隨著企業投資數字化轉型，工業網絡安全將越來越成為通過技術創新安全可靠推進業務目標的關鍵推動因素。雖然運營技術(OT)的轉型帶來了巨大好處，但也隨之帶來了網絡安全風險。

對此，Dragos發布了《工業網絡安全管理指南》報告，詳細分析了企業如何更好地保護運營技術系統，具體包括：ICS/OT系統成為業務運營的關鍵、數字化轉型及連通性增加OT系統風險及暴露程度、OT與IT網絡安全的不同之處、OT威脅形勢快速增長且日益復雜、與IT相關的威脅仍然影響OT、修復OT漏洞及IT漏洞的不同方法、評估及應對獨特的OT網絡安全威脅。

一、工業網絡安全的重要性

隨著企業大力投資數字化轉型，工業網絡安全將越來越成為通過技術創新安全可靠地推進業務目標的關鍵推動因素。推進運營技術(OT)的連接性和數字化可為企業帶來重大利益，包括：

● 提高自動化程度;

● 提高流程效率;

● 更好地利用資產;

● 增強用于業務預測和設備可維護性的機械遙測功能。

但是，當這種連接的網絡風險沒有與創新同步解決時，安全事件的影響可能會加劇，從而減少收益。

近期發生了一些關鍵基礎設施的事件，如發電廠使用易受攻擊的IT遠程管理工具、Oldsmar水處理設施及Colonial天然氣管道遭受破壞性網絡攻擊。這些風險因缺乏有效的OT網絡安全準備而加劇。

二、主要趨勢

● 90%的組織對其OT環境(包括ICS網絡、資產及其之間的信息流)的可見性非常有限，甚至無法了解;

● 88%的組織在ICS網絡周圍表現出較差的安全邊界，這意味著通過IT網絡或整個互聯網遭受攻擊的風險增加;

只有五分之一的組織每年進行一次以上的ICS網絡安全評估;

● 近一半甚至不做年度評估;

● 63%的受訪者表示，OT和IT安全風險管理工作沒有協調，因此難以在OT環境中實現強大的安全態勢。

三、工業環境中的OT

工業控制系統(ICS)和運營技術(OT)是控制整個企業物理流程的系統和網絡。ICS/OT系統架起了從軟件世界到物理世界的橋梁。

在工業環境中普遍存在的ICS/OT系統是控制物理過程的系統，包括發電、石油和天然氣精煉和管道、自動化采礦設備和工廠自動化。但OT實際上存在于比這更廣泛的用例中。它對于在數據中心、大型建筑和校園中運行倉儲和配送系統、運輸線路，甚至HVAC系統至關重要。簡而言之，OT之于物理系統就像IT之于業務系統。

OT和IT通常共享相似的技術，運行在相似的操作系統、網絡連接和數字架構上。但是OT并不是直接與IT一一對應。OT工作環境與IT非常不同，并且與業務的核心功能相關：生產電力、制造產品、運輸產品以及保持設施的開放性和功能性。

因此，OT的業務風險不同，OT的業務連續性要求要更為嚴格，并且增加了物理安全考慮因素和監管義務。

OT系統也經過嚴格設計，與專用機器密緊密相連，采用獨特的協議運行，并且比IT設備的生命周期長得多。OT系統運行的流程需要來自運營商的極其深厚的領域專業知識，才能勝任管理和監督。此外，OT中復雜的供應商關系通常會在合同中規定如何以及何時更改系統配置，甚至誰可以進行這些更改。

這些OT系統首先在“氣隙”環境中發展，并且不與外部IT系統連接。即使這種情況發生了變化，OT仍然在一個遠離IT的世界中運行。直到最近，也很少有IT供應商能夠根據OT環境的獨特需求定制網絡安全解決方案，因此與IT相比，OT網絡中潛在風險的可見性通常非常有限。

四、OT網絡安全的重要性

隨著數字化轉型計劃的加速，依賴工業流程推動核心業務的企業集體站在了網絡風險的十字路口。在數字時代，公司領導層推動其組織使用先進技術來提高生產力、效率、質量和安全性。然而，實現這些目標所需的數字化進步和超連接性為新的網絡風險打開了大門，并加劇了現有的風險。

雖然IT和OT系統多年前使用類似的技術融合，但網絡安全主要集中在IT系統上，造成了IT與OT的網絡安全差距。這種滯后的原因是多方面的，因為許多利益相關者都有這些誤解：

● OT系統保持氣隙，或氣隙仍然足夠;

● 物理風險管理措施足以保證工業系統的安全;

● 網絡安全措施總是會帶來不成比例的運營風險;

● 現有工具未能解決OT網絡安全的獨特性。

面對這些持續存在的OT網絡安全誤解，數字化轉型繼續推進，進一步增加了OT系統與更廣泛的企業和互聯網的連接性。因此，OT網絡風險和暴露不斷增加。

許多IT網絡安全策略人員專注于隱私問題，將稀缺資源從OT中更多的生存風險中轉移，例如安全風險、業務連續性風險、知識產權風險、以及公司聲譽和品牌的風險。

根據2020年IDC對1,014家制造商的調查結果顯示，79%的全球運營資產連接到網絡，高于2016年的60%。其余的21%運營資產中，大部分根本沒有數字功能。

Forrester Research研究人員Allie Mellen及Steve Turner表示，“關鍵基礎設施提供商正成為勒索軟件攻擊者的目標，因為當受到勒索軟件攻擊時，他們需要在關鍵業務流程無限期暫?；蛑Ц囤H金之間做出選擇?！?/span>

Gartner分析師Barika Pace表示，“IT和OT系統的融合正在挑戰許多安全實踐，以定義與轉型和現代化環境保持一致的最佳安全架構。OT所有者的氣隙受到侵蝕?！?/span>

新書《網絡危機》作者、前奧巴馬政府網絡安全專員Eric Cole表示，“關鍵基礎設施始終設計為將控制系統與企業網絡和互聯網隔離并在物理上分開。這些系統最初是為了實現自動化，并因新冠疫情而加速，現在已連接到互聯網。已知的漏洞使它們很容易成為目標?！?/span>

五、工業網絡威脅形勢

與此同時，工業攻擊的頻率和復雜性正在增加。不僅存在針對IT資產的威脅和攻擊載體的交叉，而且存在越來越多的專門針對ICS/OT環境的威脅行為者。在2020年Dragos威脅情報團隊報告表示，明確試圖訪問ICS網絡和運營的主動威脅的增長速度是處于休眠狀態時的三倍。

針對OT的勒索軟件的興起預示著該領域目前正在加速發生的風險。2020年，Dragos情報分析人員發現了第一個針對ICS資產的勒索軟件證據，攻擊頻率在一年中不斷增加。到2021年上半年，工業界遭受了兩次勒索軟件攻擊。在過去的18個月中，Dragos目睹了一系列針對工業環境的其他威脅活動，包括：

● 水坑憑證獲取攻擊和隨后使用有效賬戶對歐洲關鍵基礎設施發起入侵;

● 針對美國電力行業的初步訪問和偵察活動;

● 針對涉及遠程訪問木馬(RAT)惡意軟件的美國公用事業公司的活動;

● 完全入侵歐洲能源組織的IT網絡及其Active Directory。

美國CISA表示，“與OT網絡和設備的遠程連接提供了可被網絡參與者利用的已知路徑。應盡可能減少外部接觸?！?/span>

現如今，很多OT攻擊者的行為都集中在安靜的前置和偵察工作上，如果沒有適當的可見性，這些攻擊就不會被發現。隨著時間的推移，威脅行為者通常會緩慢地制定計劃和活動，由于先前的努力，后續的活動會更成功且更具破壞性。Dragos分析人員追蹤的許多威脅可能不會引起重大破壞，但它們通常為演變成未來可能具有破壞性的攻擊奠定了基礎。

六、OT及IT安全性差異

許多網絡安全風險管理模式和實踐都與OT和IT領域相關。例如，通過減少重要資產周圍的攻擊面和強化配置來限制風險暴露的方式在OT環境中同樣適用。

但是，許多根本差異對OT中的網絡安全戰略和執行產生了重大影響。有效管理OT環境中的網絡安全風險需要認識到一些關鍵差異。

風險狀況不同：OT漏洞帶來的最高風險往往是威脅系統可用性或完整性的風險，而不是威脅系統處理數據的機密性的風險。雖然IT經常被隱私和數據泄露問題所困擾，但讓OT運營商夜不能寐的是系統中斷或故障，這可能威脅到業務甚至人員的安全。

策略及方法不同：不適合OT的安全措施導致的安全事件和停機的后果比IT系統的要嚴重得多。雖然在IT中仍有可能，但OT攻擊可能更容易影響品牌、股票價格和創收。但是，暫停水電大壩的運行或制造設施中的連續過程以實施安全控制或修補操作系統根本不可行。此外，嚴格的安全法規對系統的處理方式增加了額外的限制。

技術不同：OT系統使用不同的協議，適用于特定用途的硬件和軟件，每個組織具有特有的配置、神秘的嵌入式技術和各種端點，其中許多端點運行不受支持的版本，由于運營風險而無法更改。昂貴的OT機器的生命周期以幾十年來衡量，遺留的系統根深蒂固。

漏洞及補丁方法不同：對于許多OT和ICS系統，沒有每周或每月的維護窗口，管理員可以輕松地推送補丁。在許多情況下，通過側重于網絡配置更改而不是修補的緩解措施，可以更好地解決ICS環境中的漏洞。此外，用于檢測IT系統漏洞的傳統主動掃描方法可能會導致OT環境中的重大流程中斷。

所需技能不同：OT系統的獨特性質意味著操作人員必須具備一套非常專業的流程管理和工程領域專業知識。這意味著安全團隊需要特別小心地與專家密切合作以協調安全執行。

利益相關者不同：由于業務風險如此之高，OT網絡風險管理是一項組織范圍的活動。CISO作為風險顧問發揮著關鍵作用，但風險由各業務部門領導以及最終由CEO和董事會承擔。規劃和戰略必須與所有相關利益相關者持續合作，特別是在保持OT設備運行和維護復雜ICS供應商關系方面具有專業知識的運營工程師。

七、評估及應對風險

由于OT安全的獨特性質，工業網絡安全計劃不能是IT網絡安全計劃的復制粘貼。ICS環境需要專門針對工業組織面臨的不同任務、挑戰和威脅量身定制的網絡安全策略和工具。

制定OT網絡安全規劃：有效的工業網絡安全計劃往往由OT資產的威脅和后果驅動，優先考慮資產的業務價值和給定攻擊場景的可能性。

理想情況下，組織應該能夠在整個OT環境中獲得可見性、控制和最低限度的網絡安全衛生，但這需要時間和金錢。為了制定可以逐步采用良好網絡安全實踐的可靠網絡安全路線圖，組織應首先從發現流程開始，從董事會、高管利益相關者和資產所有者那里收集與OT流程相關的最高業務優先級的意見，然后進行調查，了解所有現有OT資產以及這些資產如何映射到高優先級流程的環境。

然后，團隊根據業務重要性識別并排列所涉及的OT資產。在此基礎上，團隊應繪制出最有可能影響高優先級資產的威脅驅動和后果驅動的場景。

威脅驅動場景是威脅情報報告顯示會影響組織的場景。結果驅動場景是通過從管理層希望在ICS環境中避免的高優先級的攻擊的導致的最壞結果，然后向后移動，并勾勒出可用于觸發它們的常見攻擊技術，來構建結果驅動場景。

考慮到這些情況，團隊應該檢查現有的控制措施，以及它們如何與攻擊者在每種情況下使用的戰術、技術和程序(TTP)相抗衡。使用它來識別與理想控制相比的差距，這為制定路線圖提供了基礎。隨后將其分解為持續改進的多年計劃，根據從利益相關者那里收集的資產排名，優先考慮投資范圍和速度。

獲取正確工具：許多IT檢測和監控工具無法很好地轉換到ICS環境。IT檢測工具通常無法與OT系統很好地交互，或者在ICS環境中不實用。例如，端點保護不適用于PLC。

更重要的是，檢測機制和輸出都是基于以IT為中心的威脅，因此對于OT運營商來說重要的上下文和相關性將丟失。機器學習模型在ICS環境中沒有用處，因為它們是為IT環境設計和調整的。Dragos研究人員發現，Windows防病毒軟件經常誤報ICS應用程序，因為其不習慣ICS功能運行方式，對于啟發式引擎來說很奇怪。

這就是組織需要特定于OT的網絡安全工具的原因，支持工業環境中最重要的風險管理。

技能提升：OT網絡安全是一項專門的工作。雖然企業網絡安全團隊可以牽頭制定戰略規劃，與大量的OT利益相關者協作，甚至承擔一些日常工作，但該團隊將需要額外的資源來執行計劃。對于許多組織而言，快速建立必要技能的最佳方法是利用合作伙伴和第三方來彌補內部差距，例如聘請公司進行快速事件響應。

IDC研究報告顯示，由于董事會層面對安全風險的要求，到2023年，90%的工業公司將開發IT驅動的OT安全治理，以支持工程師通過關聯資產進行快速創新。

參考資源：

【1】Dragos，An Executive’s Guide to Industrial Cybersecurity,Nov.2021

【2】https://www.cyberscoop.com/the-benefits-of-understanding-industrial-technology/

來源：天地和興