OT端点安全资产管理的四个好处

在信息技术(IT)中，组织可以选择发现和聚合资产信息。在操作技术(OT)中，由于这些资产控制的设备和物理进程的分布式和敏感性，以及大多数设备运行嵌入式操作系统而不是传统的IT操作系统(OS)，安全资产管理(发现、库存、风险评估等)变得更加困难。CISO感到沮丧的主要原因是继续只依赖OT中的网络流量数据和保护。由于运营商的恐惧和不确定性(部分原因是由提供工业控制硬件的原始设备制造商鼓励的)，安全团队在管理OT安全时只能孤军作战。

本博客的目的是关注以终端为中心的OT安全资产管理方法的好处——它反映了IT方面的努力，但在OT环境中安全有效地完成。

OT安全资产管理当前方法的挑战

安全资产管理是一个新兴的实践。主要的关注点是将公司资产的安全性整合到单个数据库中。这包括两个维度的聚合:所有资产和这些资产的所有安全元素。因此，OT安全资产管理将包括OT环境中所有资产的全面视图，从微软Windows服务器和人机界面(HMIs)到可编程逻辑控制器(plc)和保护继电器、变频驱动器、防火墙和开关等。

第二个维度是所有安全控制的全面视图，从补丁和漏洞状态到用户和帐户风险，反病毒和白名单状态，备份最近性，配置状态等。

两种传统的OT资产库存或可见性方法存在显著缺陷。第一个选择是逐个站点手动收集信息。操作人员维护一个Excel或类似的资产信息数据库。在“定期”的基础上，这些资源用连接的新资产更新数据库。在“定期”的基础上，这个列表可能会被审计，以确保准确性。在某些情况下，该列表通过集中资源合并为一个公共列表。这种方法的缺点是显而易见的。简而言之，这份清单几乎总是不完整和过时的。在大多数情况下，这些有限且不准确的信息被困在工厂层面的电子表格中。

第二种选择是使用基于网络的发现工具，通过分析连接到网络交换机的跨网络和抽头传输的数据包，试图获得资产信息的图像。这一选择的挑战可能不那么明显，但挑战依然存在。

在许多情况下，收集设备看不到没有与存在收集器或范围的网络设备通信的资产。在许多情况下，查看所有流量需要在收集器、电缆、水龙头等方面进行大量投资，这可能是不可持续的。此外，即使流量被接收，这些流量也不包括设备最关键的安全方面，如固件或补丁状态。

最后，即使它确实包含这些基本信息，它也永远不会包含健壮的安全资产管理所需的其他关键安全信息，如所有用户和帐户、所有已安装的应用软件、防病毒或备份状态等。

面向端点的OT安全资产管理

另一种方法是我们所说的“以端点为中心的”OT安全资产管理。端点方法使用特定于ot的端点可见性和库存技术，直接从端点本身收集资产信息，并与其他安全组件集成以完成安全图像。

资产管理的端点方法使用特定于OT的代理技术，可在所有OEM供应商系统上安全运行，并结合无代理设备接口，直接从嵌入式OT资产收集信息。端点解决方案不依赖流量来公开有关资产的信息，也不依赖不规则和不准确的手动方法，而是直接从资产本身收集所需的信息。

OT代理被动地收集有关基于操作系统的设备的数百条信息。这包括所有相关缺失的补丁、漏洞、100%已安装的应用软件、所有用户和帐户(甚至是休眠用户和帐户)、完整配置设置、当前备份状态、防病毒、白名单状态等。

一些人表达了对OT环境中的“代理”的担忧。在这种情况下，针对所有OT OEM系统上的操作可靠性，对代理进行了专门设计和测试。它已经在该系列系统上使用了15年，没有任何负面的操作影响。原因是它专门针对OT中的安全性进行了调优，压缩到绝对最低的资源需求，不需要入站端口等等。

无代理设备接口提供对OT环境中各种嵌入式设备的可访问性。这些设备通过数百种不同的OEM协议进行通信，并运行内存有限的专有操作系统。因此，代理是不切实际的，无代理接口需要从这些不同协议中的单一平台进行通信。

该接口以其自己的协议与每个资产单独通信，因此它可以检索所需的关键安全信息，而不依赖于数据包中可见的信息，也不需要操作员通过其HMI连接到该设备来刺激通信。无代理接口收集数十种不同的资产信息-从交换机的mac/arp/cam表，制造商，型号和固件版本，以及网络和许多OT设备上的完整运行配置。

这两个元素一起提供了一组关于所有资产的非常深入的信息，这些信息基本上是实时一致和准确更新的。

以端点为中心的OT安全资产管理的四个好处

ciso被要求提高OT环境的安全成熟度，并提供全面的风险情况，更不用说符合关键标准，如管道、铁路、海运等的新TSA要求。然而，OT需要一种独特的方法来应用安全补救。基于以下几个原因，以端点为中心的安全资产管理是实现这些目标的关键推动者。

1.准确的安全性和遵从性数据

TSA OT网络安全法规只是全球新OT法规的一个例子。日益增长的威胁格局促使各国政府以更具指令性的监管要求来应对。

合规性需要确定和及时的数据。遵从性还要求有效地收集和管理数据的报告。即使对于没有合规要求的组织，董事会、高管和保险公司也需要准确和最新的OT安全资产管理信息。

为了实现这一点，端点方法不依赖于变幻莫测的网络流量或手动收集来捕获资产信息。数据会自动及时更新。系统直接到达端点本身并收集数据，因此不需要依赖于是否在包中拾取资产数据的不确定性。

2.更低的成本

其次，端点方法提高了信息收集和报告的效率。不需要昂贵且难以管理的收集器和跨度/水龙头。也不需要任何体力劳动。但也许最重要的是，所有必要的安全信息都包含在单个企业数据库中。

不需要从一个(如果是多个)中查找防病毒信息multi-OEM环境)工具，然后从另一个工具收集配置信息，备份信息，日志数据等，每个从自己的数据库。端点方法将所有这些集中到一个数据库中，实现跨全球站点和资产的企业可见性，从而提高了70%以上的效率。

3.360度风险管理

OT安全需要对资产风险有一个全面的看法——可能比IT部门更需要，因为传统的补救措施更直接。在许多情况下，补丁无法定期应用，因为这些补丁可能会导致旧系统的操作中断，或者它们可能需要重新启动，而这在全天候运行的设备上是不可能的。同样，组织可能无法像OT中那样快速更新AV签名，他们可能需要多个AV工具，具体取决于每个oem的测试和批准。

这些独特的因素需要我们所谓的360度安全管理方法。如果您不能应用补丁，那么您需要了解该资产上的其他缓解控制，以确保您有办法缓解该威胁。类似地，如果资产安全性依赖于网络保护，则需要知道该网络设备已按照设计进行配置，以确保保护到位。

端点方法收集所有必需的资产信息，以进行完整的360度分析，并为每个资产提供全面的风险评分。

4.ot安全补救行动

适当的安全资产管理要求组织实际采取补救措施。但在OT中，这些补救措施需要遵循适当的工业控制工程流程。我们利用30年的控制专业知识构建了一个平台，使组织能够“考虑全球，但采取本地行动”。

为了进行适当的风险分析并确定补救或缓解措施的优先次序，该平台必须能够进行全球分析并实现响应行动的“自动化”。但是，在自动操作开始之前，这些操作应该经过了解流程细节的“本地”工程师。对补救措施的“本地行动”适应加快了响应，但包括关键的加班保障措施。

-这最初出现在神韵工业的网站．神韵工业是CFE媒体和技术内容合作伙伴。

原始内容可以在神韵工业．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。