工業企業如何創建OT網絡安全計劃
責編:gltian |2023-02-03 10:47:01目前,許多工業企業正在計劃實施OT(Operation Technology)網絡安全計劃來提升其生產安全態勢,但情況卻不容樂觀,因為OT網絡中包括一系列與物理生產環境緊密連接的系統和設備,例如:工業控制系統、工業自動化系統、運輸系統、環境監測系統等,安全人員往往難以找到一套統一的完整計劃參考標準框架。然而,有一些最佳實踐經驗可以作為工業企業制定OT網絡安全計劃的基礎。
OT網絡的關注點
OT環境帶來了異于IT的關注。例如,OT的首要問題是確保數據的可用性、完整性和保密性。由于OT的重點是控制和監測物理過程和環境,可用性發揮著關鍵作用。OT系統必須持續可用,并能對事件和警報做出實時響應。此外,任何未經授權的修改(即數據完整性的喪失)都會使控制系統失效,并導致災難的發生。
此外,使用壽命長、淘汰、健康、安全和環境問題都是推動OT決策的因素,而這些因素在IT領域并不總是發揮重要作用。IT的重點按順序分別是保密性、完整性和可用性。這是因為IT強烈強調用戶隱私,使得保密性特別重要。
構建操作技術網絡安全計劃
一個OT網絡安全計劃應該解決所有可能的OT問題,這些問題最終會給企業帶來風險。如下的安全原則和標準可以作為一個有效的網絡安全計劃的基礎:
- 國際電工委員會(IEC)的IEC 62443系列標準,包括專門為確保ICS安全而制定的標準;
- NIST的CSF,一個專門為減輕組織的網絡安全風險而建立的框架;
- 網絡安全能力成熟度模型(C2M2),一個專門用于指導OT相關網絡安全能力和活動的成熟度模型;
- 普渡企業參考架構(PERA),在OT行業大量使用的功能架構;
- NIST特別出版物(SP)800-82,一個OT最佳實踐;
- ICS供應商,他們經常發布白皮書和其他支持資源,可用于建立網絡安全計劃。
在創建和實施有效的OT網絡安全計劃方面,不存在一個一勞永逸或一刀切的方法。應結合使用所列選項來創建一個有效的、有目的的OT網絡安全計劃。像C2M2這樣的成熟度模型是一個很好的起點。C2M2是為OT定制的,提供了OT網絡安全計劃應支持的能力和活動。與其他成熟度模型不同,C2M2還提供了一種衡量網絡安全成熟度能力的方法,從而量化了項目的成熟度。這提供了一個不斷改進的途徑。可以創建與C2M2網絡安全領域相一致的治理文件,以確保所有能力和活動都得到關注。
此外,以C2M2為基礎建立的網絡安全計劃可以映射到IEC 62443網絡安全控制,以確保實施人員、過程和技術(PPT)控制,進一步豐富C2M2中規定的活動。這種雙向的方法解決了高層次的能力和低層次的技術控制。例如,在C2M2 v2.1中,在第三方風險管理領域的管理第三方風險目標中,描述了與識別和實施網絡安全要求有關的活動。IEC 62443-2-4提供了指導,在實施時,可以實現C2M2的活動。
結論
對OT基礎設施的攻擊正在增加,企業必須開始解決OT網絡安全的需求,以減輕和對抗攻擊。應采用有組織、一致、可擴展和標準驅動的方法來制定OT網絡安全計劃。應利用特定的OT標準、框架或成熟度模型建立OT網絡安全計劃。理想情況下,從業人員應從具有測量方法的特定OT成熟度模型開始。這將有助于組織確定其當前的安全態勢并計劃未來的改進。此外,從業人員應采用特定于OT的標準和控制措施,以啟用和實施成熟度模型中的活動。