关于OT网络安全,每个CISO都应该问的五个问题

首席信息安全官(ciso)需要知道谁参与了运营技术(OT)网络安全,并且应该知道他们在开始这一旅程时首先参与的原因。

通过神韵工业 2021年3月3日
图片由Brett Sayles提供

多年来,公司一直在保护信息技术(IT)系统,但他们真的需要担心操作技术(OT)安全吗?答案是肯定的。首席信息安全官(ciso)在开始工作时应该考虑这五个问题。

1.谁应该参与OT安全计划?

这是第一个问题是有原因的。在许多信息技术(IT)组织中,答案是明确的。安全需要网络、端点、云、监管和其他IT合作伙伴。然而,在操作技术(OT)安全中,确定正确的“谁”是至关重要的,而且通常更复杂。

根据组织的不同,who可能包括过程控制技术负责人;运营、制造或供应链高级副总裁/副总裁;有影响力的工厂经理;或质量或类似的监管人员。这是IT安全中最典型的群体。

我们已经看到许多组织停滞不前,如果关键操作人员没有在过程的早期识别瓶颈或技术挑战。成功的首席信息安全官(CISO)除了了解系统技术挑战的运营领导者之外,还会创建一个由IT和OT人员组成的指导委员会。

如果没有这个联合团队,组织就很难接受必要的技术变化和实现成功所需的支持人员。在一起,这个小组形成了正确的过程来决定愿望、技术可行性等等。

2.从哪里开始OT网络安全之旅?

几乎所有的工业公司都在进行某种程度的网络安全,但问题往往是首先关注哪里来提高OT系统的安全性。选项通常包括网络保护,如分割和分离、端点保护、网络异常检测、资产可见性和用于改进漏洞管理的库存、安全事件监控和分析。

这个问题没有绝对正确的答案。一些人会主张部署网络保护技术来制造屏障。其他人则主张进行脆弱性评估或资产可见性和库存。

正确的答案取决于组织的出发点。然而,所有这些举措的基础是一个强大的资产清单,对硬件、软件、网络连接、用户和帐户、漏洞等具有“360度”可见性。为了使网络保护有效,您必须知道您正在保护什么以及它需要如何通信。为了做出适当的漏洞管理决策,您需要清楚地了解全面的360度风险,因为并非OT中的所有资产都可以修补或升级。可能需要替代补偿控制,优先级是关键。安全事件监视需要了解要监视的资产,以及它们的操作和资产的重要性。

这种360度的方法提供了风险及其相互作用的全面视图。例如,两台设备可能具有类似的漏洞或补丁状态,但其中一台设备锁定了应用程序白名单、强大的备份、加固的配置设置并位于配置良好的防火墙之后,而另一台设备则没有。或者一个操作关键的操作流程,而另一个不。考虑到采取快速补救行动的挑战,这些相对优先级在OT中甚至比在IT中更重要。

3.为什么需要OT安全程序?

这是最明显的问题。ciso保护IT系统已有十多年的历史。根据Check Point、Gartner和其他公司的说法,你可能有几十种工具可以解决网络安全问题。那么,世界上为什么需要一个特定的OT网络安全计划呢?

事实上,这些系统确实是不同的,但可能并不完全是OT人员或原始设备制造商(OEM)供应商经常说的那样。他们对变化或传统的IT安全扫描很敏感。它们高度融合。由于生命周期长,它们确实操作许多遗留操作系统。它们包括许多嵌入式系统,这些系统不能像Windows PC或云服务器那样被扫描或管理。而根据错误的安全警报采取行动的负面风险可能是毁灭性的。

4.计划中应该包括哪些安全管理措施?

许多组织在采取措施保护OT/ICS环境时变得无能为力。部分原因是由于OEM供应商或OT中的一些人提出的恐惧、不确定性和怀疑,组织限制了可以采取的措施来保护这些系统。也许是因为害怕管理这些敏感的系统,他们将自己局限于分割或网络监控。

我们建议采用OT系统管理。这些都是IT在IT系统上使用的相同技术(实际上占所有IT安全任务的70%以上)。这包括补丁、漏洞管理、配置管理、用户和访问管理等功能。

这一套全面的管理操作可确保提前对这些设备进行保护和加固,以及检测来自持续攻击的异常情况。他们还将IT和OT安全性调整到可以监视和跟踪的一致实践领域。

5.如何管理OT安全计划?

没有一种完美的方法来管理网络安全项目。这更广泛地取决于组织的结构方式。企业文化是否具有自上而下的运营一致性驱动,即使可能需要更长的时间来协调组织的不同部分?这种文化是否设定了目标,但让业务部门决定如何最好地实现这些目标?IT和OT之间是否有密切的工作关系?这些子问题告诉你如何最好地组织你的方法。

不管整体结构如何,这里有几个关键元素:

  • 尽早建立一个目标,以便进行测量和跟踪。我们已经看到了利用互联网安全中心前20名的巨大成功,但还有其他目标和模型可以使用。选择一个是关键。
  • 获得IT和OT之间的一致性,并充分利用各自带来的优势。
  • 通过对关键风险的可见性,并通过解决关键漏洞和风险,尽早建立牵引力。
  • 通过在平衡计分卡中添加安全性来建立问责制,以确保结果对绩效产生影响。

-本文最初发表于神韵工业的网站神韵工业是CFE Media的内容合作伙伴。由CFE媒体和技术高级编辑/项目经理加里·科恩编辑,gcohen@cfemedia.com

原始内容可以在verveindustrial.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

神韵工业
工程师新产品
搜索产品,发现你所在行业的创新