解決IT和OT融合的挑戰
作者:John Maddison
作者:John Maddison
幾十年來,我們將計算機和資料網路稱為資訊科技(IT; information technology);工業控制系統(ICS; industrial control system)的操作和程序控制,則通常被稱為運營科技(OT)。OT是在隔離和獨立的網路中執行,目標與要求和IT完全不同,但這些己開始發生變化。
在最基本的層面上,IT負責資料的建立、傳送、儲存和保護。網路遭入侵可能會對組織產生直接的財務衝擊,通常會讓客戶喪失信心,遭受罰款和處罰,甚至是訴訟。
OT則專注於建立和維護具有實體影響的控制過程,例如製造廠房和生產環境現場。然而,最近的發展,包括需要更有效地在數位化市場中競爭,現在這些傳統上彼此獨立的運作環境正在融合。越來越多的產業已開始藉由部署新的工業物聯網(IIoT)設備(例如智慧電錶、自動化資產分配系統,以及自我監控變壓器),將網路和數位通訊整合到OT之中。
這些變化並非沒有風險。因為成功鎖定OT ICS、監控和資料擷取控制系統(SCADA),甚或連接設備(例如閥門、量表或交換機)的網路攻擊,可能會對關鍵基礎設施和服務、環境,甚至是人命,造成破壞性的後果。
其他的問題包括無法正確辨識、測量和追蹤風險,可能影響和中斷客戶相關的IT系統,以及災難性事件導致無法營運。讓這些問題更加複雜的是:組織內部缺乏安全專業知識,這不僅止於自身的內部員工(40%的企業組織表示),還包括安全服務委外的第三方供應商(41%)。主要原因是整個電腦產業面臨的網路安全技術差距日益擴大,而且即使是可用的安全專業人員,也幾乎沒有OT環境的經驗。
因此,將近90%有連線OT基礎架構的企業組織,其監控和資料擷取與工業控制系統(SCADA / ICS)架構,都曾遭遇安全漏洞,其中超過一半的漏洞發生在過去12個月內。安全問題包括病毒(77%),內部(73%)或外部(70%)駭客,敏感或機密資料外洩(72%),以及缺乏設備驗證(67%)。其中超過三分之一現在擔心的是對連線的物聯網設備預藏的後門漏洞。
許多挑戰造成強烈的內部阻力,讓這兩個團隊和基礎設施無法合而為一,雙方都存在不信任。這主要是由於這些團隊在解決網路風險方面沒有相容的方法。
IT的首要安全優先事項是保護資料,包括知識產權、公司財務,以及員工或客戶的私人資料。為了因應這些挑戰,他們傾向於遵循傳統的CIA層級來確保安全:機密性(confidentiality),完整性(integrity)和可用性(availability)。
至於OT,採用的是倒置的CIA模型,其中可用性是第一位,安全性通常是可用性的首要任務。 OT團隊需要確保控制流程和生產收益等因素不會因網路變化而面臨風險。因此,OT網路中的基礎架構元件往往具有更長的生命週期,而傳統的IT最佳實作(如修補和更新)可能會使當前的功能系統離線,因而產生重大且意想不到的後果。
這些差異並不棘手。透過精心的規劃和協調,結合開放式的溝通和有效傾聽,對於融合這些不同環境來獲得潛在利益至關重要。這些包括:
整合IT和OT需要的不僅僅是融合網路資源。企業組織必須避免掉入陷阱,為其網路的OT部分成立另一組並行的安全團隊。工作人員、培訓和資源的重複,不僅浪費企業組織的預算,而且由此產生的組織差異,也可能帶來治理、風險管理和合規等問題。
在數位經濟時代要獲得成功,必須開發能夠完善利用所有可用資源的整合網路,甚至是OT網路內部的ICS / SCADA系統。雖然惡意的網路駭客不斷展現他們的攻擊能力,但組織需要的並非在機櫃中添加新的隔離設備,而是藉由部署整合的安全架構優先考量關鍵功能,例如速度、協作、進階分析,以及基於風險的決策擬訂。這樣的方法圍繞靈活的織網策略構建,能以機器的速度和規模實現全方位的保護,同時將IT和OT環境中適當的解決方案,整合成一個集中式的自動化的安全系統。
閱讀或下載完整的「Independent Study Pinpoints Significant SCADA/ICS Cybersecurity Risks」
閱讀更多有關防護OT環境的獨特挑戰,以及Fortinet能如何協助企業。