工业企业正在积极应对OT 安全面临的新威胁，并开始采取行动。图片来源：Brett Sayles

　　工业网络安全领导者（包括企业的高管、首席信息安全官、安全团队和运营领导者）正在意识到网络事件对企业财务、运营和安全的潜在影响。为了确保网络中具有挑战性部分的安全问题，许多企业希望获得对OT 资产神秘世界的可见性，或者将OT 网络中的数据收集到事件检测过程中，以识别潜在威胁。

　　一些企业需要根据监管结构采取具体的安全措施。他们忙于参加会议、制定计划、参加网络架构研讨会等很多活动，还要在人力资源减少以及新冠疫情影响的情况下，保持工厂的正常运营。

　　我们必须放慢脚步， 问一些最基本的问题：我们真的在改善工厂的风险状况吗？ 我们是否准备好应对真正我们正在取得进展吗？我们是否准备好应对真正的威胁了，还是仅仅能够检测到异常行为？我们需要在网络安全问题上设置更明确的目标。

　　一般来说，OT 安全有两个主要目标：降低风险和应对威胁，其最终目标是减少对OT 运营的潜在影响。

　　许多工业企业都想实现“可见性”或“可检测性”，但不清楚最终目标是什么，也不知道如何衡量这些目标。如果我们得到很多检测结果，那么这是好还是不好呢？如果有了可见性，是否就增加了安全性呢？了解这两个核心基础及其关键组成部分，有助于帮助企业确定最佳路径。

　　降低工业环境风险的3个步骤

　　1 创建OT 环境风险状态的实时视图

　　降低风险的第一步是风险意识。大多数企业从OT 环境脆弱性评估开始着手，然后估计每个潜在风险的可能性和潜在影响。这是一个必要的步骤，但这只做这个，还远远不够。

　　随着时间的推移，一次性或不经常更新的评估会过时，很难跟踪风险降低的进展。成功降低风险，需要不断更新风险评估。

　　2 采取补救措施降低风险

　　有时，需要执行特定操作来降低特定风险。如果评估识别出未打补丁的系统、不安全的配置、休眠或不安全的帐号以及糟糕的访问控制等方面的风险，下一步必须是要采取措施降低这些风险。

　　可操作性要求企业管理其OT 终端。他们必须从供应商手中夺回控制权，并确保配置得到强化，网络设备得到更新和管理，用户及账号得到清理等。对这些终端的操作， 说明了为什么只有风险检测是远远不够的， 还必须闭环来补救风险。

　　3 跟踪并报告运营情况

　　保运营环境安全的一大好处是，领导层和员工能够适应严格的运营管理。安全性需要与制造或供应链一样的卓越运营。运营管理的基础是跟踪关键指标的绩效并报告绩效。无论是“红绿”仪表盘还是百分比完成度， 一个强大的风险降低计划都需要建立明确的指标，并随着时间的推移而对其进行监控。

　　该报告还应包括每个指标的负责人。在安全方面， 需要与运营领导就维护和改善OT 团队进行沟通，确定总体风险状况的责任人（这个对话也许并不总是令人愉快的）。

　　有效应对威胁的3个要素

　　1 制定响应流程和计划

　　在几乎所有网络安全标准中，事件响应计划都很常见，因为它们对实时阻止潜在攻击的能力至关重要。但是，许多事件响应过程都停留在一系列高等级程序或政策，比如当你发现问题时给谁打电话，如何与主管部门沟通，以及将谁作为事件响应供应商。

　　现在，更多的企业已经意识到需要针对具体的I T/OT 环境，制定更详细、更具体地事件响应计划。Colonial 输油管事件突显了在OT 环境中，有限的响应计划所带来的风险。他们对勒索软件的解决方案是停止运营。这可能是一个必要的步骤，但强大的事件响应计划的关键，是针对每个威胁确定最小破坏响应（LDR）。

　　通过了解OT 风险态势的细节（降低风险第一步的一部分）可以建立L D R。为了定义破坏性最小的响应，组织需要了解每项资产的风险状况和知识，以减少不同类型威胁的影响。

　　2 扩展检测和响应

　　扩展检测和响应（X D R）是一个越来越流行的安全行业术语，用于定义遏制现代威胁所需的广泛遥测。在OT 中，“X D R”经常被弃用，主要是因为风险来自自动化响应操作。但我们不应该抛弃“扩展检测”的概念。这是指从OT 系统收集广泛的数据集——终端日志、用户行为、网络流、防火墙日志， 甚至物理过程报警——并使用综合分析来识别潜在威胁。在I T 世界中，没有哪个安全领导人会接受单一形式的遥测技术（比如数据包检查），作为检测的唯一答案。在OT 中， 也不应该如此。

　　集成这些不同形式的遥测还可以减少误报，而这些误报会使安全运营中心（SOC） 团队疲于应付，导致他们无法响应最关键的报警。

　　3 快速响应且易于执行

　　如前所述，企业需要制定LDR 计划—— 破坏性最小的响应。但他们也需要以快速但安全的操作方式来响应事件。一个威胁应对计划的好坏，取决于组织在紧急情况下执行该计划的能力。

　　该计划应得到人员、流程和技术的支持， 使安全团队（包括安全专家和工业流程专家） 能够采取必要的安全措施来阻止威胁。这包括：删除特定用户、更改密码、删除某些端口和服务、修补系统等。在OT 领域，这些步骤通常是手动的，或者需要供应商参与其中。为了快速响应，企业需要具有在必要时采取有针对性的响应行动的能力。

　　这些响应行动应由安全和运营人员团队管理。与自动响应成为常态的IT 不同，OT 团队认为在响应需之前，需要人为审查潜在威胁以及对运营潜在的负面影响。我们称之为“全局思考、本地行动”的方法。工业企业正在积极应对OT 安全面临的新威胁，并开始采取行动。这是个好消息。然而，在采取可能不会真正改善安全的行动之前，我们都需要后退一步，先确定总体目标是什么， 以及如何确保在降低风险和应对威胁这两个关键因素方面取得实质性进展。（作者 | John Livingston ,Verve Industrial）