缩小 OT 网络安全人才缺口的 4 种方法

1. 交叉培训 IT 安全人员。如果在招聘 OT 网络安全职位时遇到挑战，请为一些 IT 员工进行实践培训，以便他们可以花时间跟从 OT 工程师和操作员。OT 系统确实有非常不同的规格，但鉴于其较长的生命周期，它们中的大多数都已过时。因此，经验丰富的 IT 人员应该会惊喜地发现他们熟悉许多底层技术。 

从那里，IT 人员需要掌握这些系统和网络的不同要求，没有比实践更好的方法了。这包括了解修补可编程逻辑控制器 (PLC) 需要什么，如何实施维护窗口，以及如何规划在更新和维护 OT 系统和网络时需要采取的所有安全措施。这种方法的好处是 IT 员工已经熟悉公司及其流程，并且可能知道在哪里寻找所需的知识。当您在招聘方面遇到挑战时，这可能是一种更省时、更具成本效益的方式来启动OT 安全计划。更不用说它提供了在 IT 和 OT 团队之间建立桥梁的额外好处，这将在未来带来红利。

2. 与教育机构合作。查看不同教育机构提供的新 OT 网络安全计划。目前还没有足够的项目，但许多项目已经开始跨学院和大学创建。如美国则有爱达荷州立大学提供为期两年的课程，毕业生获得工业网络安全工程技术的 AAS，威尔明顿大学提供监督控制和数据采集 (SCADA) 网络安全研究生证书，其他学校提供个人 OT 安全课程作为学位的一部分在网络安全方面。为课程做出贡献、建立奖学金计划和提供实习机会是学生毕业时吸引人才的好方法。 这点也可以为我国工业控制OT人员培养提供借鉴。

3. 考虑政府举措的作用。在政府层面，新加坡最近在应对这一挑战方面取得了巨大进展，可以作为榜样。2021 年 10月，新加坡网络安全局 (CSA) 成立在私营部门实体的支持下，运营技术网络安全能力框架 (OTCCF) 为该国 OT 网络安全部门吸引和培养人才奠定了基础。虽然 CSA 多年来一直提供 OT 网络安全课程，但 IT 和 OT 系统之间日益增强的连接性正在推动对需要 IT 和 OT 能力的工作角色的更大需求，因此 OT 工程师需要更深入的技术培训。OTCCF 不仅映射了所需的工作角色、技术技能和核心能力，还捕捉了可能的职业道路，显示了纵向和横向发展的选择。

随着网络安全和基础设施安全局 (CISA) 和白宫对 OT 系统的高度关注及其在地缘政治紧张局势下的重要性，美国联邦政府的一项类似举措将有助于促进这一相当新的领域。尽管 CISA 确实提供了一些培训，但鼓励公私合作的更广泛的方法不仅会推动需求方，而且会促进供应方，因为它可以为教育工作者和培训师提供急需的最佳实践和全面发展的要求。OT 网络安全教育计划。我国则以工信部为主的监管部门，也在不遗余力的培养适合我国的OT人才。

4. 依靠技术来提供帮助。 工业环境中的资产难以检测、难以管理，甚至更难以保护——尤其是在我们不断扩大的连接设备和设备领域。技术正在朝着解释 OT 网络的晦涩难懂的方向迈进一大步，一直延伸到扩展物联网 (XIoT)，其中包括您的 OT 环境、工业物联网设备 (IIoT)、医疗物联网 (IoMT) 和企业物联网。 

参考来源：securityweek

原文始发于微信公众号（祺印说信安）：缩小 OT 网络安全人才缺口的 4 种方法