供应链是工业网络安全的薄弱环节 工业组织应怎么来实现OT安全目标

  数字化转型大潮之下，OT与IT的融合受到了广泛的重视，但毋庸置疑的是，由于金融行业、互联网行业对安全更加敏感，近些年来，随着全球的一些攻防演练，以及网络安全技术的普及，上述领域的安全性本身得到大幅度提高，但在工业网络领域的OT安全建设方面，仍存在一定的滞后性。

  软件供应链安全是近两年来最热门的话题之一，在工业网络安全领域，也同样如此。为越来越好的应对此类风险，针对第三方供应商的风险管理计划慢慢的变成了工业组织必须拥有的安全措施之一。不过，大多数第三方风险管理计划都是以IT为重点的，而在OT方面，由于一些OT供应商拥有访问OT环境的访问权限，以进行故障排除、维护等，因此，企业非常有必要对这些供应商构成的潜在风险做评估，并纳入到企业的第三方风险管理计划中，因为他们的访问权限尤其是远程访问OT环境的权限会带来明显的安全风险。除此之外，在现场访问环境时通常涉及外接USB设备和其他方式的直接访问，这也可能将恶意软件引入OT环境，不过这类方式目前还不用过于担心，毕竟当前的供应商对这些已具备普遍认知的操作风险都有应对，但即便如此，对公司而言，仍需将其纳入到OT风险管理之中。

  众所周知，勒索软件攻击目前已经广泛地开始针对软件供应链，慢慢的变多的供应商受到勒索软件的影响，这些勒索软件攻击了他们的OT环境，进而影响了他们向客户提供产品和服务的能力，这反过来又会影响客户的运营。

  提及针对工业网络的勒索软件攻击，安全419曾在此前的《勒索攻击解决方案》系列访谈选题中，专门与国内工业网络安全领域企业威努特的产品经理李之云就应对工业领域的勒索软件攻击进行了交流，他在接受我们采访时表示，数字化转型贯穿各行各业，以工控领域关基设施为代表，此前几乎完全处于隔离状态，但随工业互联网、数字化转型的融合加速推进，来自互联网另一侧的威胁也随之而来。同时过去勒索软件大多分布在在Windows系统平台，现在也已侵害到多系统平台，加之工控系统安全建设普遍滞后，工控关基设施勒索攻击形势已十分严峻。

  因此，第三方风险管理计划的范围也要进一步地扩大，包括OT中的关键供应商（那些其产品或服务对组织自己的OT运营至关重要的供应商）。不过问题就在于，现有的第三方风险计划通常不评估OT环境中的安全风险。能够正常的看到的是，尽管OT安全方面的框架和最佳实践正在不断涌现，但通常情况下，企业仍然需要依赖OT安全专家来协助做好事前的安全评估和事后的补救建议。最后，在选择关键OT产品的供应商时，最好确定一下该供应商是否通过了ISA/IEC 62443标准，该标准涵盖了从供应商、系统集成商到用户关于工控信息安全的要求，以实现全面的防护。

  OT安全中最大的问题是IT和OT之间的文化鸿沟。IT安全是一个成熟的领域，拥有标准、框架和大量成熟的和新兴的技术。反观OT安全领域却还不成熟，缺乏具有OT安全经验、安全技术能力强的人员。从历史上看，IT和OT一直在安全方面独立工作，OT工程师在OT环境中监督安全，在这种环境中，由于环境基本处在物理隔离或者是非常有限的互联网连接状态下，安全并不那么关键。然而，当前大多数OT环境都已经连接到企业的IT环境和互联网，工业4.0以及数字化转型推动了OT环境与网络连接的速度和规模，包括与云的连接，因此，IT/OT环境的融合使得IT和OT团队必一起努力来确保它们的安全。不可否认，IT和OT的安全之间有着一种类似文化鸿沟的障碍，而跨越它的方式中，通过将IT和OT两个团队结合在一起，并创建由两个团队共同拥有的OT安全战略被认为是有效的，将来自IT、OT的技术团队以及安全团队的成员组织在一起，一同基于某个网络安全框架（如NIST网络安全框架等）展开讨论，在互相理解和尊重的前提下，探讨怎么样做协同并实现共同目标——安全，力求两个团队能够共同制定出一个适用于该企业的安全战略路线，那么相对而言，该安全战略的成功机会无疑会大幅提升。

  说到目标，此前国内工业网络安全领域企业——天地和兴的工业网络安全研究院曾发表文章表示，任何为降低OT环境中的风险而设计的网络安全计划都应具有与为IT设备设计的网络安全计划相同的结果，其中NIST网络安全框架列出了22种结果类别，互联网安全关键安全控制中心列出了20种结果类别，并表示这两个框架大致相似。

  此外，天地和兴工业网络安全研究院还就NIST《管理物联网(IoT)网络安全和隐私风险的考虑》的报告进行了解读，并对其中所强调的降低OT设备风险的四个重要领域进行了展开，详细的细节内容如下：

  1、资产管理。在整个OT设备生命周期中维护所有设备及其相关特性的当前、准确库存，以便将该信息用于网络安全和隐私风险管理目的。

  2、漏洞管理。识别并消除OT设备软件和固件中的已知漏洞，以降低被利用和破坏的可能性和容易程度。

  3、访问管理。防止相关人员、进程和其他计算设备对OT设备的没有经过授权和不当的物理和逻辑访问、使用和管理。

  4、设施安全事故检测。监控和分析OT设备的活动，以发现涉及设备安全的事故迹象。

  确保IT和OT网络安全的理论是存在的，但要将其付诸实践存在许多障碍，天地和兴副总裁杨小帅在此前接受安全419采访时表示，OT与IT环境差异明显，但同时又在不断融合，传统安全手段不适用工业网络，工业公司的安全建设难度比只涉及IT网络的行业更大。（详情见：安全419《工业网络安全解决方案》系列选题——天地和兴篇）

  由此可见，对那些规模不大、财力不强的工业组织而言，要想做好OT网络安全的难度可谓是难上加难，针对这一问题，同样专注于工业网络安全的企业Dragos建议相关的OT安全计划中，应优先着重关注以下5点：

  1、ICS特定事件响应计划：为特定位置的特定网络威胁场景创建专门的OT事件响应计划，并通过模拟演练的方式以不断地测试和改进相关计划。

  2、建立防御架构：移除无关的OT网络接入点，在IT/OT接口点保持有效的策略控制，并缓解高风险漏洞，以实现对OT环境的加固，当然，这也包括维护它的人员和流程。

  3、可见性：看不见的东西是保护不了的，因此就需要维护相关的资产清单，并积极监控通信流量以发现潜在威胁。

  4、多因素身份验证：多因素身份验证(MFA)是一种在IT领域中被视为有效的经典手段，也可以适当应用于OT环境。尤其是MFA可以以比较小的投资增加额外的安全防护。

  5、重点漏洞管理：去年发布了1200多个OT特定漏洞。有效的OT漏洞管理计划需要及时了解适用于环境的关键漏洞，以及在继续运行的同时尽可能减少暴露的替代缓解策略。

  在当前数字化转型不断加速的时代，电力、水务、燃气、交通……工业设施犹如城市的中枢神经和毛细血管，嵌入在我们生产生活的方方面面，面对日益升级的网络威胁和对抗，OT作为工业网络中的重要组成部分，如何有效保障其安全运行，成为保证工业组织业务运转乃至社会稳定运行的关键之一。

  为此，安全419为帮助厘清工业设施面临的真实安全威胁以及刚性合规要求，于今年特别推出了《工业网络安全解决方案》系列选题，意在探讨分析中国工业企业面临的重重安全挑战，通过分享展示不同的安全解决方案的差异和优势，为工业公司开展网络安全建设工作提供一定的参考。