近期美國(guó)關(guān)鍵基礎(chǔ)設(shè)施遭遇的攻擊和美國(guó)政府的幾項(xiàng)行動(dòng)，包括2021年7月28日美國(guó)總統(tǒng)拜登簽署的國(guó)家安全備忘錄，無不昭示工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全功能現(xiàn)代化的緊迫性。

美國(guó)關(guān)鍵行業(yè)基礎(chǔ)設(shè)施中90%是私有的，當(dāng)前狀況下，勒索軟件攻擊和對(duì)基礎(chǔ)設(shè)施的探測(cè)依舊活躍。因此，盡管備忘錄強(qiáng)調(diào)公私伙伴關(guān)系和自愿合作，但傳達(dá)出的信息很明確：鑒于美國(guó)關(guān)鍵基礎(chǔ)設(shè)施目前的安全脆弱程度，希望基礎(chǔ)設(shè)施擁有者和運(yùn)營(yíng)商能夠達(dá)到美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)列出的績(jī)效目標(biāo)，并實(shí)現(xiàn)各種技術(shù)，為控制系統(tǒng)帶來可見性、風(fēng)險(xiǎn)管理和檢測(cè)功能。

本文旨在提供可行建議，幫助關(guān)鍵基礎(chǔ)設(shè)施企業(yè)的首席信息安全官(CISO)及其團(tuán)隊(duì)加強(qiáng)自身工業(yè)網(wǎng)絡(luò)安全計(jì)劃。其中包括應(yīng)詢問供應(yīng)商的幾個(gè)關(guān)鍵問題，可以通過這些問題確保企業(yè)獲得必要的工業(yè)環(huán)境可見性，從而了解需要保護(hù)哪些內(nèi)容，應(yīng)采取哪些具體措施來掌握和降低風(fēng)險(xiǎn)，以及該如何評(píng)估威脅檢測(cè)與響應(yīng)能力。

本文中，我們將工業(yè)網(wǎng)絡(luò)安全問題放到企業(yè)大背景下觀察，研究如何全面保障安全。運(yùn)用本文中的方法，企業(yè)不僅可以盡可能利用現(xiàn)有資源和人員最大化投資回報(bào)，還可以顯著提升效率，實(shí)現(xiàn)覆蓋整個(gè)企業(yè)的全面風(fēng)險(xiǎn)管理。

連接IT與OT所面臨的挑戰(zhàn)

工業(yè)網(wǎng)絡(luò)推動(dòng)業(yè)務(wù)順利進(jìn)行。但很多時(shí)候，保護(hù)和優(yōu)化這些網(wǎng)絡(luò)的工作往往幾乎與其他業(yè)務(wù)環(huán)節(jié)完全脫節(jié)。任何業(yè)務(wù)決策都應(yīng)該重點(diǎn)考慮風(fēng)險(xiǎn)因素。然而，考慮到運(yùn)營(yíng)場(chǎng)所的復(fù)雜性和必須克服的獨(dú)特困難，企業(yè)風(fēng)險(xiǎn)管理計(jì)劃通常會(huì)忽略工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)。

運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)安全與其他業(yè)務(wù)之間的脫節(jié)，可歸咎于難以實(shí)現(xiàn)OT環(huán)境可見性、缺乏工業(yè)網(wǎng)絡(luò)安全專業(yè)知識(shí)，以及不兼容IT安全工具。由于料想自己需要不同技術(shù)集和工具，很多企業(yè)一來就著手設(shè)置單獨(dú)的OT治理流程和安全運(yùn)營(yíng)中心(SOC)。

這么做會(huì)引發(fā)幾個(gè)方面的問題：

• 招聘和留住OT安全專家既難又貴。
• 對(duì)手可不把IT和OT分開看待。攻擊都是聯(lián)動(dòng)的，因此你肯定不想因?yàn)樵O(shè)了兩個(gè)獨(dú)立的SOC或者兩個(gè)獨(dú)立的團(tuán)隊(duì)就漏掉這種聯(lián)系。
• 重復(fù)建設(shè)現(xiàn)有治理流程和加倍投入?yún)f(xié)調(diào)資源純屬浪費(fèi)時(shí)間和精力。

單個(gè)SOC構(gòu)建統(tǒng)一戰(zhàn)線

最佳網(wǎng)絡(luò)防御戰(zhàn)略是構(gòu)建統(tǒng)一戰(zhàn)線來抵御IT和OT威脅。因此，關(guān)鍵基礎(chǔ)設(shè)施公司需要從整體上考慮網(wǎng)絡(luò)安全，由單個(gè)SOC統(tǒng)一保護(hù)這些曾經(jīng)獨(dú)立的環(huán)境。規(guī)劃前進(jìn)路線時(shí)，可考慮以下幾點(diǎn)成功的關(guān)鍵：

• 將保護(hù)工業(yè)環(huán)境安全的職責(zé)歸集到CISO身上。這么做可以確保企業(yè)工業(yè)網(wǎng)絡(luò)安全計(jì)劃，以及將工業(yè)網(wǎng)絡(luò)安全與其他業(yè)務(wù)聯(lián)系起來的計(jì)劃，都是從上到下驅(qū)動(dòng)的，而且符合企業(yè)的獨(dú)特需求。融合IT/OT SOC只聽命于唯一的領(lǐng)導(dǎo)，具有明確定義的崗位和職責(zé)，可交付覆蓋整個(gè)攻擊面的跨工作流連續(xù)性。企業(yè)可以采用相同的流程和報(bào)告指標(biāo)進(jìn)行治理，實(shí)現(xiàn)全面的風(fēng)險(xiǎn)管理與合規(guī)。
• 任命其他領(lǐng)導(dǎo)團(tuán)隊(duì)成員。指定一名IT/OT網(wǎng)絡(luò)安全項(xiàng)目經(jīng)理，他將在項(xiàng)目實(shí)施中發(fā)揮核心作用。確保挑選注重細(xì)節(jié)的強(qiáng)勢(shì)領(lǐng)導(dǎo)者來監(jiān)督這項(xiàng)工作，此外，他還必須了解并尊重IT和OT團(tuán)隊(duì)的工作重點(diǎn)差異。管理IT的團(tuán)隊(duì)通常優(yōu)先考慮數(shù)據(jù)的機(jī)密性、完整性和可用性，而維持OT網(wǎng)絡(luò)的團(tuán)隊(duì)則通常優(yōu)先考慮工業(yè)流程和運(yùn)營(yíng)的可用性、可靠性與安全性。另外，每個(gè)OT站點(diǎn)都需要指定網(wǎng)絡(luò)安全站點(diǎn)負(fù)責(zé)人。此人將作為現(xiàn)場(chǎng)OT人員和SOC之間的聯(lián)絡(luò)員，并在必要的時(shí)候主管事件響應(yīng)工作。
• 確保集成現(xiàn)有IT安全資源。為支持統(tǒng)一的IT和OT網(wǎng)絡(luò)威脅防御，企業(yè)的工業(yè)網(wǎng)絡(luò)安全解決方案必須盡可能與現(xiàn)有IT安全系統(tǒng)和工作流程相集成。這些集成應(yīng)涵蓋廣泛的用例，包括安全信息與事件管理(SIEM)，工作流管理，安全編排、自動(dòng)化與響應(yīng)(SOAR)，以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施工具。手頭有豐富的有效集成可用，有助于將核心IT網(wǎng)絡(luò)安全控制擴(kuò)展到OT，同時(shí)降低現(xiàn)有工具的總擁有成本(TCO)，平滑OT網(wǎng)絡(luò)安全學(xué)習(xí)曲線?，F(xiàn)有團(tuán)隊(duì)也就有機(jī)會(huì)培養(yǎng)各項(xiàng)寶貴技能，而企業(yè)也無需另外聘請(qǐng)OT SOC分析師了。

全世界的工業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)都面臨著加強(qiáng)OT網(wǎng)絡(luò)安全運(yùn)營(yíng)的壓力。只要讓CISO總攬安全職責(zé)，設(shè)置統(tǒng)一的SOC，創(chuàng)建IT和OT團(tuán)隊(duì)都可以使用的解決方案，企業(yè)就可以將自身工業(yè)網(wǎng)絡(luò)安全計(jì)劃與IT計(jì)劃以及其他業(yè)務(wù)聯(lián)系起來。這么做不僅可以優(yōu)化企業(yè)的資源(人才、預(yù)算和時(shí)間)，還可以獲得覆蓋整個(gè)攻擊面的連續(xù)性。企業(yè)的最終目標(biāo)是可以縱覽治理、風(fēng)險(xiǎn)和合規(guī)計(jì)劃，執(zhí)行覆蓋整個(gè)企業(yè)的風(fēng)險(xiǎn)管理戰(zhàn)略。