原来你是这样一个IOT：谈IT/OT环境的安全挑战

近年来，制造业和基建设施受到的攻击日益增多——电力、天然气、自来水，甚至核电设备都受到了黑客多种的攻击。不同于IT系统的安全问题，最大的威胁可能是商业业务的停滞以及信息的泄露；OT环境一旦受到攻击，就很有可能会对环境以及人生带来直接的伤害。随着攻击者逐渐将攻击目标转移到了OT上，安全也必须紧跟而上，确保OT的安全。另外，我们同样需要注意到，OT与IT是不分离的；因此， 制造业和基建的安全诉求是IT与OT融合的安全诉求。

OT意为Operational Technology，主要用于生产环境中，对工厂、基建设施中的自动化控制系统提供支持，监测生产环境以及确保正常生产的软硬件技术。

OT/IT面临的安全风险

OT/IT环境面临的风险是多样性的，攻击者的攻击目标也是涵盖多个方面的，主要有以下一些方向：

1. OT/IT本身复杂的环境：OT很难单独于IT存在，OT的环境往往伴随着IT系统与设备。因此，对于整个环境，互连的设备更多，也就容易暴露更多的攻击点。

2. OT与IT并不完全相同的安全诉求：对于IT系统，安全注重于机密性、完整性以及可用性上；而对于OT环境，安全更重要的是对于外在世界的安全性和可靠性、过程可用性、可预测性、生产数据的可靠性以及非破坏性。因此，对于制造业和基建等安全，需要考虑的是IT和OT相结合的安全，而不是单单一方面的解决方案。

3. OT系统自身的缺陷：很多关键的基础设施系统都是持续建立的，因此对这些系统进行补丁以及升级会很困难，这些基础设施的安全性会越来越弱。而过去的事件中可以发现，工业控制系统在逐渐成为受到攻击的关键点，并且越来越容易受到攻击者攻击。

4. 工控系统数据的安全性：工控系统产生的数据是很多攻击者的攻击目标——和IT系统中很多的个人信息一样，这些都是敏感数据。OT环境下同样需要保护敏感数据。但是，对于安全厂商来说，面临的一大挑战就是要去收集和分析这些数据，才能对他们进行保护。而这对于很多传统的互联网安全公司，可能不是那么容易。

5. 针对OT人员的攻击：和IT环境一样，OT环境中的工作人员同样会成为各类社会工程学、钓鱼攻击的目标。攻击者期望目标可能是企业的财政，也很可能是制造商的商业机密、内部信息等等。

OT安全的几大根源

根据上述的几点，我们继续深究制造业和基建的安全隐患，可以发现，OT/IT环境的问题根源来自以下几点：

1. 大约 50% 的工控系统漏洞属于二级漏洞（针对感应器的攻击，改动他们的读数或者相关数值设定）。而即使如此，这些漏洞依然被标记为了“高危”。另外，攻击者也会通过攻击工控系统逐渐攻入整个核心系统，造成更大的影响。

2. 在针对OT系统的攻击当中，有 74% 的攻击采用了“注入意外项目”的攻击方式。与IT相关的攻击进行类比来看，这种攻击类似于 SQL 注入：通过在命令中恶意输入其他数据来尝试扰乱与控制系统。安全厂商和企业显然要针对这个攻击进行防护，对指令的输入等进行监控和过滤。

3. 攻击者主要来自于外部人员——超过 90% 的攻击来自于外部人员。这些外部人员包括资金充裕的黑客、有组织的犯罪集团和民族国家攻击者等。同时我们必须注意到，在剩下的9%的攻击人员中，有5%是因为疏忽的内部人员以及4%的恶意人员。

OT安全的解决理念

在我们意识到了制造业和基建设施这些安全问题的核心后，我们就可以着手去解决这些和新闻。尽管OT环境与IT环境有一定的差异，而相互的融合又使得具体的落地方案更加复杂。但是，安全本身的理念是相通的，不同的只是具体的落地解决方案和采用的技术：

1. 集中式补丁修复，注意数据输入“卫生”：既然知道了现在最多的攻击类型是注入型攻击，那么企业就应该进行相对应的防御。而针对于这类攻击，最直接的防御方式就是对系统进行补丁升级与漏洞修复。然而，正如前面所言，工控系统的问题之一是设备繁多，设计相对封闭与独立，不易于统一进行升级，那么在选取相关的安全厂商时，则需要寻找有相对能力的安全厂商。

2. 终端与事件的响应：工控数据的复杂性造成了对于注入型攻击的识别困难，但是终端需要通过快速识别和检测注入来应对这种最主流的攻击方式。另一方面，这些OT系统本身的性质决定了他们无法随意地进行阻断或者停止服务来阻止攻击的扩散。所以，企业需要一支专业的响应团队来应对事件的发生。

3. 威胁情报进行攻击预防：考虑到很多的工控攻击是来自于有组织的外部攻击者，如果企业有威胁情报进行辅助，就能在攻击发生前意识到自己面临的风险，从而进行相对应的防护。

4. 敏感信息保护：制造业除了维持日常生产的安全，还要对自己的商业机密进行额外的保护。因此，企业需要一套对数据资产的保护措施，从数据的生成、存储、使用、共享、归档与销毁，建立完善的数据保护制度，并根据相对应的要求，从技术上对数据进行保护。

IBM的制造业解决方案

根据以上的解决问题的思路，我们这里以IBM为例，看一下IBM是如何进行OT环境的防护的：

1. 各个保护对象的防御点：工控安全的第一保护对象依然是整个OT环境，因此IBM拥有不同的工具，对不同领域进行了防御：

• Check Point：Check Point是一款低成本的网络通信传感器。它可以通过检测网络流量数据来发现SCADA协议中的异常。
• Verve Industrial：Verve Industrial是一款端点保护工具。对OT环境中的终端设备进行防护。
• Security Matters：Security Matters则是对网络异常状态的检测工具。它支持广泛的工业协议，从而可以应对大部分复杂的OT环境，能检测到配置错误的设备。

2. 各个防御点的集成者QRadar：OT环境是整个环境，仅仅靠数个防御点来保护是远远不够的——因此需要IBM的SIEM系统QRadar对各个防御点进行集成，从而实现整个防御体系的联动。QRadar不仅能结合各个不同防御 工具 的日志，帮助安全运维人员做出更好的分析，更能结合各个防御点，让各个防御系统不再是单兵作战，而是能联动形成一个防御网——用防御的体系来应对一个环境。更重要的是，QRadar和IT/OT/IoT的合作伙伴进行集成，可以持续地对OT系统进行防护——包括困难的系统升级与补丁功能。

3. 威胁情报IBM X-Force Exchange：IBM的一个重要的优势在于他们强大的威胁情报能力。X-Force Exchange每天监控超过150亿的安全事件、从2.7亿个终端实时获取全球威胁情报、监控超过250亿网页和图片、拥有全球最大的漏洞数据库之一以及超过800万的垃圾邮件外加网络钓鱼攻击深度情报和超过86万的恶意IP地址信誉库。通过大量的威胁情报，制造业企业和基建设施可以提前了解到自己是否会受到哪些黑产的攻击。

4. Resilient响应平台：如果说之前的方案都是针对事件发生前对系统的防护，那么Resilient安全事件响应平台则是专门针对安全事件的专家。很多制造业以及关键基础设施缺乏自身专业的安全团队，因此在面对攻击时往往缺乏有效的应急手段。而Resilient平台则可以帮助网络安全团队协调其响应流程的平台，可以解决由于网络安全技能短缺，安全警报不断增加，难以完成的事件响应流程和混乱的监管环境等问题。

安全牛评

如今的环境当中，攻击者的目标已经逐渐从IT环境转移到OT环境。对于制造业和关键基础设施——尤其是关键基础设施企业，保护自身的OT环境已经变得尤为重要。OT环境不仅仅影响到企业自身的生产与安全，很多关键基础设施更是与社会和国家安全息息相关。OT环境很难离开IT环境，使得安全方案变得更为困难。但是，无论是从合规角度，还是从自身生产利益角度，或者是最重要的社会角度，OT环境的安全都必须被放在极高的位置。OT环境的保护不应该成为孤立的保护，需要各个环节的联动协同，必须通过“体系”来应对“环境”，而不是各个防御点单兵作战。因此，相关企业在进行安全的防护时，也需要综合厂商的协同能力进行选择。