连接：工业网络安全的第四大支柱

近期美国关键基础设施遭遇的攻击和美国政府的几项行动，包括2021年7月28日美国总统拜登签署的国家安全备忘录，无不昭示工业控制系统（ICS）网络安全功能现代化的紧迫性。

美国关键行业基础设施中90%是私有的，当前状况下，勒索软件攻击和对基础设施的探测依旧活跃。因此，尽管备忘录强调公私伙伴关系和自愿合作，但传达出的信息很明确：鉴于美国关键基础设施目前的安全脆弱程度，希望基础设施拥有者和运营商能够达到美国国家标准与技术研究所（NIST）和网络安全与基础设施安全局（CISA）列出的绩效目标，并实现各种技术，为控制系统带来可见性、风险管理和检测功能。 

本文旨在提供可行建议，帮助关键基础设施企业的首席信息安全官（CISO）及其团队加强自身工业网络安全计划。其中包括应询问供应商的几个关键问题，可以通过这些问题确保企业获得必要的工业环境可见性，从而了解需要保护哪些内容，应采取哪些具体措施来掌握和降低风险，以及该如何评估威胁检测与响应能力。 

本文中，我们将工业网络安全问题放到企业大背景下观察，研究如何全面保障安全。运用本文中的方法，企业不仅可以尽可能利用现有资源和人员最大化投资回报，还可以显著提升效率，实现覆盖整个企业的全面风险管理。 

连接IT与OT所面临的挑战

工业网络推动业务顺利进行。但很多时候，保护和优化这些网络的工作往往几乎与其他业务环节完全脱节。任何业务决策都应该重点考虑风险因素。然而，考虑到运营场所的复杂性和必须克服的独特困难，企业风险管理计划通常会忽略工业网络风险。

运营技术（OT）网络安全与其他业务之间的脱节，可归咎于难以实现OT环境可见性、缺乏工业网络安全专业知识，以及不兼容IT安全工具。由于料想自己需要不同技术集和工具，很多企业一来就着手设置单独的OT治理流程和安全运营中心（SOC）。 

这么做会引发几个方面的问题：  

● 招聘和留住OT安全专家既难又贵。 

● 对手可不把IT和OT分开看待。攻击都是联动的，因此你肯定不想因为设了两个独立的SOC或者两个独立的团队就漏掉这种联系。

● 重复建设现有治理流程和加倍投入协调资源纯属浪费时间和精力。

单个SOC构建统一战线

最佳网络防御战略是构建统一战线来抵御IT和OT威胁。因此，关键基础设施公司需要从整体上考虑网络安全，由单个SOC统一保护这些曾经独立的环境。规划前进路线时，可考虑以下几点成功的关键：    

● 将保护工业环境安全的职责归集到CISO身上。这么做可以确保企业工业网络安全计划，以及将工业网络安全与其他业务联系起来的计划，都是从上到下驱动的，而且符合企业的独特需求。融合IT/OT SOC只听命于唯一的领导，具有明确定义的岗位和职责，可交付覆盖整个攻击面的跨工作流连续性。企业可以采用相同的流程和报告指标进行治理，实现全面的风险管理与合规。

● 任命其他领导团队成员。指定一名IT/OT网络安全项目经理，他将在项目实施中发挥核心作用。确保挑选注重细节的强势领导者来监督这项工作，此外，他还必须了解并尊重IT和OT团队的工作重点差异。管理IT的团队通常优先考虑数据的机密性、完整性和可用性，而维持OT网络的团队则通常优先考虑工业流程和运营的可用性、可靠性与安全性。另外，每个OT站点都需要指定网络安全站点负责人。此人将作为现场OT人员和SOC之间的联络员，并在必要的时候主管事件响应工作。

● 确保集成现有IT安全资源。为支持统一的IT和OT网络威胁防御，企业的工业网络安全解决方案必须尽可能与现有IT安全系统和工作流程相集成。这些集成应涵盖广泛的用例，包括安全信息与事件管理（SIEM），工作流管理，安全编排、自动化与响应（SOAR），以及网络基础设施工具。手头有丰富的有效集成可用，有助于将核心IT网络安全控制扩展到OT，同时降低现有工具的总拥有成本（TCO），平滑OT网络安全学习曲线。现有团队也就有机会培养各项宝贵技能，而企业也无需另外聘请OT SOC分析师了。

全世界的工业网络安全领导都面临着加强OT网络安全运营的压力。只要让CISO总揽安全职责，设置统一的SOC，创建IT和OT团队都可以使用的解决方案，企业就可以将自身工业网络安全计划与IT计划以及其他业务联系起来。这么做不仅可以优化企业的资源（人才、预算和时间），还可以获得覆盖整个攻击面的连续性。企业的最终目标是可以纵览治理、风险和合规计划，执行覆盖整个企业的风险管理战略。 

---

参考阅读

检测：工业网络安全的第三大支柱

工业互联网安全能力指南（概况）

工业互联网安全能力指南（防护及检测审计）

工业互联网安全能力指南（安全服务）

工业互联网安全能力指南（安全管理平台）

工业互联网安全能力指南（工业靶场）

原文始发于微信公众号（数世咨询）：连接：工业网络安全的第四大支柱