降低风险，应对工业环境威胁

工业网络安全领导者——包括首席执行官、首席信息安全官、安全团队和运营领导者——正在意识到这一点网络事件对财务、运营和安全的潜在影响。为了确保其网络中这一具有挑战性的部分的安全，许多领导者已经开始努力将其信息技术(IT)和运营技术(OT)网络分开，获得对OT资产神秘世界的可见性，或者从OT网络收集数据到事件检测流程中以识别潜在威胁。

有些需要基于监管结构的特定安全操作。活动很热闹。会议、规划、网络架构讨论等让团队忙得不可开交，因为他们还试图在资源下降和COVID-19限制的情况下保持工厂的运营。

我们必须停下来问一些根本性的问题:我们取得进展了吗?如果我们不是本周、本月或今年的受害者，我们成功了吗?我们是在浪费钱还是花钱太少?我们必须开始用与运营工厂、铁路或电网相同的目标、指标、目标和绩效管理来处理OT网络安全。

让我们提出一个观点，我们欢迎其他人补充或提供不同的观点。我们认为，OT安全有两个主要目标，最终目标是减少对OT运营的潜在影响:

1. 降低风险
2. 应对威胁

我们知道这太简单化了。这只是在重申显而易见的事实。但是，事实上，我们认为这个基金会开始回答来自组织高层的问题:我们如何知道我们是否在进步或成功?我们真的在改善我们的风险姿态吗?我们是有能力应对真正的威胁或者只是检测异常行为?

许多工业组织希望“可见”或“检测”，但不清楚最终目标或如何衡量它。如果我们检测到很多，这是好事还是坏事?如果我们有能见度，我们是否加强了安保?这两个核心基础和每个核心基础的关键组成部分有助于确定最佳路径。

降低工业环境风险的三个步骤

1.创建OT环境风险状态的实时视图

降低风险的第一步是风险意识。大多数组织从对其OT环境的脆弱性评估开始这一旅程，然后估计每个潜在风险的潜在可能性和影响。这是一个必要的步骤，但还不够。

一次性或不频繁的评估是过时的，并且很难随着时间的推移跟踪减少的进展。成功地减少风险需要不断更新的风险视图。

2.采取补救措施以降低风险

降低风险需要执行特定的行动来降低这些特定的风险。如果评估发现未打补丁的系统、不安全的配置、休眠或不安全的帐户、用户、不良的访问控制等风险，下一步必须是减少这些风险。

可操作性要求组织管理其OT端点。他们必须从供应商手中夺回控制权，确保配置得到加固，网络设备得到更新和配置，用户和帐户得到清理等。这些端点的行为是一个例子，说明为什么风险检测是不够的，以及为什么他们必须关闭循环以纠正风险。

3.跟踪并报告卓越运营

确保操作环境安全的好处是领导层和员工对严格的操作管理感到满意。安全需要与制造或供应链相同的卓越运营。运营管理的基础是跟踪关键指标的执行情况并报告执行情况。无论是“红到绿”的仪表板还是%的完成率，一个强大的风险降低计划建立了清晰的度量标准，并随着时间的推移对它们进行监控。

该报告还应该包括谁对每个指标负责。在安全方面，这需要与运营负责人就维护和改进OT系统整体风险概况的个人责任进行令人不安的对话。

有效应对威胁的三个要素

1.已定义的响应过程和计划

事件响应计划在几乎所有网络安全标准中都很常见，因为它们对于实时阻止潜在攻击的能力至关重要。但是，许多事件响应流程止步于一组高级过程或策略，例如在看到问题时呼叫谁、如何与权威机构通信以及使用谁作为事件响应供应商。

在过去的几个月里，业界已经亲眼目睹了事件响应计划需要更加详细和具体到各个IT-OT环境。的殖民地管道事件强调了OT环境中有限的响应规划的风险。破解勒索软件的方法包括关闭业务。这可能是一个必要的步骤，但是一个强大的事件响应计划的关键是为每个威胁确定最小破坏性响应(LDR)。LDR是通过理解OT风险状态的细节(降低风险的第一步的一部分)来构建的。为了定义破坏性最小的响应，组织需要了解每个资产和知识的风险状态，以减少不同类型威胁的影响。这超越了纸上的“给谁打电话”。

2.“X”尺寸检测

“XDR”是一个日益流行的安全行业流行语，用来定义遏制现代威胁所需的广泛遥测技术。在OT中，由于自动响应操作的风险，“XDR”经常被抛弃。但我们不应该抛弃“x维”探测的概念。这指的是从OT系统收集广泛的数据集——端点日志、用户行为、网络流、防火墙日志，甚至物理过程警报——并使用集成分析来识别潜在的威胁。在IT世界中，没有安全领导者会接受单一形式的遥测，如数据包检查作为检测的答案。我们也不应该在OT。

整合这些不同形式的遥测技术还可以减少误报，从而削弱SOC团队的能力，使他们无法对最关键的警报做出反应。

3.ot安全，快速，破坏性最小的反应

如前所述，组织需要LDR计划，即破坏性最小的响应。但它们也需要以快速、但操作安全的方式实施应对行动。应对计划的好坏取决于组织在危急时刻执行计划的能力。该计划应该得到人员、流程和技术的支持，这些人员、流程和技术允许安全团队(包括安全专家和工业流程专家)采取必要的安全行动来阻止威胁。这将包括:删除特定用户，更改密码，消除某些端口和服务，修补系统等。在OT世界中，这些步骤通常是手动的，或者需要供应商参与。为了快速响应，行业需要在必要时采取有针对性的响应行动的能力。

这些响应行动应由一个安全和操作人员小组进行管理。与自动化响应正在成为常态的IT不同，OT认为响应需要人工在执行操作之前检查潜在的威胁以及潜在的负面操作影响。我们称之为“全球思考，本地行动”的方法。

组织正在对新出现的OT安全威胁做出反应，并开始采取行动。这是个好消息。然而，在采取可能不会导致真正的安全改进的行动之前，我们都需要退后一步，确定总体目标是什么，以及如何确保我们实际上在两个关键要素(降低风险和应对威胁)上取得进展。

-这最初出现在Verve工业的网站。神韵工业是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。