IT和OT融合治理是工业4.0之后提的非常多的一件事情,经过若干年的努力,很多地方的IT与OT之间其实已经做了非常多的探讨。我们一起看看原西门子负责监督其保护工业客户免受网络攻击的服务的开发的工业安全服务的全球主管的一些观点。
在过去几年中,大多数大型企业在定义其运营技术 (OT) 治理战略和在降低风险方面取得有意义的进展方面取得了长足的进步。除了技术创新,最重要的成功因素是治理计划的结构和执行方式。最重要的是组织结构驱动战略的指导原则。
意思是什么?
在拥有大量网络物理系统 (CPS) 足迹的组织(例如,制造、石油和天然气以及制药)中,CISO 及其安全团队需要与 OT 工程团队协作来定义和执行 OT 战略。虽然大多数组织都在 CISO 下对 OT 网络安全进行集中治理和责任,但魔鬼在他们如何定义和实施它的细节上。
实施的细节以及组织的结构都属于一个范围——对安全团队的“控制”从少到多。多种变体运作良好,并且相信关键是清楚地了解每个团队的边界和责任。在重新设计组织或仅使用继承的内容时,至少需要考虑三个主要方面,以创建一个可以有效降低风险的策略。其中包括预算、实施和持续报告。
预算
许多公司正在转向对OT网络安全项目进行集中预算分配,但这在实践中意味着什么可能会有很大差异。发现以下问题有多少答案:
- 谁拥有预算?
- 分配难易程度?
一方面,OT 网络安全项目的预算可能只是安全团队预算中的一个成本中心项目。这里的风险在于,项目的推出取决于 OT 的批准和实施,并且预算可能无法在与其可用性相一致的时间范围内分配。在另一个极端,每个站点都有自己的预算,这会阻碍整个攻击面的全局部署和连续性,这使得很难使用一致的基准进行管理。无论您的预算流程是什么,请确保它在实践中支持您的合并团队的决策结构和时间表。
实施
鉴于 OT 网络安全的日益成熟,大多数组织都处于了解并同意需要实施的风险降低类别的阶段。挑战通常来自实际的推出和实施。组织需要了解并在以下方面保持一致:
- 谁可以(远程和物理)访问部署新技术的CPS 和网络?
- 谁来设计部署?新技术将如何融入企业的其他安全工具?
成功最终归结为一组非常具体的IT和OT组合技能,一般情况下这很难找到。一些公司花费时间和精力来交叉培训他们的团队或尝试从外部招聘,这也是一项艰巨而长期的任务。鉴于 OT 网络安全人才缺口,交叉培训可能更节省时间和成本效益。需要了解技术的操作方面以及在部署新技术时要考虑的任何限制的人。对现有员工进行投资为专业发展提供了机会,并为建立团队之间的关系创造了额外的好处。
持续报道
这可能是最重要的方面。需要能够持续监控 CPS 的网络态势,将该信息与组织的其他网络态势叠加,然后继续调查事件。沿着这条道路前进时,有几个方面需要解决:
- 谁使用来自CPS 和网络的安全遥测?
- 这些数据是否与来自其他网络的安全遥测和洞察相关联?
- 如何解释数据以及谁采取行动?
部分要求是协调信息流,另一部分是拥有对 CPS 有足够了解的 SOC 分析师层,他们可以对警报进行分类。当需要更深入地了解这些系统及其正常模式时,分析师还需要接触OT工程师。连接和协作受到组织结构以及团队之间培养的非正式关系的影响。
最常见、最有效的组织设计由安全团队中的一个小型、专门的团队组成,团队被指派直接与OT工程合作,并在 CPS 环境中执行更改方面具有不同程度的权限(通常是间接借助工程团队)。典型的实施是“两合一”模型——安全工程师和 OT 工程师共同负责每个站点的实施。虽然正式的组织结构推动了OT治理战略和降低风险的有意义的进步,但一个关键的成功因素是 IT 和 OT 组织之间的非正式关系。这需要信任,信任需要时间,所以请勿拖延。
