IT/OT融合需要双方解决冲突

信息技术(IT)和运营技术(OT)都负责解决潜在的网络安全风险。然而，这两个群体在这个话题上有不同的方法和心态，当他们聚集在一起时，这些方法和心态是不相容的，这可能导致冲突。

在互联网出现之前，IT和OT之间的界限是明确的。随着技术的发展，工厂车间和现场的几乎所有设备都实现了连接，这条界限已经变得模糊。这种增强的连接性正在以新的方式连接IT和OT，因此，它们开始融合。

他们必须为了自己和整个公司的利益开始解决问题，而不是相互冲突，这是标准的心态。

抵制收敛

意大利制造执行系统(MES)和智能制造自动化公司Autoware的首席执行官路易吉•德•贝尔纳迪尼(Luigi De Bernardini)表示，IT和OT正在抵制周围发生的融合。在与大型制造自动化项目的客户合作时，他发现，“许多制造商仍然认为将信息和操作技术结合在一起存在强烈阻力，双方都存在不信任。”

贝尔纳迪尼说，这种情况必须改变。“继续单独操作不仅会减缓基于工业控制系统(ICS)操作舒适区之外的技术的解决方案的采用，而且还会使公司面临可能严重影响生产的故障或安全风险。”

不同的观点

IT和OT是非常不同的世界，有着非常不同的职责。从根本上说，IT保护数据。有意或无意的网络威胁可能会导致知识产权、公司财务、员工或客户信息的损失，而连锁反应可能会造成昂贵的损失，每次事件的损失从20万美元到400万美元不等。

相反，OT使用ICS逻辑来执行控制过程，这会产生物理影响。网络威胁可能会对关键的基础设施和服务、员工、人类生命、安全和环境造成毁灭性的物理后果，这已经在众多公开的事件中得到了证明。

不同的侧重点

IT和OT的不同优先级是理解为什么这两个团队之间容易发生冲突的关键。IT部门的首要任务是保护数据。OT的首要任务是保护流程的可用性和完整性，安全(机密性)排在最后。

由于法规和遵从性要求、网络架构、性能/生产要求、员工和环境安全考虑、风险容忍度以及管理和安全目标等几个变量，每个组为ICS操作环境选择的安全解决方案可能会有所不同。

在考虑ICS网络风险和后果时，每个小组都有自己的偏见和特定的观点。

它的角度来看

IT的首要任务是保护数据，如知识产权、公司财务、员工或客户私人数据。他们象征性地越过非军事区(DMZ)，思考可能为OT环境带来更强安全态势的许多变化。IT的潜在解决方案包括:

• 更强的网络分割
• 访问控制列表用于限制和管理对关键资源的权限和访问
• 数据和资产的地理或组织分组
• 强密码卫生
• 例行的修补程序(自动化的，频率更高)
• 在任何地方应用安全策略。

OT的角度来看

OT的首要任务围绕着可用性。在考虑IT对安全ICS环境的建议时，OT通常会调用网络安全惯性，以确保控制过程和生产产量不会面临风险。ICS安全无法实施的合理解释如下:

• 脆弱的可编程逻辑控制器(plc)可能没有足够的内存来处理高流量，例如广播风暴或导致重新启动的意外功能代码。
• 并不是所有的补丁都是必需的，即使是ICS供应商发布的补丁。评估ICS-CERT建议是否适合现有设备需要时间。
• 防病毒或自动修补程序是不典型的，需要大量的测试、调度，甚至可能需要供应商参与以确保保证保持完整。
• 扁平化的网络架构更受青睐，使用最少或没有子网或安全区域来隔离不相关的系统和进程。通过这种方式，OT可以最大限度地减少可能破坏时间敏感流程的性能延迟，并且如果运营商需要快速转向管理另一组系统和流程，则可以轻松获得所有资源。
• 共享凭证在许多类型的系统中都很常见，无论是新系统还是遗留系统。这允许用户快速获得访问权限，而无需强密码卫生和频繁的密码更改，这很难让每个人保持同步。
• 远程访问非常适合员工从家中连接，甚至供应商从互联网连接以对设备进行维护或诊断。

保护信息很重要，但生产损失会转化为业务损失。网络威胁可能会破坏生产、造成破坏、影响可视性和控制，或危及安全，也可能影响企业的盈利能力。IT的更改是不合适的，也不允许。此外，OT仍然对其ICS操作和控制流程的真正风险持怀疑态度，认为风险和后果是炒作和罕见的。

解决冲突

与其忍受影响机密性或运营的重大安全漏洞，公司应该考虑以下三种行动，以减少IT和OT融合的冲突和不信任，同时提高ICS安全性。

1.在最高层达成战略一致。

De Bernardini说，他的大多数客户“仍然有两个非常独立的运营和IT部门。他们有不同的人员、目标、政策和项目。”

De Bernardini建议从重组IT和OT部门开始，使其在战略上保持一致和统一。他建议，至少首席信息官(CIO)/首席信息安全官(CISO)和首席运营官(COO)应该有“部分共同和重叠的目标和目标，这将迫使他们合作。”

CIO/CISO还必须对ICS的网络安全以及由网络事件直接或间接造成的任何安全事件、可靠性事件或设备损坏承担全部责任。

2.协调联合特遣部队。

NIST SP800-82r2和De Bernardini建议创建一个联合任务小组，作为跨职能的网络安全团队，分享不同领域的知识和经验，以评估和降低ICS的风险。NIST甚至明确列出了应该成为这个网络安全工作组一部分的头衔，其中应该包括:

• IT人员中的一员
• 控制工程师
• 控制系统操作员
• 网络和系统安全专家
• 管理人员管理人员中的一员
• 物理安全部门的成员。

工作组还应咨询:现场管理/设施主管、控制系统供应商和/或系统集成商以及CIO/CISO。

3.发展试点项目和管理结构。

联合网络安全工作组可以做的第一件事就是确定两个小组可以共同合作的试点项目。工作组可以编制一份绝对必须保护的最关键的ICS资产清单，并开始评估需要做些什么。

这些试点项目旨在提供具有低风险基准的价值，以帮助公司培训并逐步建立共享IT/OT技能的特定组合。这也将有助于在决定提高ICS安全性的步骤时确定如何共同减少冲突。

De Bernardini表示，联合网络安全团队应该有“共同的治理和责任来执行项目，协调重复或重叠的系统和流程，并促进跨学科技能的发展，这是目前大多数公司所缺乏的。”

马拉松，而不是短跑

缓解IT和OT融合中固有的冲突并提高ICS安全性不是一蹴而就的。

管理人员需要学会共享目标，共同评估业务风险和后果，并培训更广泛的团队共享技能，这将最终导致适当的ICS安全产品、流程、策略和人员。

两个协作和合作部门需要扩展他们的技能，以适应IT安全项目模型，以便在操作中使用，同时考虑到他们的安全优先级和风险偏差中固有的所有差异。

虽然将IT和OT结合在一起会带来许多文化和结构上的挑战，但长期的好处远远超过一开始可能出现的任何困难。

凯瑟琳·布罗克赫斯特他就职于百通工业IT集团。她的职责范围涵盖四个产品线和多个细分市场的工业网络设备和网络安全产品。她在网络安全领域拥有20年的经验，最近任职于Tripwire。本文原文发表在ISSSource.com上。ISSSource是CFE Media的内容合作伙伴。CFE Media内容专家汉娜·考克斯编辑hcox@cfemedia.com。

更多的建议

关键概念

• 资讯科技(IT)和运营技术(OT)有不同的目标和议程，但它们需要在当今的现代环境中协同工作。
• IT的首要任务是保护数据和公司资产，而OT的首要任务是确保工作流程不受阻碍或减慢。
• 战略联盟联合特别工作组和试点项目是让双方合作并解决潜在冲突的三种方式。

考虑一下这个

还有什么其他可以使用什么方法/策略使IT和OT协同工作?

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。