打破 IT 和 OT 之间的壁垒

IT 和 OT 系统看似截然不同，历史上它们一直被视为两个分离的世界。不同团队和部门各自管理自己的运作，彼此之间缺乏或几乎没有沟通。但随着时间的推移，OT 系统越来越依赖网络，两者之间的界限逐渐模糊，而威胁行为者正趁机而入。

拥有 IT 和 OT 系统的组织——通常是关键基础设施组织——面临着两种环境共存的紧迫风险。CISO 及其他安全负责人正肩负着打破二者之间壁垒、构建全面网络安全策略的重任。

IT 与 OT 之间的鸿沟

既然 IT 与 OT 都面临网络安全威胁，为什么它们却被视为截然分开的领域呢？

“尽管双方都涉及网络安全领域，但它们的本质概念截然不同，” Black & Veatch（美国一家从事工程、采购、咨询及建设的公司）全球工业网络安全副总裁 Ian Bramson 对 InformationWeek 表示，“这也是传统上将它们彼此分离的原因之一。”

其中最显著的区别之一在于年龄。根据 Fortinet 针对 OT 组织的调查，74% 的受访者表示其工业控制系统的平均年龄在 6 到 10 年之间。

OT 技术被设计为可长期使用，甚至可能维持数十年，并且深深嵌入到组织的运作中。相比之下，IT 的生命周期则截然不同。

“OT 系统的使用寿命往往更长，在某些情况下可达 30 到 50 年。而 IT 资产，例如如今发给公司人员使用的典型笔记本电脑，大多数组织大约在三年左右就开始考虑更换，”端点管理公司 Tanium 的 CISO Chris Hallenbeck 表示。

IT 与 OT 系统的维护方式也截然不同。IT 团队可以按照常规的补丁更新计划进行维护，而 OT 团队则必须提前规划维护窗口，前提是设备甚至可以更新。OT 环境中的停机不仅复杂，还代价高昂。

运营 IT 与 OT 系统所需的技能组也大不相同。一方面，IT 团队可能拥有精通传统系统工程的人才，而他们或许对常用于 OT 系统中的可编程逻辑控制器 (PLC) 的管理一无所知。

在某种程度上，IT 与 OT 之间的分割是一种刻意为之。例如， Purdue 模型就为分段 ICS 网络提供了框架，使其与企业网络和互联网保持隔离。

但随着时间的推移，越来越多有意或无意跨越 IT 与 OT 系统鸿沟的情况开始出现。

从事 OT 工作的人希望能够远程监控和控制工业流程。Phosphorus（一家企业级 xIoT 网络安全公司）的 CPO Sonu Shankar 解释说：“如果我想要实现远程操作，就需要提供这种连接能力，需要将数据从这些系统中提取出来，在远程位置进行审核和分析，然后再将命令下发回去。”

OT 与 IT 系统意外交汇的可能性，对于 CISO 来说也是一个不容忽视的问题。Hallenbeck 曾见过一台工业电弧焊机被不知情的公司人员接入 IT 网络。

“不知怎么的，该系统甚至被加入到 IT 的 Active Directory 中，他们就像操作常规的 Windows 服务器一样来使用它，除了它直接连接到工业系统这一点外，其他方面都无异于普通服务器，”他表示，“这种情况发生得太频繁了。”

针对 IT 与 OT 环境的网络攻击途径各不相同，其后果也有所差异。

Shankar 说：“在 IT 方面，主要影响是数据丢失以及数据被盗或被敲诈所带来的连锁反应；而在 OT 方面，则可能扰乱制造流程、食品生产、石油与天然气生产，甚至电力分配……其影响在物理世界中显得更为直接。”

尽管 IT 与 OT 之间的差异明显，但企业如果忽视这两个领域融合的现实，就会面临巨大风险。随着这两种系统之间连接性的增强，它们的相互依存性以及攻击可能带来的后果也在不断加剧。

最终，企业并不在乎网络攻击者入侵的是 IT 系统还是 OT 系统，他们关注的是影响。攻击是否导致数据泄露？是否危及物理安全？企业还能正常运作并创造收益吗？

Bramson 强调：“你必须开始将其整体看待，把 IT 和 OT 视为一个系统来应对这些后果。”

整合 IT 与 OT 网络安全

CISO 如何构建一套能够有效管理 IT 与 OT 的网络安全策略？

第一步是全面了解企业中属于 IT 和 OT 领域的所有设备和系统。没有这些信息，CISO 无法量化和缓解风险。

Hallenbeck 表示：“你需要知道这些系统的存在。人们往往倾向于将它们放在另一堵墙（无论是物理墙还是虚拟墙）之后，导致没人清楚它们的数量、状况及所处的版本。”

在其中一份 CISO 工作中，数据安全与管理公司 Cohesity 的 CISO Christos Tulumba 曾与一家拥有多个制造工厂和配送中心的公司合作，该公司的 IT 和 OT 部门运作相对独立。

他对 InformationWeek 表示：“我走进那儿……做了第一次网络图，结果发现到处都存在曝露风险，这引起了很多警报。”

一旦 CISO 拥有了 IT 与 OT 双方的网络图，就能开始评估风险并制定缓解策略。是否存在使用默认密码的设备？是否有设备在使用低效配置或存在漏洞的固件？是否存在不必要的 IT 与 OT 连接？

Shankar 指出：“你需要开始对缓解措施进行优先级排序和时间安排。你不可能同时对所有设备打补丁，必须进行调度，因此需要有相应的策略。”

网络安全领域充斥着各种喧嚣、最新威胁以及应对这些威胁的最新工具，容易让人迷失方向。但 Shankar 建议应当退一步，冷静思考。

他说：“我会从最基本的安全规范开始，而不是立即着手于更复杂或先进的措施。大多数 CISO 和运营人员往往忽视了基本的安全卫生最佳实践，而沉浸在外界的喧嚣中。”

正如所有网络安全负责人所知，他们的工作没有终点。环境和威胁都在不断变化，CISO 需要持续监控 IT 与 OT 系统，从风险和企业目标的角度出发。这就要求与 IT 和 OT 团队保持持续的沟通与协作。

Hallenbeck表示：“需要有持续的对话和不断的提醒，促使并挑战他们在自己所处环境的前提下创造性地实现同样的安全目标。”

CISO 将需要充足的资源来实现这些目标，这意味着需要与其他高层领导及董事会沟通。为了实现有效沟通，这些持续的交流不会深入讨论 IT 与 OT 的技术细节，而是围绕企业目标和风险——即具体的经济利益——展开。

Bramson 表示：“一旦你有了计划，就应将其置于高管能够理解的语境中，以便获取所需的资源和权限予以实施。归根结底，这都是一个商业问题；当你涉及 OT 时，就触及了企业运作和盈利的命脉与生命线。”

构建 IT/OT 技能体系

IT 与 OT 的安全防护在很多方面需要不同的技能，CISO 可能无法轻易掌握所有这些能力。数字领域与工业技术截然不同，因此，识别知识缺口并寻求填补这些空白的方法至关重要。

Bramson 表示：“这既可以通过招聘，也可以借助外部顾问的专业知识或建立关键合作伙伴关系。”

在 CISO 访问 OT 现场时，一个拥有 OT 专业知识的外部合作伙伴会是一个重要资产——而且他们应当亲自前往现场。但如果没有现场特定知识的人前来并开始滔滔不绝地下达指令，反而更可能引发与现场管理者的冲突，而不是提升网络安全水平。

Bramson 建议：“我建议他们选择一个有经验的合作伙伴，或者找一个曾在这一领域实践过的人——那些具备可信度、曾在现场实战过的人。”

这有助于促进更好的沟通，安全负责人与 OT 负责人可以分享各自的观点和优先事项，从而制定出与业务流程相契合的共同计划。

CISO 还需要在 IT 与 OT 双侧培养内部人才以维护和强化网络安全。虽然招聘是一种选择，但在更广泛的网络安全人才库中寻找 OT 安全人才的难度更为显著。

Hallenbeck 表示：“总体来说，OT 专业的安全从业人员很少，而且在企业内部拥有专门接受过安全培训的 OT 人才几乎稀缺。”

但 CISO 无需灰心，这些人才可以通过内部技能提升来培养。Tulumba 实际上主张内部技能提升胜过外部招聘。他表示：“我职业生涯一直如此，我认为整体上表现最好的团队都是那些内部晋升的团队。”

随着 IT 与 OT 系统不可避免地相互作用，双方的技能提升显得尤为重要。Tulumba 表示：“最终一定要让员工双方交叉培训……了解 IT 侧与 OT 侧的运作。”