网络安全架构体系参考——操作技术(OT)安全架构参考

“在OT和工业物联网环境中应用零信任原则”

操作技术 (OT) 和工业物联网环境由控制物理设备的计算机组成。这包括供暖、通风和空调 (HVAC) 系统等常见技术，以及用于制造、石油和天然气设施、公用事业、交通运输、市政基础设施等的行业特定设备。这些 OT 系统通常在 IT 环境中进行监控，以提供业务分析和对物理业务运营的其他洞察。

虽然底层计算平台和 IP 网络与 IT 相似，但这些 OT 环境在几个方面有所不同：

• 安全是主要的OT 安全保证，这与IT 主要关注知识产权的机密性形成鲜明对比（尽管两者都关注系统和数据的完整性和可用性）。这种差异是因为 OT 系统故障可能直接导致人身伤害或死亡（例如，在重型机械上或附近工作的员工、使用/消费产品的客户、在实体设施附近生活/工作的公民等）。此外，其中一些系统距离可以访问或重新启动它们的最近技术人员数百英里/公里。

•与 IT 系统相比，OT 硬件/软件比较陈旧，因为物理设备的运行生命周期比典型的 IT 系统长得多（在许多情况下是 10 倍）。找到 50 或 100 年历史的设备（有些仍然由蒸汽驱动！）在 30 到 50 年前被现代化为电子控制系统的情况并不罕见。

•OT 安全有所不同，因为这些系统在构建时通常没有考虑到现代威胁和协议（并且通常依赖于“生命终结”软件）。许多成熟的 IT 安全最佳实践（如软件修补）在 OT 环境中并不实用或完全有效，因此只能有选择地应用（或安全效果有限）。OT 的基本安全始于网络隔离（包括对隔离边界的良好维护/监控）、威胁监控以及仔细管理供应商访问风险。

Purdue Model

自 1990 年代以来，Purdue 企业参考架构 (PERA)，即 Purdue 模型，一直是组织（有时是分离）企业和工业控制系统 (ICS) 安全措施和网络功能的标准模型。

• 0-3 级（OT 环境）变化不大，并且在今天仍然适用。

• 4 级和 5 级（IT 环境）反映了一种较旧的企业访问控制方法，由于移动和云技术的出现，这种方法正在以零信任原则进行转变。

Blended Attacks

网络安全攻击越来越多地跨越 IT、物联网、OT 和工业物联网环境，要求事件响应流程（和预防策略）融合为跨越这些环境的统一方法（同时仍然根据每个环境的功能和限制进行定制）。

Cloud Connections

组织越来越多地将 OT 环境与基于云的业务分析相连接，以深入了解生产力、敏捷性和工作流管理等。

Isolation and Segmentation

可用于提供隔离和分段的控制措施通常从使用以下任一方式将 OT 环境与公司内部网和互联网隔离开始

• 硬边界 - 完全断开流量，通常在物理上拔掉插头以形成“air gap”

• 软边界- 基于防火墙或其他网络流量过滤器。

    防火墙和忽略风险 - 与任何安全边界一样，软边界需要监控和维护才能随着时间的推移保持有效。 不幸的是，我们看到许多情况下，组织设置防火墙规则来阻止流量，但没有应用完整的人员/流程/技术方法将安全性集成到变更管理中，仔细监控异常，持续审计变更，测试边界 攻击模拟等

• 内部分段——组织还可以通过将 OT 系统组彼此隔离来进一步分段，以进一步阻止攻击。就像在 IT 环境中一样，这种做法需要通信/流量模式与这种方法以及持续的维护、审计、异常管理和其他严格的流程兼容。

    这些安全实践很好地应用了零信任原则，尽管由于 OT 系统的时代，它们受限于静态配置和网络控制。

Microsoft Defender for IoT

Microsoft 的威胁监控方法专注于引入现代安全方法，同时也深刻尊重这些系统的限制和敏感性。该方法基于 CyberX 开发的技术（最近被微软收购并集成）。

解决方案包括

• Network TAP/SPAN（被动收集）——通过被动流量监控提供数据收集，以避免OT和IIoT操作中断。这种被动方法至关重要，因为主动扫描可能会减慢或中断业务运营（可能会改变敏感的物理操作时间或可能会导致旧的 OT 计算机系统崩溃）。

• 适用于物联网的 Microsoft Defender 的传感器和分析通常位于 OT 环境中，以快速解析流量并获得即时的本地洞察力。这些受益于 OT 的确定性/一致性性质（一天发生的事情几乎与其他一天发生的事情相同）

• 本地控制台可以为物理流程的操作员（除了安全操作分析师）提供即时的本地洞察（安全性和生产力）。

• Microsoft Defender for IoT 还提供了一个管理控制台，用于跨多个传感器捕获和关联洞察，并提供对安全操作攻击检测、清单、漏洞评估、攻击模拟等的洞察。

• 这可以在 OT 环境（以尊重隔离边界）或 IT 环境（以更好地与融合的 IT/OT/IoT/IIoT 检测/响应/恢复流程集成）中进行离线托管。

• 这包括将攻击检测映射到 MITRE ATT&CK 框架。

该解决方案方法通过明确验证环境的安全状态并假设攻击者可能会破坏系统并尝试访问 OT 系统，从而体现了零信任原则。

Microsoft Sentinel Integration

Microsoft Defender for IoT 还为你提供了在 Microsoft Sentinel 中集成云分析、编排和剧本的选择。

配置 Microsoft Sentinel 与 Microsoft Defender for Cloud 的集成提供

• 本地 OT 调查和修复手册
• 与 Microsoft Sentinel 中的其他数据源（IT、IoT、物理系统等）的相关性
• 技术威胁情报（IOC 等）和战略威胁情报（攻击组和环境）的集成

原文始发于微信公众号（电驭叛客）：网络安全架构体系参考——操作技术(OT)安全架构参考