《2018關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估報(bào)告》:OT/IT融合的必要性

6月24日訊 專注安全、國防和基礎(chǔ)設(shè)施的數(shù)字化解決方案公司 Parsons 發(fā)布《2018關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估報(bào)告》。這份針對(duì)美國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)300名工業(yè)控制系統(tǒng)（ICS）和運(yùn)營技術(shù)（OT）工程師的調(diào)查報(bào)告顯示：工程師、OT 環(huán)境專家和 IT 專家之間極度缺乏協(xié)作，且確保網(wǎng)絡(luò)攻擊彈性的模型無法反映出完全融合的 OT/IT 方法。

《2018關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估報(bào)告》內(nèi)容

Parsons 聯(lián)邦業(yè)務(wù)部門負(fù)責(zé)人凱里·史密斯（Carey Smith）表示，關(guān)鍵基礎(chǔ)設(shè)施中安裝的聯(lián)網(wǎng)設(shè)備正在提高運(yùn)營效率，工業(yè)控制環(huán)境中的聯(lián)網(wǎng)設(shè)備增多伴隨著網(wǎng)絡(luò)風(fēng)險(xiǎn)的加劇，日益復(fù)雜的攻擊有了更多的訪問點(diǎn)。這項(xiàng)調(diào)查凸顯出一個(gè)事實(shí)：融合 OT 和 IT 解決方案滯后于融合威脅?；贐olt-on、軟件和以IT為中心的解決方案并非適用于 應(yīng)對(duì)OT 網(wǎng)絡(luò)威脅。

網(wǎng)絡(luò)犯罪損失將占全球經(jīng)濟(jì)的10%

美國國土安全部（DHS）的預(yù)測(cè)，預(yù)計(jì)到2021年，網(wǎng)絡(luò)犯罪損失每年將會(huì)達(dá)到6萬億美元，幾乎占全球經(jīng)濟(jì)的10%。

?66％的受訪者表示，其所在組織機(jī)構(gòu)正將更多聯(lián)網(wǎng)工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備添加到 OT 環(huán)境的工業(yè)控制系統(tǒng)中。

?78%的受訪者表示，并未高度參與 ICS 網(wǎng)絡(luò)安全工作。

?80%的受訪者表示，OT 環(huán)境目前在使用老舊的技術(shù)或新技術(shù)，或兩者兼而有之。如今許多新的聯(lián)網(wǎng) IIoT 設(shè)備部署了額外的網(wǎng)絡(luò)安全保護(hù)，但老舊的技術(shù)要么未部署網(wǎng)絡(luò)保護(hù)，要么依賴過時(shí)的策略，已無法抵御攻擊的軟件補(bǔ)丁。

90%的關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)屬于私營部門

對(duì)于美國來說，超過90%的關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)屬于私營部門，了解 OT 和 IT 網(wǎng)絡(luò)解決方案的融合程度需要靠關(guān)鍵基礎(chǔ)設(shè)施企業(yè)和單位的員工、管理層和董事會(huì)成員的共同努力。

政府和私營部門的基礎(chǔ)設(shè)施運(yùn)營商越來越頻繁地報(bào)告針對(duì) OT 和 IT 關(guān)鍵基礎(chǔ)設(shè)施環(huán)境的網(wǎng)絡(luò)攻擊：

2015年烏克蘭電力系統(tǒng)遭遇攻擊被中斷；

2018年3月美國電網(wǎng)曾遭遇來自俄羅斯的網(wǎng)絡(luò)攻擊。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（簡(jiǎn)稱NIST）等網(wǎng)絡(luò)安全標(biāo)準(zhǔn)組織已要求推出解決方案，應(yīng)對(duì)不斷變化的威脅形勢(shì)，加強(qiáng) OT 和 IT 技術(shù)融合，制定流程更有力地應(yīng)對(duì) ICS 和 OT 系統(tǒng)面臨的網(wǎng)絡(luò)威脅。

OT/IT融合的必要性

Parsons 總結(jié)指出，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的工程師對(duì)運(yùn)營技術(shù)（OT） 環(huán)境面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)有高度的認(rèn)識(shí)，但 IT 部門和高級(jí)管理人員采取的標(biāo)準(zhǔn)和實(shí)踐并未跟上快速變化的威脅。黑客及其他不法分子的攻擊手法層出不窮，負(fù)責(zé)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的利益相關(guān)方時(shí)間緊迫。Parsons 為此提出如下建議：

?一、定義 IT/OT 融合

對(duì)于關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)方而言，缺乏廣泛認(rèn)可的 IT/OT 融合定義。Parsons 建議為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的利益相關(guān)方制定一套定義和標(biāo)準(zhǔn)，以加強(qiáng) OT 網(wǎng)絡(luò)安全。

二、?培訓(xùn)

關(guān)鍵基礎(chǔ)設(shè)施組織機(jī)構(gòu)必須提供培訓(xùn)和教育，以提高 OT 工程師和專業(yè)人員的網(wǎng)絡(luò)安全能力。培訓(xùn)將提升 OT/IT 協(xié)作的有效性，并有助于確保 OT 在網(wǎng)絡(luò)安全規(guī)劃和資源配置方面擁有一席之位。

三、?OT 網(wǎng)絡(luò)安全設(shè)計(jì)

通過 bolt-on 解決方案來解決過時(shí)或老舊的設(shè)備的安全性是一種挑戰(zhàn)，組織機(jī)構(gòu)應(yīng)將 OT 網(wǎng)絡(luò)安全納入升級(jí)和新 OT 系統(tǒng)的設(shè)計(jì)過程。

四、?規(guī)劃 OT 網(wǎng)絡(luò)安全工作

應(yīng)組建領(lǐng)導(dǎo)和管理團(tuán)隊(duì)來解決 IT/OT 漏洞，這就要求組織機(jī)構(gòu)結(jié)束在部門內(nèi)（例如 IT 或 CIO 辦公室）采取“煙囪式”（Stove-Piping）網(wǎng)絡(luò)安全做法，并制定相關(guān) IT和OT 部門協(xié)作的固定流程和做法。

?五、鼓勵(lì)對(duì)話

關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)方應(yīng)盡力鼓勵(lì)網(wǎng)絡(luò)安全和 OT 漏洞方面的研究、信息共享和行業(yè)范圍內(nèi)的對(duì)話。