络会话期间的带宽、操作以及所做的更改进行透彻的可见性和监视。这种可见性可以轻松,快速地检测配置错误,流量过载以及其他可能对可靠性,可用性和安全性造成风险的问题。
——流程可视性
●能够跟踪OT操作及涉及OT资产的所有过程的代码段更改和标记值,对于识别OT过程值的异常更改或指示早期攻击、操作可靠性问题的异常行为也至关重要,还有工业环境中的其他潜在风险。
3、OT可见性缺失的原因
由于多种因素,很难获得运营技术(OT)网络的可见性,原因主要包括:
——非标准化技术
●与IT软件和硬件形成鲜明对比的是,OT设备的使用寿命可达数十年。在许多情况下,公司会同时使用新旧设备以及不同供应商的设备。更为复杂的是,许多组织的OT环境广泛分布在数十个甚至数百个物理站点或工厂中。
——专有协议
●OT设备使用设备制造商的专有协议进行通信,并且无法使用仅能够解析开放IT协议的传统IT安全工具来解密这些协议。
——潜在中断成本
●由于许多生产环境依赖于操作连续性来确保获利能力,因此进行全面的OT资产清查的机会成本通常被认为是过高的。另一方面,由于从CISO的角度来看,对OT安全威胁视而不见的潜在成本同样高得令人望而却步,因此,这种动态变化给许多组织带来了困境。
——远程访问连接
●内部支持人员或第三方供应商通常使用远程访问连接来服务OT资产。这些远程会话的可见性对于审核,变更管理和风险评估至关重要,但是传统的IT远程访问解决方案不适用于工业环境。
——缺乏细粒度数据
●为了精确地识别和评估威胁和漏洞,IT安全团队需要对粒度属性(例如确切的模型,固件版本和配置)具有可见性,以使资产与CVE相匹配。
三、 IT/OT融合背景下网络安全的思考建议
1、消除/降低复杂性
当你尝试将相同的IT攻略应用于OT环境时,将会引入不必要的复杂性。诸如在OT网络内进行冗长的物理分段项目,部署多个安全工具,这类措施的实施困难不小,也不会立即降低风险。只需要一个可以立即开始执行的计划,以获得可见性,从而降低风险。
●从 “待办事项清单”中删除所有没有增加价值的事项。 例如,在OT 网络中二级及以下端点上实现端点检测和响应(EDR)解决方案。在实时控制器上安装这些解决方案会消除制造商的保证。可以预料到工程师的反对,因为这些实时机器控制着不能被破坏的物理过程。当尝试在这些机器上安装EDR 解决方案时,将面临一场注定失败的战斗,更重要的是,应该花时间去尝试。
●OT网络流量是一种数据丰富的资源,应善于利用。对手可能已经在网络中,可能由于严重的盲点而未能察觉。但是EDR解决方案并不是解决问题的办法。OT网络的设计目的是通信和共享更多的信息,这些信息通常来自 IT组件,包括它们正在运行的软件版本、固件、序列号等。OT网络流量提供了监控威胁所需的所有安全信息。考虑可以快速实现的解决方案,用于资产可见性和持续的威胁监视。
●部署虚拟分段。当在OT网络内执行物理分段项目时(例如,对Level 1和Level 2进行分段,或将DCS分段到安全系统),将虚拟分段部署到ICS网络内的区域。当恶意攻击者试图建立据点、跳跃板并在环境中移动时,有利于及时发现横向移动。或者,它将识别流程设置的操作问题,这对于实现正常运行时间和可用性的目标同样重要。在网络的某些层次上,无法真正阻止流量,因为这样做还会停止物理进程,并且可能会造成安全问题。但是,这种类型的分段可以改善网络监视和访问控制,并在攻击者已建立据点的情况下极大地缩短响应时间,节省成本并减少停机时间。此外,虚拟分段可提供整个网络的可见性,从而可以为物理分段项目提供信息。因此,不仅在当前大大降低了风险,而且还在加速和改善长期的物理分段工作的成果。
这些只是一些建议和例子,说明如何保护OT网络,而无需尝试重新调整IT攻略的用途,并消除流程中的复杂性。
2、整合IT和OT团队
大多数财富500强公司都得到了董事会和预算的支持,以加强其OT网络的安全。但是,当他们开始构建安全规划时,他们很快就会意识到IT和OT团队之间并没有完全保持一致。这种脱节主要体现在两个方面。
错位的第一个来源来自保密性、完整性和可用性(CIA) 三个因素,因为IT和OT团队对这三个原则的优先顺序不同。管理信息安全的团队通常将数据的机密性置于完整性和可用性之上,而运行OT网络的团队则将可用性(或正常运行时间)置于完整性和机密性之上。为了在弥合IT-OT安全差距,必须尊重这些优先事项。对于OT团队来说,实施新的安全控制、补丁或系统升级带来的中断和停机风险是不可能的。更不用说,对运行生产环境的价值数百万美元系统进行更改,通常会使保修无效。
另一方面是孤立的团队和努力的结果。随着大型组织开始专注于保护他们的OT 网络,经常看到许多不同的团队在进行这个项目,每个团队都有不同的视角。例如,可能有一个工程团队负责从OT网络获取资产信息。网络安全团队负责监控这些网络。第三个团队负责漏洞管理。由于时间紧迫,每个人都跑得很快,而且没有得到很好的安排。他们每个人都在寻找工具来帮助他们处理特定的用例,因为他们之间没有进行协调,没有意识到通常相同的技术可以应用于不同的用例。当没有中央协调、决策或预算时,没有人会从整体上考虑安全平台。这削弱了为加强OT安全而进行的所有投资的收益和价值。
好消息是,大多数组织都是白手起家,可以设计OT安全程序,而不必担心现有的安全技术。这意味着你可以对最重要的用例进行优先级排序并实现它们。
OT网络的设计宗旨是通信和共享更多的信息,这些信息包括它们运行的软件版本、固件、序列号、网卡插槽等等。由于OT网络流量提供了所有需要监视的安全信息,以防止威胁和漏洞,因此可以使用相同的技术实现顶级用例——不需要单独的工具。单一的、无代理的资产可见性和持续的威胁监视解决方案满足各个团队的目标,并且可以在不影响生产力或造成停机的情况下实现。
3、简化网络安全治理
许多组织都在为如何将新的管理和流程纳入现有的IT框架而挣扎。一些组织开始重新创建独立的治理流程和安全运营中心(SOC) ,因为他们认为需要不同的技能和工具。这种方法基本上是不可取的,原因如下。
●寻找和留住OT安全专家既困难又昂贵。
●对手并不认为IT和OT是分开的。攻击是交织在一起的,所以无法回避这种联系,因为你有两个不同的SOC或两个不同的团队。
●重新创建现有的治理流程和加倍协调工作会浪费更多时间和精力。
最常见的最佳实践是集中责任和义务,以确保与CISO的外部环境的安全。通过将OT网络视为IT网络的扩展,并从整体上看待治理和流程,就可以获得技术基础设施的综合图景。
OT安全解决方案也应该采用一种全局的系统性方法,这意味着它应该与OT、IT系统和工作流生态系统完美地集成在一起。还应该为IT侧的SOC分析师解析出OT网络的晦涩之处,这样他们的技能就可以转移,企业就不用聘请OT侧的SOC分析师。
将CISO作为焦点,依赖单个SOC以及IT和OT团队都可以使用的解决方案,就可以有针对性地对人才、预算和时间等资源做出更好的优化。还也有助于、获得整个攻击面的连续性,以便可以使用相同的流程和报告指标进行治理。
消除复杂性、调整IT和OT团队以及简化治理是关于如何弥合IT-OT安全差距的三大建议。每个建议都侧重于消除障碍,以便组织能够快速行动,这一点很重要,因为对手正在改进他们的方法,并升级对OT网络的攻击。
四、小结
工业企业数字化转型,使企业能够利用新一代信息技术快速实现自动化、网络化、智能化,是工业互联网发展的关键目标之一。大势所趋之下,IT/OT融合必然带来两侧网络安全技术、管理、人员、过程的融合。OT侧的可见性成为新的融合态势下网络安全的关键障碍。弥合IT侧与OT侧对于网络安全的认知、观念、技术、方法等层面的差异,成为当务之急。网络攻击态势愈演愈烈,关键还在于快速行动。降低复杂性、整合IT和OT团队以及简化安全治理,是当下最为可行的建议。
参考资料
[1] Advice for CISOs on Bridging the IT-OT Security Gap-1
[2]https://blog.trendmicro.com/how-the-industry-4-0-era-will-change-the-cybersecurity-landscape/
[3]https://www.csoonline.com/article/3410283/visibility-is-essential-for-effective-ot-security.html
[4]https://www.paloaltonetworks.com/cyberpedia/the-impact-of-it-ot-convergence
[5]https://medium.com/@communeit/it%E8%88%87ot%E5%8A%A0%E9%80%9F%E8%9E%8D%E5%90%88-%E8%B3%87%E8%A8%8A%E4%BF%9D%E5%AE%89%E4%B8%8D%E5%AE%B9%E5%BF%BD%E8%A6%96-312ee05d5614
[6] https://www.jianshu.com/p/92bed06089c7
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。