当前IT/OT融合已经成为一种趋势,本文对融合现状和管理进行了调研,并为企业的新CISO如何应对融合挑战提供了一些建议。
1. IT/OT融合现状
随着大数据、人工智能、云计算等技术的快速发展, IT(信息技术)在不断创新的公共事业行业的企业中发挥着越来越重要的作用,这些企业使用IT技术来控制和平衡运营,例如在集中发电的太阳能资产运营中可以通过减少排放来实现效率的提高和客户成本的降低,OT(运营技术)资产的数字化为全球公共事业行业带来了无限机会,也加速了IT/OT的融合,但随着应用普及,企业的关键基础设施更加容易受到网络攻击的影响。
西门子和权威机构Ponemon研究所最近发布的报告对这种风险进行了探讨。研究发现,目前公共事业行业的企业OT面临的网络威胁变得更加严峻,大多数企业每年都有运营数据丢失的经历,如图1所示。
图1 公共事业行业威胁分析
随着IT/OT集成度越来越高,目前公共事业行业企业的关键基础架构面临的攻击和威胁正在日益增长,其实不仅仅在公共事业行业,在IT/OT融合的大势下,各行各业都受到了影响。在Ponemon研究所和安全解决方案提供商TUV Rheinland OpenSky进行的一项安全调查中,他们对各行业不同规模企业的650多位从业人员进行了调研,这些人员涉及汽车行业、石油和天然气、能源、医疗保健、工业制造、物流运输、消费品零售以及电信等多个领域,这些公司的业务遍布在美国、加拿大、欧洲、亚太地区、拉丁美洲、中东和非洲等地。
一半以上的受访者表示在数字化的推动下,IT/OT融合是一件好事,这对于实现更加成熟的安全态势至关重要,同时也是提高供应链合作伙伴的信任和信心的重要因素。但是也有部分人对两者的融合表达了担忧。
研究显示,IT/OT的融合有以下几个严峻挑战:1.CIO和其他公司管理人员的支持;2.公司的关键运营数据要有严格的保障;3.很多公司长期存在信息孤岛和信息边界的问题;研究报告表示:“公司的信息孤岛和信息边界问题为融合造成了很大的阻碍,组建跨职能团队来管理IT和OT系统中的网络风险将有助于问题的消除”。
2. IT/OT融合管理
在IT/OT融合的管理方面,至少有一半的受访者表示他们的企业在完成对融合非常重要的一些工作方面非常高效,其中包括安全计划管理、网络安全计划、安全意识培训、安全事件应对、测试评估以及威胁风险分析等工作。
他们相信有弹性、敏捷性、良好的安全态势和安全专家是确保IT/OT成功融合的最关键因素。但是现状是融合过程中的管理在46%的情况下是通过内部团队和外部服务提供商结合进行的,仅是内部团队或者仅外部服务提供商进行管理的情况则分别是34%和20%。西门子的研究报告同样指出,只有不到三分之一的受访者表示公司目前所做的准备足以应对可能发生的违规行为,如图2所示,缺乏专业的人员大大延迟了对攻击的响应,因此在整个行业中,为了应对不断变化的威胁环境,招募合适的安全人员并以超出合规性的要求制定风险策略和应急响应策略是非常有必要的。
图2 缺乏专业人员阻碍了响应时间
此外,研究还建议要特别关注企业领导层对IT/OT融合过程中安全的关注,增强他们的安全意识,或许有些企业的管理者会觉得近几年发生的伊朗“震网”病毒攻击核电站、土耳其原油输送管遭受网络攻击爆炸、乌克兰遭受网络攻击造成大范围停电、台积电勒索病毒事件并没有把重点放在自己企业的网络上,但是作为任何一家企业的CISO,必然清楚附带伤害的概念,乌克兰遭受的网络攻击导致国家的基础架构被破坏并令其瘫痪,尽管OT网络不是主要目标,仍有大量企业的OT网络遭受到严重影响,使得公司运营陷入停顿,如果这些攻击专门针对工业网络,后果将不堪设想。
世界上每家公司都依赖于工业网络,在2000年的《财富》杂志中,有近一半人分布在石油和天然气,能源,公用事业,制造业,制药,食品和饮料等行业中,网络是其公司业务的关键组成部分,其余的公司则依赖于OT网络来运行其办公基础架构(如照明、电梯),Ponemon研究所和TUV Rheinland OpenSky的研究也证明了这一点,由图3统计可以发现,许多组织认为IIoT设备对融合的负面影响很大。
图3 对融合产生消极影响的统计
尽管在IT/OT融合过程中会给企业带来运营效率,性能和服务质量的提高等很多帮助,但是实施新的安全控制,补丁程序或系统升级会带来巨大的中断和停机风险,同时由于OT网络是一个盲点,因此攻击者可以将它们用作进入IT环境的途径。反之攻击者也可以通过IT端进入,并在OT环境中潜藏数月,寻找方式破坏运营并造成破坏,这使得IT/OT的融合带来了一定弊端。而企业运营团队在可用性和机密性两者之间通常会优先考虑可用性,因此OT网络通常都缺乏基本的安全防护。
3. CISO应对挑战的建议
那么在面对往往是陈旧且特有的关键业务运营技术(OT)与信息技术(IT)融合在一起产生的冲突时,谁为可能产生的网络安全风险负责?作为公司的CISO,如何降低企业整体的风险呢?购买一种端点检测和响应(EDR)解决方案?或是将可视化和监视功能引入OT网络?可能下面的六个步骤是所有新CISO应该采取的最有效保护其OT环境的方式。
步骤1:资产清单。公司的OT系统对公司是至关重要的,而CISO的主要工作就是保证他们的安全。首先需要发现和盘点组织中的每项OT资产,对需要保护的内容(数据,软件,系统)做到全面的了解,如果没有完整而准确的资产盘点,后续步骤将无法最大程度地降低网络安全风险。
步骤2:备份/测试还原。保护OT系统免受毁灭性勒索软件攻击的最有效方法是备份OT数据并执行测试还原以确保最佳备份。出于多种原因(其中包括安全性),对系统进行备份可以通过保护网络免受数据丢失来确保其有效性。正如我们将在步骤5中看到的那样,连续不断地标识用于测试还原的相关数据非常重要,我们通常是通过询问组织中的用户哪些数据对他们的工作最重要,而当进行第一次进行备份/测试还原时,请尽可能全面和深入执行此操作,从而避免数据的丢失和其他问题。
步骤3:软件漏洞分析。步骤1的资产清单将对企业OT系统中的所有软件进行盘点,CISO必须清楚每项软件资产的状态,并对每个软件进行漏洞分析。比如软件的版本?是否有较新的版本(更安全,更有效)的OT系统可以使用?通常对于软件有一个关键性问题:是否需要打补丁?这里建议不要像IT那样对所有内容自动进行打补丁,因为对OT打补丁是一个复杂而具有挑战性的过程,需要用整个步骤进行评估。
步骤4:打补丁。尽管在IT中是自动进行打补丁,但在OT中要复杂的多,甚至有时给OT软件打补丁可能会起到适得其反的效果。一些非常重要的OT系统已经在工厂车间使用了15到25年甚至更长的时间,并且无法拆卸和打补丁,而且即使有适当(且安全)的补丁程序,陈旧的OT可能也没有足够的内存或CPU带宽来安装。
步骤5:二次备份/测试恢复。每当OT或IT系统中的任何内容发生更改(例如更新)时,备份/测试还原都必须成为一种根深蒂固的习惯。这里有个很重要的建议:持续定期的重复步骤3到5,新漏洞通常在旧软件中发现。
步骤6:启用日志。CISO不仅必须知道某件事情是如何工作或失败的,还必须知道为什么它会失败,日志记录这个时候就显得很重要,通过管理和分析日志,CISO团队能够了解环境,尽早发现威胁并优化防御。
如果企业的新CISO采取这六个基本但必不可少的步骤,并习惯性地重复那些需要重复的步骤,那么他们可以确信他们已经做的很扎实,将组织OT的风险降至到最低了。