OT终端安全成功的五个步骤

作战技术(OT)已成为网络安全攻击的重要目标。解决OT网络风险的需求从未如此之大。每天都有新的威胁出现——有针对性的和非针对性的附带损害风险。根据IBM的说法，制造业和能源行业现在是第二和第三大目标行业分别从去年的第8位和第9位上升到今年。

为什么?正如威利·萨顿(Willie Sutton)在被问及为什么抢劫银行时所说的那句名言:“因为那里有钱。”操作技术是保持工业运行的关键。停机时间是昂贵的。因此，勒索软件组织——无论是私人的还是政府支持的——已经发现了金融机会来自针对工业运营商的公司，大的和小的。

产业组织现在正在进行一场战争，不管他们是否知道。我们为即将到来的挑战创造了一个缩写词- AIR-RAID:

• 一个攻击者越来越多地瞄准工业流程。
• 我随着连接性的增长，T现在不仅是一个风险，而且正在成为OT安全控制设计和实现的关键参与者。
• R监管机构增加了对工业组织的关注和要求，例如，最近TSA对管道的规定以及即将出台的铁路和航空航天规定。
• R资源限制正在增加，这不仅是因为COVID，还因为退休的长期趋势以及ICS网络安全漏洞的数量越来越多。
• 一个随着远程访问和对易受攻击设备的直接连接的增加，Ccess正在上升。
• 我保险公司正在提高对OT的报告和安全要求，因为他们在勒索软件费用和事件响应方面支付了更多的费用。
• D工业组织的负责人对OT安全性提出了更多的问题，并开始要求展示与他们在IT或其他更成熟的安全组织中使用的相同级别的安全。

综上所述，这七个驱动程序正在极大地改变对OT安全性的要求。仅仅监视外围防火墙以防止异常网络流量的日子已经一去不复返了。“能见度”只是个开始。为了应对攻击的增加以及来自保险公司、监管机构和董事的要求，组织必须开始以与IT系统相同的严格程度管理OT系统——我们称之为OT系统管理．

这组新的OT安全需求中最关键的元素之一是管理和保护端点。组织需要端点安全和保护来阻止勒索软件，但也需要向各种利益相关者展示改进和安全基线。

我们认识到这不是一项容易的任务。OT终点风险分析和补救存在许多挑战。

OT端点安全在风险识别和补救方面的挑战:

• 考虑到各种设备类型、协议、网络架构等，获取基本库存是困难的。
• 如果没有大量的资本支出来升级整个控制系统，就无法更新旧系统以解决已知的漏洞
• 无法修补的关键系统(需要重新启动)，因为操作风险/性能原因或监管变更管理挑战
• 广泛的端点不能安全地扫描传统漏洞扫描工具
• 许多现代端点检测和响应工具需要互联网接入，这在分段OT网络中通常是不可能的
• 供应商倾向于将选择限制在“批准的”软件上，迫使公司使用多个端点解决方案，而这些解决方案都不是最好的

虽然这些挑战是真实存在的，但我们不需要接受传统的智慧，我们只能监控我们的资产数量，并通过异常检测检测潜在的威胁。他们不需要将OT系统安全性委托给他们环境中数十家原始设备制造商(OEM)供应商中的每一家。

有许多方法可以在不破坏控制系统的情况下实现高效的OT端点安全、保护和整体管理。这样的程序必须包括几个关键部分:

用于OT风险管理的信息技术服务管理(ITSM)最佳实践包括:

• 完整、准确和最新的软件清单
• 准确的补丁状态(不仅仅是oem供应商提供的批准或设备运行的操作系统版本，而是对端点上所有应用软件的所有可用补丁的完全可见性)
• 更新反病毒签名状态或应用白名单状态
• 有关设备是否有最近的备份以及备份是否成功的信息
• 防火墙配置强度，用于保护资产的网络保护
• 用户和帐户状态，例如设备是否有共享密码或帐户、休眠帐户等。
• 资产临界无论是对操作流程，还是对网络通信
• 有效的工具，以加强资产或网络架构，而没有风险的操作
• XDR将多种形式的端点和网络遥测结合在一起，以快速(如果不是自动)检测和响应威胁。

我们已经看到几家公司成功地采取了真正的端点风险管理方法来进行网络防御工作。他们遵循以下步骤取得成功:

步骤1:为每个资产创建360度风险评分和概要

这一过程始于能够实现深度供应商不可知、端点可见性的技术，包括100%的软件库存、所有应用软件和操作系统的完整补丁状态、关于配置设置、密码和用户/帐户的详细和定期信息、防御工具状态(如A/V)、白名单、网络配置规则和设置，以了解网络防御，以及基于进程和网络的资产关键性。

这种“360度”的风险视图允许组织定义最有效和最高效的方法来补救风险和确保给定端点的安全。例如，我们显然不能在可编程逻辑控制器(PLC)上部署防病毒软件，但这并不意味着没有办法通过上游补偿控制来保护资产，例如锁定其工作站或在该设备前建立防火墙，或通过加强该设备的配置来阻止潜在威胁的传播。类似地，我们可能会发现两个资产同样脆弱，但其中一个具有多个补偿保护控制，如应用程序白名单、强化配置等。这允许运营商在优先级和行动上做出权衡。

第二步:根据不同方法的可行性，执行补救计划

通常情况下，组织从一个工具开始，而没有一个工具稳健的端点安全补救计划．虽然这些工具可能会有所帮助，但补救计划允许组织逐步完成一系列操作(和技术)路线图，从而推动企业端点安全管理的持续改进。成功需要一种策略，针对所识别的每种风险，优先考虑正确类型的端点安全。

步骤3:实现与供应商无关但对ot安全的端点安全管理技术

也许最大的OT安全挑战来自于依赖每个OEM供应商在其系统上部署其选择的工具。这导致了复杂性、不安全性和低效率。成功的组织为端点安全管理部署了企业标准，该标准跨供应商系统安全运行，并支持集中管理功能。需要明确的是，这些解决方案并没有尝试将OT操作符去中介化。

神韵在工业控制行业已有近30年的历史。我们理解让OT操作员参与系统的任何更改是多么重要。然而，通过创建一个集中的端点安全视图，运营商可以“放眼全球，但立足本地”将端点检测、警报、风险等集中到一个中央团队进行分析、响应计划等，但通过技术，使OT操作员能够最了解他或她的系统，参与批准和测试任何安全响应。我们理解，对于IT人员来说，这可能听起来很疯狂——在响应动作中包含一个“人”的额外步骤可能会减慢响应速度。是的，它可以。但它避免了“第二类”错误，即停止可能影响整个系统安全的关键进程。

如上所述，保险公司、监管机构、董事和其他人开始要求清晰地展示安全性改进。工业运营商将需要展示他们在安全方面是如何从“红色”转变为“绿色”的，他们的补丁或备份或反病毒状态是如何更新的，他们是否有产生风险的休眠账户等。这种集中式的、与供应商无关的系统允许改进持续的跟踪、报告和审计。

步骤4:用于OT网络安全的XDR

“XDR”通常被认为与云或混合环境有关。成功的行业组织也将同样的概念应用于OT。由于传统的EDR(端点检测和响应)在OT中的嵌入式设备上可能无效，甚至在基于操作系统的关键控制系统设备上的纯自动响应模式下也可能无效，因此工业安全需要广泛的遥测和响应才能有效。

OT中的“X”可能与云中不同。它可能是指传统的遥测技术，如端点日志、网络流量警报、AV警报等。但在OT中，它还应该包括设备性能指标、物理告警数据等。通过将这些不同形式的遥测结合在一起，端点检测变得比我们仅仅监控异常流量的数据包更加健壮。

类似地，EDR中的“R”或响应需要针对OT进行调优。应对每一个警报的办法不可能是关闭核电站。我们需要采取一种我们称之为“破坏性最小的反应”的心态。这是一种概念，即在任何情况下，安全性都应该尝试采取对操作影响最小的操作。这要求安全性具有在第1点和能够采取端点操作在第2点。这使安全人员能够识别有关该资产以及攻击路径中的其他资产的威胁和端点信息。然后，我们必须在端点采取非常具体的行动来阻止特定的攻击路径。例如，删除一个被泄露的帐户，修补一个正在被利用的特定漏洞，删除一个有风险的软件，调整白名单规则，等等。

5.建立一套OT系统管理指南和程序

最后——但在许多方面可能是首先——工业组织需要设定他们的北极星，他们的总体安全目标，以及他们对成熟的期望。这个方向可以向下延伸为策略、指导方针和过程，以实现其端点安全管理。不同的资产可能需要基于关键性、冗余性等不同级别的安全。我们已经看到客户成功地在站点级别上优先考虑这些资产，一直到工厂中的单个资产，然后为每个资产设计不同的安全目标。这些策略还有助于为不同类型的攻击和资产定义预期的“XDR”响应时间。

这5点方法导致了工业组织的OT网络安全成熟度的显著、快速和可证明的改进。此外，这是一种提前应对即将发生的事情的方法:攻击增加，资源减少，报告和审计需求增加。

-这最初出现在神韵工业的网站．神韵工业是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。