收敛还是重叠?理解IT/OT关系

随着越来越多的工业系统连接到互联网,操作技术(OT)容易受到网络攻击,并从信息技术(IT)经验中受益。

通过凯瑟琳·埃尔罗德(Katherine Elrod)和seallevel Systems Inc.的贡献人员。 2021年12月16日
提供:seallevel Systems, Inc。

直到最近几十年,涉及物理机械和设备监控的操作技术(OT)都是由人工管理的。由于信息技术(IT)依赖于计算机进行操作,与OT相比,IT与网络安全的融合速度很快。

随着越来越多的工业系统连接到互联网,OT很容易受到网络攻击,并从IT经验中受益。OT系统的例子包括电力、水处理或交通应用等公共服务。对这些系统的网络攻击可能会带来毁灭性的后果。

理解IT/OT融合和安全影响

关键的区别。IT操作存在于办公室环境中,涉及数据安全,而OT存在于工厂车间,涉及机械功能的可靠性。当谈到将从it学到的网络安全最佳实践转移到OT时,需要考虑以下关键差异:

  • 环境。IT通过服务器和云进行操作,涉及HTTP、SSH和RDP等协议。OT通过机器操作,使用Modbus、EtherNet/IP和Profinet等协议。这两个应用程序在其他环境中看不到的系统和协议上运行。直接从一个解决方案实现到另一个解决方案并不完全合适。
  • 优先级。IT侧重于数据的存储、检索、操作和传输。机密性和安全性是关键问题。OT关注操作设备和流程的安全性和可用性。当OT系统变慢或故障时,对工人安全和公共运营的物理影响可能是严重的。IT流程的计划外关闭可以管理,除了财务之外,几乎不会造成什么损害。计划维护和安全升级更多地安排在IT部门,而OT则依赖于不惜一切代价保持机器运行,并避免需要停机时间的软件更新。

的好处。好处包括停机时间和成本考虑、故障响应和成本、生产力和安全性。

机器停机和维修费用。IT系统实时监控OT机器和设备状态。这就允许了一种预测性维护模型,即仅在条件表明需要时进行维修。与传统的预防性维护相比,预测性维护涉及更少的停机时间和维护成本。传统的预防性维护是机器和设备按计划进行维修,而不管其状况如何。

故障响应和成本。当OT设备发生故障时,IT监控会发送实时警报,甚至可以进行自动远程关机。未被发现的机械故障可能导致巨大的经济损失。知道机器故障的能力允许快速修复并返回工厂流程。

生产力和安全。IT监控收集机器数据,以确定瓶颈、过热或其他流程效率低下。根据这些信息,OT系统可以优化,以提高工厂效率,提高安全性并节省能源成本。通过机器自动化,某些过程可以在没有人工干预的情况下执行。这使得人类工人可以专注于其他任务,提高了工厂的生产率,缓解了劳动力短缺。

安全。随着OT系统迁移到互联网,IT系统保护工厂车间数据和流程免受网络攻击。

提供:seallevel Systems, Inc。

提供:seallevel Systems, Inc。

网络安全:了解你的资产和漏洞

利用IT最佳实践管理OT网络安全。尽管存在差异,但可以通过修改IT安全最佳实践来确保OT的安全:

  • 了解自己的优势。如果不知道需要保护什么,就很难保护OT。应该列出每一台联网设备的清单,并找出安全漏洞。
  • 部分网络。将OT网络分割成更小的部分可以防止黑客渗透到整个工厂车间,并保证操作安全。此外,从IT中分割OT可以防止一个网络上的攻击破坏另一个网络。
  • 修补漏洞。OT设备不像IT设备那样容易进行安全更新。一些遗留设备可能根本无法更新。然而,管理安全补丁不应被忽视。这意味着OT和IT必须共同努力,管理可接受的停机时间和合理的补丁延迟。
  • 安全远程连接。随着越来越多的员工在家工作,必须在IT和OT环境中采取措施,保护资产免受日益增加的安全风险。
  • 开放的通信。IT团队应与OT团队合作管理网络安全。由于IT人员在管理网络安全方面经验丰富,因此IT团队很容易获得专业知识。然而,OT团队了解工厂车间操作的独特需求。IT和OT团队应该共同努力,建立一个成功且可信的安全计划。

COVID-19对网络安全的影响。这里提到的安全性最佳实践之一是需要“保护远程连接”。由于COVID-19的爆发迫使许多员工远程操作,安全风险增加。与商业网络相比,个人家庭网络通常不安全。公司不得为员工提供便携式商务设备,因为这些设备的安全性也高于个人设备。在家办公可能会让员工更放心地使用个人账户或存储设备,因为它们不像公司资产那么安全。

网络犯罪分子利用COVID-19来利用个人的恐惧,如工作安全、经济安全以及食品和医疗保健等基本需求。美国疾病控制与预防中心和世界卫生组织发现,提供COVID-19更新、帮助链接和捐款请求的假冒钓鱼电子邮件激增。攻击者伪造Skype和Zoom电子邮件,窃取个人登录信息并安装恶意软件。谷歌报告称,自疫情爆发以来,钓鱼网站增加了350%,其中许多与COVID-19有关。

大流行带来的压力可能会增加人为失误。压力会导致更多的判断失误,导致疏忽大意,为网络攻击留下漏洞。更糟糕的是,许多员工没有接受过网络安全风险方面的培训,不知道如何发现和避免攻击。

提供:seallevel Systems, Inc。

提供:seallevel Systems, Inc。

员工是融合和网络安全成功的关键

IT/OT融合

合并IT和OT系统的公司可能会面临成长的烦恼。在确保工厂流程安全和高效方面,成功的合作可以产生更有知识和技能的员工基础。IT/OT融合可以通过一个清晰、广泛沟通的计划更有效:

  • IT/OT融合的大致目标:来自两个部门的人员应该了解融合的好处和目标。
  • 列出可能的障碍:员工应该明白挑战是在所难免的。应向人员介绍解决潜在问题的步骤,并鼓励他们提出自己的想法。
  • 打破部门界限:这可以采取许多不同的形式。一些企业可能会将IT和OT放在一起,让他们有机会并肩工作。其他人可能会创建一个由IT和OT人员组成的跨部门团队,以监督项目、障碍和解决方案。另一种选择允许数据融合,来自IT和OT的数据专家可以查看和使用每个部门收集的数据,从而更好地了解两者如何协同工作。
  • 对员工进行安全和工厂操作培训:让IT和OT人员了解安全和运营目标,进一步打破界限,促进部门之间的理解。它还有助于确保工厂车间的安全性和操作完整性,这是It /OT融合的目标。

最大的网络安全风险

人为错误是最大的安全风险——网络和其他领域——通常是由于疏忽或缺乏知识。幸运的是,这些风险可以通过培训和计划来减轻。

对员工进行最佳安全实践培训:有效的网络安全始于知识渊博的员工队伍。员工网络安全培训应包括:

  • 密码最佳实践。密码应该很长,包含多种字符类型(不包括字母),定期更改,并且不能被其他帐户重复使用。
  • 社会工程攻击识别。教会员工识别虚假的电子邮件和网站,这是黑客利用人为错误进行攻击的常见手段。
  • 网络攻击的风险。让员工了解数据泄露给公司造成的损失。
  • 事故报告程序。定义员工应该如何以及向谁报告攻击。
  • 个人设备政策。如果员工被允许在个人设备上访问公司资源,建立保护公司数据的措施。
  • 公司设备政策。就正确使用公司设备进行沟通,包括安全更新的重要性,是否允许第三方下载,如何保护设备,以及是否可以将这些设备带回家。

网络安全培训应从入职开始,并定期更新现有员工。模拟攻击也可以用来训练员工如何应对真正的攻击。公司应该定期分享网络安全新闻,这有助于员工认识到网络攻击的共性,并让他们牢记网络安全的重要性。

培训用户的网络安全责任:对于设备制造商来说,网络安全最佳实践培训并不仅限于员工。应告知设备用户他们在保护设备和个人信息安全方面的作用:

  • 社会工程的危险以及如何发现攻击。
  • 与公共Wi-Fi相关的风险以及如何缓解。
  • 隐私设置的位置和使用指南。
  • 密码管理最佳实践。
  • 自动更新和锁定屏幕的重要性。

抵御网络攻击的第一道防线是设备背后的人。

提供:seallevel Systems, Inc。

提供:seallevel Systems, Inc。

制造商如何满足IT/OT安全需求

为了应对不断增加的网络攻击数量,管理机构正在实施主动认证和要求,以降低风险。虽然联邦政府执行这些标准的主要目标是保护受控制的非机密信息(CUI),但同样的指导方针应该适用于IT/OT融合链上使用的设备制造公司。

NIST 800 - 171。NIST 800-171是美国国家标准与技术研究所特别出版物800-171。该出版物包括保护不受联邦政府监管的潜在敏感信息(CUI)的标准和指导方针。以下是安全需求系列:

  1. 访问控制
  2. 意识和培训
  3. 审计和问责
  4. 配置管理
  5. 识别和验证
  6. 事件响应
  7. 维护
  8. 媒体保护
  9. 实物保护
  10. 人员的安全
  11. 风险评估。

CMMC。美国国防部制定了网络安全成熟度模型认证(CMMC)标准,以保护承包商处理的受控非机密信息(CUI)。有五个认证级别,每个更高的级别都包含前一个级别的安全标准。在这五个级别中,CMMC建立并包括所有NIST 800-171指南以及国防部认可的其他网络安全标准和指南:

  1. 基本的网络卫生
  2. 中级网络卫生
  3. 良好的网络卫生
  4. 积极主动的
  5. 先进/进步。

最终的想法

智能安全战略涉及及早规划和管理IT/OT网络安全需求和漏洞。评估这些流程的每个部分,包括用户和设备,是第一步。


作者简介:凯瑟琳·埃尔罗德(Katherine Elrod)是seallevel Systems Inc.的营销总监。埃尔罗德拥有出版行业的基础背景,以及多年的品牌和数字传播经验,他喜欢讲述趋势技术的故事,以及它在Sealevel和其他领域的应用所产生的影响。她在位于南卡罗来纳州利伯蒂的seallevel总部领导着seallevel的营销专家团队。