如何解决OT遗留的安全挑战

在日常生活中，我们在业务上下文中对信息技术(IT)所做的许多决策都比乍一看要简单。如果人们购买手机或平板电脑来帮助员工与办公室保持联系，他们可能可以在各种品牌(三星、摩托罗拉、LG、苹果等)之间进行选择，但在更深层次上，他们只能在两个平台之间进行选择:Android或iOS。

同样，如果有人购买个人电脑(台式机或笔记本电脑)用于管理用途，他们可以从各种各样的制造商(戴尔、联想、惠普、苹果等)中进行选择。然而，提供的操作系统数量通常仅限于Windows和macOS(或者可能是Linux)。类似地，IT网络应用程序和工具供应商是为路由器、交换机和服务器的特定网络环境而设计的。

美国的情况操作技术(OT)Realm则完全不同。

OT平台和系统增多，兼容性降低

造成这种差异的原因有很多。

原因之一是OT系统倾向于使用更大范围的通信协议。作为成立，公司创建了Nessus漏洞扫描解决方案，解释在一个博客在美国，OT供应商并没有像IT供应商那样坚持使用少数预定义的平台。相反，各个供应商经常开发自己的软件和通信协议，其中许多是专有的和特定于供应商的。而且很少有相互兼容的。

即使不同的供应商正在努力满足相同的标准，情况也是如此。Tenable指出，如果OT用户从多个供应商购买可编程逻辑控制器(PLC)，他们可能会发现每个供应商都采用了不同的(专有的)方法来维护IEC-61131标准。因此，如果这些供应商没有为他们的方法提供足够的文档，用户将很难监控关键活动。

在实践中，这意味着OT系统工程师通常必须学会使用、监控和排除尽可能多的软件和通信协议类型，因为他们有供应商。这已经是一项艰巨的任务，但复杂之处还不止于此。所讨论的软件和通信协议不仅彼此不兼容，而且在许多情况下，还与OT系统连接到互联网时所必需的现代安全解决方案不兼容。

遗留漏洞和安全漏洞之间的联系

这种不和谐通常是年龄的作用。

OT系统的设计寿命比IT系统长得多。上面提到的设备——移动电话和个人电脑——通常会使用几年，然后就会被替换掉，部分原因是它们的设计不适合长时间使用，部分原因是营销活动强调了新机器的增强功能，部分原因是这些设备的成本随着时间的推移已经下降了。这不是OT系统的情况。这些设备的设计通常能够满负荷运行数十年，几乎没有停机时间，并考虑到可靠性和安全性。

因此，OT系统更有可能包含20-30年甚至更老的组件。一些系统可能太老了，以至于它们在任何和所有对网络攻击的关注之前就已经存在，而其他系统可能只是没有足够的安全措施(例如通过部署连接的监控设备已经有效地弥合了空气间隙)。

或者，他们可能仍在使用旧的软件这是较不安全的和/或不再支持。许多OT工作站仍然依赖传统操作系统，如Windows NT或Windows XP，这些操作系统的支持已不再可用。

因此，它们很难与现代安全解决方案集成。当公司致力于将其遗留网络与现代安全平台集成时，没有交换机端口分析器或端口镜像(SPAN)选项的非托管交换机或缺乏支持SPAN功能的资源的托管交换机甚至会阻碍安全工具保护网络所需的基本网络可见性。

NIST的工业控制系统(ICS)安全指南警告说，ICS操作系统(OS)和应用程序可能甚至不能容忍IT安全实践，而ICS系统通常在传统网络上以较慢的速度运行，很容易被活动测试期间产生的通信量所过载。不幸的是，当传统设备被推到这些专有系统之外传输数据时，工业网络就会面临安全漏洞。

网络停机已成为安全威胁

不幸的是，不和谐和年龄的挑战并不容易克服。OT用户有保留现有资产的动机，即使它们不适合现代安全解决方案，因为他们的指导原则是避免停机。

作为这篇文章来自F-Secure他解释说，ICS不能在操作员听到新的补丁或更新时就下线。如果这些系统被用于运行发电厂、污水处理系统、医院或关键基础设施系统的其他组件，停机时间可能会对公众健康和安全(甚至可能是国家安全)构成不可接受的风险。如果这些系统被用于运行生产设施，停机时间可能会破坏业务连续性并导致重大经济损失。

因此，工业自动化工程师和其他使用OT系统的员工有充分的理由主张保留现有的ICS，并尽可能地保留它们，即使它们已知是脆弱的。与此同时，IT和网络安全专家有充分的理由主张应用消除或降低风险所需的更新和补丁。

TAP的可见性如何弥合传统差距

总之，这些挑战——不兼容、老化和避免停机的需要——会使OT系统极其难以安全。

OT安全性还应与可见性体系结构中的基本最佳实践相结合。也就是说，OT用户应该消除系统中的盲点和漏洞，以便他们的安全工具能够优化威胁检测和响应，并执行适当的资产发现。

通过网络可见性，克服这一困难要容易得多——也就是说，使安全解决方案能够为其操作员提供整个系统中每个组件和威胁的完整可视化表示，因为“你不能保护你看不见的东西”。

许多工业公司转向专用网络水龙头通过将100Base-FX或100BASE-LX等旧媒体类型连接到铜千兆，以及轻松自动连接不同10M、100M或1G速度段的速度转换，来弥合传统差距。

许多传统OT环境面临非托管交换机，没有SPAN选项或托管交换机缺乏支持SPAN功能的资源。为此，网络tap为安全平台提供流量访问和数据包可见性。

对于可使用SPAN的OT网络，网络tap仍然是可见性架构的最佳实践，因为它们被动地为安全工具复制流量，而不会丢弃或复制数据包。由于SPAN也可以通过双向流量引入漏洞，数据二极管tap提供单向流量，确保威胁不会到达网络的物理层。很多时候，会添加aggregatortap来保护并将多个SPAN链接聚合到安全平台中。

-这最初出现在嘉兰科技的博客．加兰技术是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。