IT和OT的协同防护已刻不容缓 3点入手

对于IT系统来说，大家比较熟悉，但对于以工业自动化控制系统为代表的OT(操作技术)系统却要相对陌生。实际上近年来针对OT发动的攻击却此起彼伏，如电力、医疗、公共设施等，安全己转向IT和OT协同防护。

常被忽视的OT

首先，我们来了解下IT与OT。IT即信息技术，是用于管理和处理信息所采用的各种技术总称，主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。而OT (Operational Technology)，则指操作技术，是工厂内的自动化控制系统操作专员为自动化控制系统提供支持，确保生产正常进行的专业技术。

一般来说，在网络风险面前，IT系统拥有较为健全的安全体系，其防护也备受重视，然而如今生产过程已同信息交互结合的越来越紧密，甚至要呼唤新的运营模式，好让IT和OT进一步深度融合，形成一个贯穿整个制造企业的技术架构。但事实上，面向OT系统的安全威胁却常被忽视。这不仅由于OT中的安全程序和技术应用与IT系统大相径庭，还由于每个垂直行业业务特征存在较多差异。可实际上OT系统面临的问题与IT系统同样严峻。

OT安全怎样搞?

在2018年Verizon数据违规调查报告(DBIR)中，除了金融服务行业外的OT系统违规行为(不是事故)高达649个，占该报告违规行为中的29.2%。这意味着虽然并未直接出现安全事故，但这些OT系统中却存在“网络珍珠港”，随时可发生大灾难。

既然之前被忽视了，那从现在开始，对于OT安全就要重视起来，可具体要怎样搞呢?拥有OT系统的企业在应对安全威胁时，可以从下面3点入手。

1. 企业环境都不了解 没法防

如果企业没有花时间来清点其系统并评估给定环境的安全状况，那么这个企业就处于严重的危机中。而一旦管理者不了解其中的基础架构，各平台的连接方式，使用或生成的数据，以及这些数据对业务的影响，那么要想保护其IT/OT环境不受侵扰简直是不可能的。

因此，对于传统的工业化环境来说，一定要先清楚自身的基础架构、系统环境，对各种可能发生的威胁展开预判与监控。这样的话，面对攻击时，企业也能够快速地检测到并及时处置。

2. IT和OT要协同防护

在了解了企业环境后，就要将IT和OT的安全防护协同起来，不仅仅是在架构层面，还要在内部团队、安全厂商等层面上建立协同机制。通过几方协同把防护机制建立起来，把工业主机保护好，确立长期的漏洞攻防机制，IT和OT协同的应急响应处置机制等。

而促使IT和OT协同防护的另一个原因，还有网络边界的日益模糊。比如2017年国家电网公司的互联网边界就曾遭受不同程度的网络攻击，攻击数量同比增长将近50%，在2018年上半年该数字则同比翻了一倍。在这种严峻的态势下，如果将IT和OT防护割裂开，显然是不切实际的。

此外，强化安全厂商、工控厂商、系统集成商，甚至监管部门间的无间协作也相当重要。一旦发现安全隐患，或安全厂商收集到OT相关的威胁情报，能够及时将其同步给企业、监管部门形成协同联动，让工业企业可以迅速做出响应，赢得时间。

3. 网络分段不能少

除了建设协同机制，网络分段亦不能少。这是由于许多OT系统部署在扁平网络拓扑内，而在不应该产生交互的系统之间没有任何分段，为蓄意攻击提供了跳板。那么具体该如何做呢?

在评估网络拓扑和数据流之后，开发出网络分段策略就很必要了。这些策略类似于描述控制访问的区域和管道的各种行业标准语言。而这些策略的目标则是减轻与异常网络流量相关的漏洞或问题的潜在损害。当然，完全的隔离无法实现，但只要连接，尽量仅在IT、OT系统间传递所需的必要流量，并且应该强制执行各个区域之间的通信路径限制等手段进行安全监管。

结语

随着5G临近，万物互联时代即将开启，网络的边界更加模糊，如何确保涉及国计民生的OT系统安全，显然不能将其孤立考虑。这时，IT和OT的协同防护无疑更为靠谱。此外，建设必要的威胁态势感知系统，通过应用人工智能和大数据技术，实现安全数据、环境数据、情报数据的关联分析，实现对威胁的快速识别与有效处置，最终达到攻击事件过程可追溯，攻击链路可揭示，让攻击者无所遁形的目的。