在OT事件响应中需要避免的4种错误

首页 / 业界 / 资讯 /  正文
作者:荏珺
来源:安全419
发布于:2023-05-24
随着近年来,传统制造业企业纷纷转型升级,积极布局并持续推进智能制造发展战略,利用IT与OT技术,将传统工厂升级为数字化、网络化、智能化工厂,以智能制造为核心的新一代信息技术与制造业加速融合,已成为全球先进制造业发展的突出趋势。
 
但由于大量的工业控制系统与设备都暴露在网络下,且缺乏有效的安全防御措施,导致制造企业的OT环境正面临着比传统IT环境更为严峻的网络安全隐患,急需得到有效的控制和管理,避免因网络安全问题而造成的工业控制系统网络运行瘫痪。
 
可是在涉及OT事件响应时,许多企业普遍认为其目前为IT网络安全方面所做的培训和策略可以延伸到运营技术/工业控制系统环境中,但事实并非如此,OT环境安全需要涉及其他不同的协议、目标、分析、取证和安全方法。在IT网络中成功运行的措施,在anOT/ICS环境中可能会出现不适应、不实用,相关安全措施但可用性和安全性存在问题。
 
因此,企业必须了解IT和OT在建设安全防御措施之间的关键差异,以绕过可能阻止OT/ICS IR成功的差距或陷阱。一般,企业在事件响应模拟评估期间需要注意以下四点。



隔离,再进行后续操作”

OT 基础设施与传统 IT 网络截然不同。在IT环境中,隔离或关闭系统以防止进一步感染是一种正常且相对常见的做法,在OT环境中,隔离或关闭系统只会带来更重大的影响。
 
例如,企业在遭遇管道攻击后,大部分企业会选择主动关闭OT系统,以避免受到被入侵的内部系统影响。但OT系统每分钟的停机时间成本更高,并且需要花费大量时间和资源才能再次重启运行。如果IT部门遭遇了网络攻击,IT服务器可以离线,并在大约一天内就能够创建一个新的服务器并启动。在Colonial的案例中,其因DarkSide的勒索软件攻击而暂停运营,在支付赎金后,花了五天时间才完成大规模的重启和恢复操作。
 
过早地开始补救

安全运营中心(SOC)的IT安全人员大多数并不具备OT系统的相关认知,对OT设备中的数据传输也没有深入了解。SOC团队成员在收到OT系统中异常波动的警报时,很容易按照惯性思维直接关闭系统。可是如果OT系统停止运作,会对生产力造成巨大损失,也不利于OT工程师的下一步修复操作。
 
在最终责任归属上缺乏一致性

大部分企业的IT和OT团队之间相互独立。如果SOC负责企业所有IT系统的安全性,这是否包括了OT系统?OT系统不是IT系统,但OT系统中涵盖了部分IT资产,所以这些资产属于OT还是IT?企业在制定安全防御策略时,必须要考虑以上问题。因此,IT和OT团队必须协同工作,形成一个完整的安全框架并将所有安全信息汇总到一起,统筹处理安全问题。
 
对于目标的理解存在差异

当SOC向OT工程师发送安全报告,要求修补、修复或更改OT系统中的某些内容时,部分OT专业人士并不会照做。这是因为,OT和IT方面的相关专家对于修复、修改系统的目的缺乏理解、存在明显差异,同时,团队之间沟通也明显不足。
 
那么,企业如何克服这些挑战呢?

沟通和妥协对于建立团队信任至关重要。企业不应该让安全专业人员去决定OT系统中需要改变什么,而应该与OT专业人员合作,积极主动地将这两个团体聚集在一起,为实现共同的安全目标而努力。企业的CISO或安全部门经理可以实施结构化的培训计划,模拟IT和OT的网络安全和事件响应团队应该如何在现实生活中协同工作。同时,每个环节的员工都应该定期接受安全意识培训,以协力预防常见的恶意行为。
 
此外,采用适当的安全工具也是不二之选。在被感染的IT网络中,提前介入并强制隔离恶意软件,避免其进一步传播。通过适当的计划以及现代化安全工具的应用,也可以实现OT的正常运行、安全性和可靠性。安全419了解到,工业网络安全企业天地和兴旗下拥有多款工控安全产品,其深入研究工控安全检测、工控安全防御、工控安全审计等多个领域,能够为客户提供更专业的全生命周期工业网络安全服务,赋能客户构建纵深防御的科学防护体系。