Michael Rothschild 浅析在 OT 安全中实现 20/20 可见性

IT资产占现代工业的20%-50%，OT安全领导者需要能够跨融合的IT/OT攻击面提供可见性的技术。

回想一下最近影响到制造业或关键基础设施社区的安全事件。无论您是想新闻中的某个消息，还是同事传达给您的消息，或者您可能已经经历过的消息。几乎在所有情况下，受影响的公司都回想起普遍的格言：“直到为时已晚，我才知道它正在发生。”

这在操作技术（OT）环境中尤其普遍，在该环境中，设备的更换频率不如IT环境中的频繁。典型的“设置忘记它”的方法在OT中很常见，并且导致设备可以运行十多年。该口头禅的“忘记它”部分产生了一个严重的可见性问题：很难保护您不知道的东西。

虽然在实现公司安全方面，可见性可能是最重要和最明显的能力，但其执行从未如此简单。这是三种实践，可帮助您获得所需的可见性，从而应用避免攻击所需的安全性和控制难题。

• 选择覆盖范围：确保选择的安全性可以支持您管理的环境。很多时候，组织会购买OT安全产品或解决方案只是为了意识到它不支持所使用的协议或运行其OT操作的可编程逻辑控制器（PLC）。通过在概念验证（POC）中确保供应商具有所需的覆盖范围以及您可能会考虑的其他PLC制造商的广泛支持，可以轻松解决此问题。这使产品能够根据您的需求增长，而不是将您锁定在与前向兼容的产品中。
• 请记住，OT不仅是OT：在典型的OT环境中，20％的基础架构可以轻松地包含IT设备，而在融合环境中，这个数字可以迅速增加到50％。Point OT安全产品可以充分支持OT资产，但是它们完全不影响OT环境中的IT设备。正如最近遍及IT和OT的Lockergoga，EKANS和Ripple等攻击所看到的那样，仅具有部分可见性会带来错误的安全感和大量的网络威胁。为了获得所需的可见性，您的OT安全解决方案不仅必须为您提供深层的网络和OT设备智能，还必须从OT扩展到IT，以在整个融合环境中提供不间断的可见性。
• 将优先级应用于数据泛滥：现在，您已经拥有了所需的可见性，您将可能需要消耗更多的数据。您应该如何对警报，警报和调查进行分类？优先级风险评分对于根据攻击类型，资产关键性，漏洞利用代码的可用性以及其他关键因素来确定哪些警报对您的组织造成最大风险至关重要。这有助于使安全人员集中于存在明显风险的网络暴露事件，而稍后可以解决较小或不太重要的警报。

阻止关键基础架构和制造环境中攻击扩散的唯一方法是阐明可能形成安全事件的OT环境的阴暗角落。有了合适的OT安全工具，我们就可以不再需要盲目地获得可见性。

最新发布的Tenable.ot 3.7，覆盖了市场上90％以上的工业控制器，并且每个月都会增加更多的工业控制器。将Nessus添加到Tenable.ot中以解决您的工业运营中的IT和OT部分，并提供解决所有安全事件所需的两个领域的领域专业知识。我们还向Tenable.ot 添加了漏洞优先级（VPR），可以根据漏洞对公司造成最大风险来进行分类。

注：OT安全（操作技术安全）用于监测、测量和保护⼯业⾃动化、工业过程控制和相关系统的识别、感知或控制*物理基础设施状态变化.
OT安全是网络空间安全（Cybersecurity）的一部分，与物理安全（Safety）和IT安全有交集，包含ICS安全（SCADA、DCS和PCS安全）