作为名称意味着,操作技术(OT)和信息技术(IT)有不同的起源。ET存在以管理操作 - 具体而言,在自动化和机械化中受益的各个行业中的物理运营。相比之下,它存在来管理信息。也就是说,它记录,存储,安排,分析,并为个人和组织提供数字形式的信息。
IT设备不是扇区特定的,它们往往比其OT对应物便宜。结果,它们远远广泛使用 - 因此,他们对防止安全漏洞的保护有更高的需求。
换句话说,随身携带笔记本电脑的人数远远高于随身携带的人数可编程逻辑控制器(PLCS)每次留下他们的工作场所时。因此,有更多的人思考如何保护他们的笔记本电脑,而不是有些人认为如何思考如何掌握他们控制的PLC和机器的网络安全措施。此外,还有更多的网络安全提供商寻找保护计算机用户的方法,而不是网络安全提供商寻找保护PLC和OT系统的其他组件的方法。
日益增长的OT安全需求
多年来,IT领域的网络安全与OT领域的网络安全之间的利益差距并没有多大关系。毕竟,IT系统比OT系统更有可能连接到互联网,而互联网是大多数网络攻击的源头。相反,OT系统很可能是气隙-即物理上与互联网隔离,没有直接连接更广泛网络的方法,而更广泛的网络可能成为恶意行为者的切入点。
这不一定是真的。OT运算符现在可以选择将连接的设备添加到系统中,以最大限度地减少费用并提高性能。例如,它们可以将工业互联网(IIT)传感器(IIOT)传感器,可以使用分析解决方案生成关于电力密集型制造过程的数据,可以解析数据以确定如何利用电力的非峰值定价。
如果他们这样做,他们就会有机会以较低的成本和更高效率的形式实现重大收益。但是有一个权衡。他们还将自己带到安全漏洞的风险,因为IIOT传感器和分析解决方案产生这些收益的依赖于与互联网连接,这可能为网络犯罪分子提供多个进入点专门针对OT系统.
当然,防范这种违规的最佳方法是将网络安全解决方案引入OT系统。但这究竟是如何帮助的?
网络安全的关键组成部分:威胁检测和反应
一个有效的网络安全解决方案的关键组成部分之一是威胁检测和响应。如果您的团队正在部署OT Security,那么您可能会合并某种形式的威胁检测。
在最简单的条件下,网络安全解决方案应该保持警惕,比喻说话。它们应该是扫描OT系统,检查常量的偏差,报告其发现,每当出现疑虑时发出警报。
换句话说,网络安全解决方案始于检测。他们负责对OT系统中的每个部件进行自动(即被动)扫描,以确定是否存在任何异常或威胁迹象。他们必须将他们所发现的与他们期望发现的进行比较。他们必须检查他们所观察到的东西网络滑动智力- 也就是说,关于新威胁的特征的外部报告。他们必须报告他们遇到的内容,以便用户可以验证是否满足要求。
除了检测之外,当检测到问题时,网络安全解决方案将进入响应阶段。他们生成警报,通知关键人员这些问题,然后团队遵循既定的战略协议,下一步该做什么,以及如何最好地防止事件重演。这些警报可以帮助安全团队判断威胁是否严重到需要启动主动扫描,在主动扫描中,人类负责寻找威胁的迹象,甚至请专家进行最有力的响应,而不影响操作优先级,如最小化停机时间。
可见性:威胁检测和响应的基础
简而言之,威胁检测和响应至关重要。如果网络安全解决方案没有寻找威胁和应对威胁的能力,它们就不能保护OT系统。因此,OT运营商应该寻找方法,确保他们的解决方案能够最优地执行这些任务。
他们在这个过程中可以做的最好的事情之一是努力消除盲点并最大限度地提高可见性。检测涉及扫描,并且当它们涵盖OT系统的每个机器时,扫描更有效 - 每台机器,每个组件,每个传感器,每个连接,每个接口等 - 以来您无法确保您无法看到的内容.它们还受益于最大的包可见性——即能够看到哪些类型的数据正在(和已经)通过系统移动。
网络水龙头(测试接入点)帮助运营商实现了这种可视性。它们收集流过OT系统的流量的完整数据,并且它们比交换端口分析仪(SPAN)端口更好地进行更好的工作。网络龙头不会删除数据包,并且在扫描的系统中更有可能提供,因为传统交换机和跨度保留可以使威胁检测工具难以访问数据。他们也是有用当建立资产清单时,作为基线在主动和被动扫描-并避免在这样做的系统中断。
希望为您的威胁检测部署添加龙头可视性,但不确定在哪里开始?加入我们的简短网络设计 - 评估或演示。没有义务 - 这就是我们喜欢做的事情。
