風險OT 和 IT網(wǎng)絡安全之間的共同點

在我們之前的文章“是什么讓OT 資產(chǎn)清單比IT 更復雜”中，我們討論了OT 環(huán)境的復雜性和敏感性如何使企業(yè)IT 和網(wǎng)絡安全經(jīng)理很難獲得完整、實時的OT 資產(chǎn)清單及其原因擁有這樣的庫存是至關重要的。

首先，資產(chǎn)清單提供了可見性，因此您知道自己擁有什么、它在哪里以及它做什么。雖然準確的資產(chǎn)清單對任何網(wǎng)絡安全計劃都至關重要，但這僅僅是個開始。問題仍然存在，“我如何處理資產(chǎn)信息？我如何利用它來保護公司和工業(yè)運營？”

答案在風險。

每個人都了解風險

為了在整個企業(yè)中實現(xiàn)端到端的網(wǎng)絡安全，OT和 IT團隊應該協(xié)作來識別、評估和降低風險。為此，資產(chǎn)發(fā)現(xiàn)必須擴大到包含 OT設備——理想情況下是100% 的設備。完整準確的 IT-OT 資產(chǎn)清單可以讓每個人都保持一致，并為企業(yè)IT 和網(wǎng)絡安全經(jīng)理提供急需的透明度。

通常由于預算與價格的限制，許多企業(yè)IT 團隊已經(jīng)滿足于60% 或 70%的 OT資產(chǎn)可見性，因為這是他們所能承受的。未被發(fā)現(xiàn)的 OT資產(chǎn)通常位于工業(yè)網(wǎng)絡的邊緣或“不太重要”的站點，在這些站點部署“重型”和昂貴的收集器代理的成本太高。但是，缺少 40% 的OT 資產(chǎn)的庫存數(shù)據(jù)庫會產(chǎn)生40% 的固有風險，即使是最好的網(wǎng)絡安全計劃也會遭到破壞。

有時，供應商會提供更輕便、成本更低的收集器代理，但功能較少且功能有限，因此企業(yè)可以更廣泛地部署它們。但隨后解決方案的質(zhì)量和效率降低，并且發(fā)現(xiàn)仍然沒有覆蓋100% 的 OT資產(chǎn)。為了評估風險，工業(yè)企業(yè)需要更多而不是更少的信息。組織應關注具有成本效益的解決方案和架構(gòu)，以建立全面的IT/OT 資產(chǎn)清單。

OT資產(chǎn)情報

除了基本資產(chǎn)發(fā)現(xiàn)之外，OT資產(chǎn)清單還應通過映射每個設備的漏洞、位置、關鍵性、可修補性、誰負責為資產(chǎn)提供服務等來提供每個設備的安全視角。這種資產(chǎn)智能使IT 和網(wǎng)絡安全團隊能夠根據(jù)絕對風險、相對風險和風險對組織的重要性來評估OT 漏洞。借助資產(chǎn)情報，IT 和SOC 團隊可以構(gòu)建更有效的網(wǎng)絡安全計劃，并根據(jù)組織可能面臨的眾多風險確定工作負載的優(yōu)先級。

跨越筒倉

OT資產(chǎn)庫存（或缺乏）不僅僅是需要克服的工具或技術障礙。工業(yè)企業(yè)會欣然同意，這也是一個挑戰(zhàn)，源于傳統(tǒng)上在獨立的IT 和 OT孤島中工作。在這方面，端到端資產(chǎn)清單/智能工具可以幫助OT 和 IT團隊圍繞他們所需的寶貴風險信息團結(jié)起來。

考慮正在尋找威脅的SOC 團隊。他們需要端到端的可見性來查看所有風險。SOC分析師不能中途停下來，因為他們無法進入OT 空間或從OT 系統(tǒng)收集信息。端到端 IT/OT/IoT資產(chǎn)清單是一種工具，可以提供急需的透明度，并讓不同的團隊圍坐在一起討論如何打破這些障礙并實現(xiàn)更好的資產(chǎn)管理、風險管理和網(wǎng)絡安全整個工業(yè)企業(yè)。

惡意行為者不會在邊境停留。由 Lockheed Martin 開發(fā)的網(wǎng)絡殺傷鏈解釋了攻擊者如何在網(wǎng)絡中移動以識別和利用漏洞。網(wǎng)絡殺傷鏈概述了一系列追蹤網(wǎng)絡攻擊階段的步驟，從最初的調(diào)查到數(shù)據(jù)泄露。該模型幫助我們了解和對抗勒索軟件、安全漏洞和高級持續(xù)攻擊(APT)。

“工業(yè)”網(wǎng)絡殺傷鏈強調(diào)需要一種協(xié)調(diào)的網(wǎng)絡安全方法，同時考慮IT 和 OT環(huán)境——如果您在 OT和 IT之間進行劃分，壞人不在乎！例如，在偵察期間，攻擊者試圖收集有關目標系統(tǒng)的信息并識別可被利用的漏洞——這可能涉及IT 或 OT系統(tǒng)，或兩者兼而有之，具體取決于他們想要的結(jié)果。

此外，網(wǎng)絡內(nèi)的橫向移動是一種越來越普遍的技術，攻擊者以工業(yè)企業(yè)為目標，使用這些技術來訪問其他系統(tǒng)和信息。攻擊的這一階段涉及從網(wǎng)絡中的一個系統(tǒng)或資產(chǎn)轉(zhuǎn)移到另一個系統(tǒng)或資產(chǎn)以獲取訪問權限；它可以在任一方向發(fā)生，從 IT 到OT 或從 OT到 IT。識別橫向移動對于在其軌道上阻止復雜事件和 APT至關重要。

IT/OT融合和系統(tǒng)相互依賴

由于對工業(yè)環(huán)境的連接要求和數(shù)據(jù)分析需求不斷增加，IT和 OT系統(tǒng)、流程和人員之間的分界線正變得越來越模糊。這些系統(tǒng)增加的連接性和重要性為其適應性、彈性、安全性和安全性帶來了更大的挑戰(zhàn)。即使是不使用“IT/OT 融合”一詞的工業(yè)公司也需要了解這兩個領域的固有風險。

共同目標必須是確保整個公司的安全，而前進的道路包括尋找共同點；這是成功實現(xiàn) IT/OT 融合的唯一方法。這種方法可確保企業(yè)在日益互聯(lián)和不安全的世界中保持競爭力、安全和高效。OT 和 IT部門之間缺乏信任、理解和/或協(xié)作可能會破壞組織的安全狀況。連接這兩個世界的關鍵是將您的目光放在獎品上——將組織的風險降到最低。

隨著IT/OT 融合的加劇，從圍欄兩邊的人開始，圍繞共同目標建立信任并確保其簡單性至關重要。要了解和衡量整個工業(yè)企業(yè)的固有網(wǎng)絡風險，必須從業(yè)務風險而非技術角度來理解風險。IT 和 OT人員需要了解彼此截然不同的世界觀，建立團隊信任，并共同努力以從頭到尾降低組織的網(wǎng)絡風險。

IT和 OT的一個真實來源

組合的IT/OT 資產(chǎn)清單可以幫助將組織中的每個人聚集在一起，圍繞一個統(tǒng)一的網(wǎng)絡視圖，并最終了解風險。通過使用統(tǒng)一的資產(chǎn)清單，IT 和OT 人員都能夠：

識別漏洞：通過創(chuàng)建所有IT/OT資產(chǎn)的清單，可以更輕松地識別系統(tǒng)中的任何潛在漏洞并確定需要保護、修補或更新的區(qū)域的優(yōu)先級，從而最大限度地降低被攻擊者利用的風險，特別是在橫向運動方面。

評估風險：有了全面的清單，就可以更輕松地評估與每項資產(chǎn)相關的風險水平。這可以幫助組織根據(jù)其環(huán)境和對業(yè)務的潛在影響確定優(yōu)先保護哪些資產(chǎn)的優(yōu)先級。

管理訪問：通過了解存在哪些資產(chǎn)，可以更輕松地管理對這些資產(chǎn)的訪問，從而有助于防止未經(jīng)授權的訪問并降低數(shù)據(jù)泄露、網(wǎng)絡攻擊和其他安全事件的風險。

監(jiān)控活動：IT/OT資產(chǎn)清單還可用于監(jiān)控每項資產(chǎn)的活動，幫助組織檢測任何可能表明正在發(fā)生安全事件的異常行為。

隨著IT/OT 融合的加劇，從圍欄兩邊的人開始，圍繞共同目標建立信任并確保其簡單性至關重要。要了解和衡量整個工業(yè)企業(yè)的固有網(wǎng)絡風險，必須從業(yè)務風險而非技術角度來理解風險。IT 和 OT人員需要了解彼此截然不同的世界觀，建立團隊信任，并共同努力以從頭到尾降低組織的網(wǎng)絡風險。