加强OT网络安全：CISO与OT协作的重要性

重点信息

在面对OT网络的安全问题时，CISO应当与运营技术OT团队更紧密合作。当前许多组织的OT网络远程访问工具存在安全风险，且对其重视程度不足。专业的OT远程访问工具相较于常规IT工具更为必要，能够提供更细致的访问控制和会话记录功能。

图片来源：Shutterstock/jamesteohart

在2020年5月，伊朗攻击者试图通过网络攻击改变以色列一家水务公司的饮用水氯含量；而在2021年2月，黑客成功侵入佛罗里达州一座城市的水处理厂监控软件，调整了原本应进入饮用水系统的氢氧化钠的含量。

经过多年，这些事件似乎并未让许多组织认识到收紧OT网络远程访问的重要性。OT网络管理着机器、管道、电网等关键基础设施。

最近，OT安全提供商Claroty在一份报告中指出，远程访问工具的过度使用以及非企业级远程访问工具仍然对组织构成重大风险。他们对120家使用其产品的公司进行了扫描，发现超过55的设备使用四种或更多的远程访问工具，近22的公司则使用八种或更多的远程访问工具。

这些设备中许多是用于人与机器接口HMI、可编程逻辑控制器PLC或传感器的Windows工作站。调查显示，几乎80的组织在其OT环境中有超过两种非企业级的远程访问工具。

Gartner的副总裁兼杰出分析师Katell Thielemann在接受采访时表示：“我其实惊讶于这些数字并没有更高。”她指出，传统上，CISO和信息安全领导者并未负责保护OT网络和设备。

她表示，OT安全对组织的重要性并不低。但是，由于疫情、IT和OT人手不足以及节省资金的需要，访问OT资产的需求增加了。同时，OT和企业管理者的关注点在于维持机器的运行。

海外vpv加速梯子

然而，她补充道，OT安全不能依靠IT中心的访问应用程序，例如TeamViewer、Anydesk或类似软件来实现。OT远程访问提供商包括Claroty、Dispel、Wallix和Cyolo等。

OT远程访问工具需要具备的特殊功能包括： 精细的访问控制 监测到可疑活动时，管理员或过程工程师可以取消会话的能力 对每个访问会话进行记录以备后续调查

为什么IT工具不适用？

确实，IT方面的攻击者可以抹去所有公司数据，或造成严重损害使电脑和服务器无法重建。但如Claroty产品副总裁Tal Laufer所指出，OT黑客可能“炸毁设备，并且使每小时耗资数百万美元的机器停止运转。”

那么，为什么运营人员会选择不合适的访问应用？她表示，有时候“仅仅是因为技术人员或IT人员需要访问某个电脑，而由于某种原因无法正常工作，因此他们从网络上下载安装某个工具以快速完成工作，而没有考虑到安全后果。”

在这种情况下，Laufer和Thielemann一致认为，这反映出安全意识培训的不足。

对多种远程访问工具的接受度，Laufer则承认，“有些工具确实需要能远程访问机器，或者修复网络中的设备。”但她补充道，“对于我们在一些OT网络中看到的四、六甚至十二种工具，没有任何合理的理由，因为每个工具都是一个威胁向量。组织应当考虑减少部署于其环境中的远程访问工具数量。”

这引出了一个问题，即OT和IT安全是否应由同一部门管理。

理想情况下，Laufer表示，安全应以集中方式进行管理。但她补充道，OT的需求和约束有所不同，因此负责OT安全的人必须使用专门的工具和方法。

她强调