如何包全OT环境免受安保要挟

在物理基础设备和安保方面，运营技术(OT)经常被漠视，这为黑客提供了进入关键系统的轻松后门。

随着修建治理系统(BMS)、不连续电源(UPS)以及供暖、暖通空调系统等OT技术网络的日益遍及，确保无人防范的要挟变得比以往任何时刻都愈减轻要。

依据最近的《工业网络安保状况》报告，绝大少数企业如今都看法到与物理基础设备关系的风险，其中70%的企业以为他们的OT基础设备或许遭到攻打。

遭到破坏的OT网络不只使黑客能够干预运营基础设备，还可以使不良行为者横向流传并浸透到网络的其余区域，从而或许授予对高度敏感数据的访问权。

因此，OT安保应战或许很难驾驭，甚至也很难预防，攻打面通常十分宽泛，包含一切联网设备，其中许多设备从未计划联网。更蹩脚的是，OT设备经常泄露在惯例的第三方访问之下。

因此，黑客们正在看法到并应用这些弱点。IT攻打通常针对最大数量的用户，而OT攻打则并重于单个指标中的特定弱点。例如，它或许便捷到UPS网卡须要安保补丁。

为了安保地驾驭这个复杂的OT安保环境，咱们剧烈倡导企业实施以下四个执行要点：

应用软件跟踪资产库存并识别疑问

片面的资产清单是任何有效的OT安保战略的基础。在开局治理网络之前，须要了解哪些资产衔接到它、它们在哪里、它们如何通讯、它们如何获取支持以及在其生命周期时期签署了哪些合同。

只要将一个物联网设备，例如具备可疑治理员凭据的火警箱参与到网络并使其易受攻打，因此第一个关键步骤是取得一切单个组件大风险的可见性。

网络治理员还须要一个明晰的、最好是实时的视图，了解谁可以访问OT系统。最近的钻研标明，40%的OT安保决策者示意，第三方访问他们的网络是最大的安保风险之一。

例如，有有数承包商和供应链协作同伴的登录凭据被盗，或有意中用恶意软件感化OT和IT网络的例子。虽然存在这些显著而事实的风险，但只要不到一半的企业示意他们领有实用于OT的第三方访问政策。

现代数据中心基础设备治理(DCIM)软件只是协助克制其中许多应战的一种方法。例如，应用人工智能(AI)、机器学习、数据剖析的放开式、供应商无法知的软件处置方案将智能监控、测量和治理宏大、宏大的OT/IT网络，提供弱小的洞察力，以成功具体的系统布局和建模。网络化DCIM处置方案将准许用户监控其基础设备的位置——无论是在网络外围还是边缘。

隔离基础设备系统

假设无法保障OT基础设备的安保性，隔离通常是次优选用。成功隔离物理基础设备的一种方法是创立两个并行网络，一个是秘密网络，另一个是非秘密网络。

秘密的、超安保的网络将具备能够安保处置敏感数据和关键资产的高信赖资源。但是，可疑设备应衔接到与关键资源隔离的辅佐未分类网络，以确保安保性不会遭到破坏。

与具备独立终端、替换机、路由器和互联网接入点的并行网络关系的老本或许很高。依据所需的安保级别，虚构网络(VLAN)可以在不破坏资金的状况下提供网络隔离级别。但是，VLAN自身须要严厉的访问控制，包含日志记载和审计。

在准确识别须要隔离哪些可疑OT设备方面，DCIM软件可以证实是无价的。

经常使用软件和预防性保养被动处置安保疑问

剧烈倡导驳回左右开弓的方法来确保继续和被动的设备安保。一方面，与供应商有关的DCIM平台可以提供关键资产的实时可见性，并提供有关安保疑问和破绽的被动警报。另一方面，倡导制订严厉的补丁和降级固件制度，经过活期浸透测试包全SNMP协定以提高安保性。

信用良好的制作商将能够提供他们为其产品提供的补丁和固件支持的具体信息。一些企业经常使用第三方补丁提供商。虽然这或许更廉价，但第三方或许不必定能够访问制作商的外围软件来执行最新的固件降级。

为设备的整个生命周期制订支持方案也很关键。OT基础设备的经常使用寿命往往比IT设备长得多，从来企业在制作商支持的期限之后继续经常使用OT配件。坚持驳回这种方法的企业须要做出关键的判别;当支持完结时，他们能否会淘汰物理基础设备，或许他们能否情愿冒险让恶意行为者应用未打补丁和过期的固件。

可见性和实时洞察力最终是设计和保养严厉的安保补丁机制的关键。咱们须要知道网络上有哪些设备、它们须要的制作商支持级别、该支持方案何时完结以及哪些配件曾经不受支持并存在安保风险。

为OT基础设备设计业务延续性和劫难复原方案

物理基础设备很容易被漠视，这象征着劫难复原(DR)和业务延续性方案中经常疏忽OT。假设出现网络攻打，这或许会造成严重疑问。有效的业务延续性方案将包含对或许的违规场景的片面影响评价、或许形成的侵害的具体信息、受影响的系统在严重影响运营之前，可以坚持离线形态的时期以及为降落风险而采取的措施。

进一步的预防性保养倡导还可以包含备份数据以及打补丁、固件降级和设备隔离。还可以选用对DR程序启动活期测试，以确保系统持重且安保。同时，弄清楚受损OT资产或许为恶意行为者提供的直接访问水平也很关键，无论是关键义务流程、系统还是数据。

最后，驳回基于风险的物理安保方法并相应地调整照应至关关键。例如，对办公大楼楼宇治理系统的网络攻打或许不会形成大规模破坏，但对水处置厂或发电站的相似攻打，或许危及数百万人的关键供水和动力供应。

如今，物理基础设备资产越来越数字化和网络化，企业必定确保其组织领有最新的OT网络安保包全。

与对物理基础设备安保有明晰看法的专家协作，是确保关键资产遭到包全的最佳模式之一。假设无法构想的事情出现，并且OT系统遭到侵害，那么弱小的DR方案也是十分贵重的。

包全物理基础设备应该是一个继续的环节，而不是一个“与日俱增”的环节，以确保网络如今和未来都是安保的。