IT/OT融合的三种方式对工业网络安全的成功至关重要

当我参加小组讨论或在会议发言后，最常被问到的问题之一是关于信息技术/运营技术(IT/OT)融合的主题。关于它已经写了很多，从我们应该如何管理它，到我们如何避免它，以及介于两者之间的一切。在看到这篇文章后，一位业内同行可能会(再次)提醒我，即使是谈论它或给它贴上标签都是危险的。他认为IT仅仅是一个纯粹的工程环境的支持或切线组件，并且建议IT应该参与任何与OT功能有关的事情(阅读:温度、压力等的工程原理)是没有意义的。然而，我坚信IT/OT融合从根本上是必需的，也需要被接受。

我之前写过关于这个主题的文章，所以如果你想知道我对OT类型的看法，请阅读这篇博客．或者，如果您希望了解如何让IT和OT一起工作，请阅读我的同事John Livingston的文章“帮助您的组织实现IT/OT融合的四个关键步骤。”

现在，我将提供IT/OT融合的三个日常功能——或者更恰当地说，IT和OT一起工作-不仅能更好地降低风险，而且还能取得少量的成功。另一种选择是让您的离岸IT支持不经意地重新启动一个看似无害的防火墙，该防火墙恰好在向自动关机命令传输关键安全信息。是的，现在是2021年，是的，我们仍然有这些情况。

在IT/OT融合对成功至关重要的三个明显场景中:漏洞映射/识别、修补(或不修补)和威胁/事件检测。

IT/OT融合的漏洞映射/识别

看起来简单。我们都想知道在我们的操作环境中存在的漏洞。虽然IT部门更喜欢使用基于扫描的工具，但在OT中，扫描有两个非常实际的限制:

1. 它们可以摧毁脆弱的系统
2. 他们不会获得嵌入式资产(继电器、plc等)的数据。

因此，我们还没有全面了解脆弱的情况，这意味着我们没有能力保护自己。我们真正需要的是用于漏洞识别的ot安全工具，这意味着IT部门需要放弃他们首选的方法，而采用另一种替代方法。事情通常不是这样展开的。尽管如此，这也是我与IT部门分享我的信条的地方:我们将共同达到安全需要的地方，但我们将走一条不同的道路，可能需要不同的工具。现实情况是，一旦识别出风险，我们需要IT帮助我们跟踪、解读和理解风险。

修补或不修补

修补，或者更有可能，补偿控制(因为补丁在OT中并不总是一个选项)是IT知识在降低风险方面真正有利于OT的地方。当像BlueKeep这样的东西出现时(范围广、风险高、测试时间短)，时间紧迫，风险也很高。大多数OT类型都可以并且很可能会修补一些系统(例如，影响较小的系统，如基于dmz的域控制器)。但皇冠上的珠宝呢?就像实验室信息管理系统(LIMS)服务器，安全系统，关键人机接口(HMIs)或二层文件服务器与我们所有的可编程逻辑控制器(PLC)梯形逻辑副本和备份?

这是IT和OT必须一起工作的地方，因为如果我们不能打补丁，我们想提供第二或第三道防线保护，如禁用远程桌面。如果IT和OT之间没有进行彻底的协商——OT告诉我们哪些系统需要修补，IT帮助提供技术分析，并为B计划或C计划的替代方案提供建议——我们要么就打补丁，要么就根本不打补丁。我不喜欢这两种方法的可能性。

威胁/事件检测

许多公司已经接受了异常或威胁检测工具的崇高承诺，既可以库存，又可以保护OT环境。其他人则希望将所有OT数据放入现有(且有能力的)安全操作中心(SOC)实例中。这两种技术的挑战都是，你只能和查看数据的技术人员一样有效。在这两种情况下，您都绝对需要OT审查哪一种技术可能标记为问题。要发现要忽略或升级的系统特定(即专有OT行为)指标，只能来自IT和OT在入站数据上积极合作以适当地调优监控程序。

对我来说，很明显:从最初的发现和识别，到主动修补和降低风险，再到实时事件，it和OT需要彼此能够导航各自的领域。建议OT有时间或资源来详细复制IT技能集，或者建议IT技能集能够完全理解复杂OT环境的细微差别和脆弱性，这将导致您的设施发生重大事件。为了真正取得成功，您必须将这两个规程结合起来，以促进日常管理、维护和响应活动中的协作。这是您在OT中可获得的最快速、最有效的降低风险和安全维护的途径。

- - - - - -神韵工业是CFE Media的内容合作伙伴。