在OT事件响应中需要避免的4种错误

  随着近年来，传统制造业企业纷纷转变发展方式与经济转型，积极布局并持续推进智能制造发展的策略，利用IT与OT技术，将传统工厂升级为数字化、网络化、智能化工厂，以人机一体化智能系统为核心的新一代信息技术与制造业加速融合，已成为全世界先进制造业发展的突出趋势。

  但由于大量的工业控制管理系统与设备都暴露在网络下，且缺乏有效的安全防御措施，导致制造企业的OT环境正面临着比传统IT环境更为严峻的网络安全风险隐患，急需得到一定效果的控制和管理，避免因网络安全问题而造成的工业控制管理系统网络运行瘫痪。

  可是在涉及OT事件响应时，许多企业一致认为其目前为IT网络安全方面所做的培训和策略可以延伸到运营技术/工业控制管理系统环境中，但事实并非如此，OT环境安全需要涉及其他不同的协议、目标、分析、取证和安全方法。在IT网络中成功运行的措施，在OT/ICS环境中有极大几率会出现不适应、不实用，相关安全措施的可用性和安全性存在问题。

  因此，企业一定了解IT和OT在建设安全防御措施之间的关键差异，以绕过可能阻止OT/ICS IR成功的差距或陷阱。一般，企业在事件响应模拟评估期间必须要格外注意以下四点。

  OT 基础设施与传统 IT 网络截然不同。在IT环境中，隔离或关闭系统以防止进一步感染是一种正常且相对常见的做法，在OT环境中，隔离或关闭系统只会带来更重大的影响。

  例如，企业在遭遇管道攻击后，大部分企业会选择主动关闭OT系统，以避免受到被入侵的内部系统影响。但OT系统每分钟的停机时间成本更高，并且要消耗大量时间和资源才能再次重启运行。如果IT部门遭遇了网络攻击，IT服务器可以离线，并在大约一天内就能够创建一个新的服务器并启动。在Colonial的案例中，其因DarkSide的勒索软件攻击而暂停运营，在支付赎金后，花了五天时间才完成大规模的重启和恢复操作。

  安全运营中心（SOC）的IT安全人员大多数并不具备OT系统的相关认知，对OT设备中的数据传输也没有进一步探索。SOC小组成员在收到OT系统中异常波动的警报时，很容易按照惯性思维直接关闭系统。可是如果OT系统停止运作，会对生产力造成巨大损失，也不利于OT工程师的下一步修复操作。

  大部分企业的IT和OT团队之间相互独立。如果SOC负责企业所有IT系统的安全性，这是否包括了OT系统？OT系统不是IT系统，但OT系统中涵盖了部分IT资产，所以这些资产属于OT还是IT？企业在制定安全防御策略时，必须要考虑以上问题。因此，IT和OT团队必协同工作，形成一个完整的安全框架并将所有安全信息汇总到一起，统筹处理安全问题。

  当SOC向OT工程师发送安全报告，要求修补、修复或更改OT系统中的某些内容时，部分OT专业技术人员并不会照做。这是因为，OT和IT方面的相关专家对于修复、修改系统的目的缺乏理解、存在很明显差异，同时，团队之间沟通也明显不足。

  沟通和妥协对于建立团队信任至关重要。企业不应该让安全专业技术人员去决定OT系统中需要改变什么，而应该与OT专业技术人员合作，积极主动地将这两个团体聚集在一起，为实现共同的安全目标而努力。企业的CISO或安全部门经理可以实施结构化的培训计划，模拟IT和OT的网络安全和事件响应团队该怎么样在真实的生活中协同工作。同时，每个环节的员工都应该定期接受安全意识培训，以协力预防常见的恶意行为。

  此外，采取了适当的安全工具也是不二之选。在被感染的IT网络中，提前介入并强制隔离恶意软件，避免其进一步传播。通过适当的计划以及现代化安全工具的应用，也能轻松实现OT的正常运行、安全性和可靠性。