隨著網絡安全方法從基於邊界向基於身份（零信任）轉移和雲計算的普及
，工控安全如何在高度動態的IT和OT技術趨勢和安全態勢中演進

？近日asvin首席技術官Rohit Bohara撰文討論了2023年最重要的六個工控安全問題。

01

麵向IT與OT融合的下一代網絡安全方案需要具備哪些能力？

新興的網絡風險管理方法正在導致OT和IT之間的日益融合，以實現所有類別協議和環境的統一端到端網絡安全管理。最近大多數OT網絡事件都是在IT環境中觸發和發起的（在某些情況下，例如影響力極大的殖民地管道勒索軟件攻擊，就是影響OT環境的IT網絡攻擊）。

適用於所有IT和OT環境的下一代網絡安全解決方案必須基於相同的強大網絡安全基礎構建模塊：強大的分段、強大的數字身份、強大的身份驗證和訪問控製、強大的漏洞管理
、強大的加密和密碼學以及強大的異常檢測。

02

人為錯誤對工控安全是否構成威脅？

一般來說，人為因素是係統安全中最薄弱的環節。根據《IBM網絡安全情報指數報告》，人為錯誤是網絡安全漏洞的主要原因，2021年95%的網絡安全漏洞與人為錯誤有關。“以人為本的安全設計”更是被Gartner確定為2023年最重要的網絡安全趨勢之一。

同樣
，工控安全也會受到人為錯誤威脅的影響，並可能導致造成嚴重後果。

人為錯誤可能是由於缺乏意識
、培訓不足


、錯誤信息、錯誤判斷或無意錯誤而發生的。人為錯誤可對OT係統的安全性、可用性和安全性產生重大影響。由於OT係統管理和控製關鍵基礎設施流程
，即使是微小的人為錯誤也可能會轉化為大範圍的中斷、停機和安全隱患。

可能導致網絡安全漏洞的人為錯誤行為包括使用公共Wi-Fi、創建弱密碼

、成為網絡釣魚電子郵件的犧牲品、為多個係統設置相同的密碼、不更新軟件等。企業可以采取多種措施來降低人為錯誤風險，例如有效的網絡安全意識、充分的人員培訓、有效的密碼策略、清晰的書麵程序、多因素身份驗證、基於角色的訪問控製、定期安全審計、詳細的文檔、創建安全文化等。

03

基於雲的工控係統解決方案為帶來了獨特的工控安全威脅？

隨著工業物聯網（IIoT）技術的出現，OT係統與ITxitongdejiaohugengjiapinfan。gongyewulianwangkeyishoujichuanganqishujubingkongzhiwuliguocheng。danggongyewulianwangbeilianjiedaojiyuyundejiejuefangan，buduantuisonghelaqushuju
，jiugouchenglesuoweidewangluowulixitong（CPS）。

可擴展性
、靈活性、高性能以及與其他基於雲的解決方案集成的能力使雲解決方案在工控係統領域廣受歡迎。工控係統和基於雲的解決方案的結合為OT係統帶來了獨特的攻擊向量和安全挑戰，包括：數據駐留和主權、雲端數據泄露、身份和訪問管理、中間人（攻擊）、遵守行業特定法規和標準、數據隱私等。

企業應建立有效的訪問和身份管理、數據丟失預防、數據加密、持續監控、記錄和評估等。

04

零信任方法如何在工控安全領域發揮作用？

零信任方法在當前混亂的OT係統安全環境中意義重大。

OT係xi統tong的de特te點dian是shi多duo樣yang化hua，工gong業ye物wu聯lian網wang技ji術shu的de引yin入ru增zeng加jia了le這zhe些xie係xi統tong和he網wang絡luo的de異yi構gou性xing和he動dong態tai性xing，尤you其qi是shi機ji器qi身shen份fen的de快kuai速su增zeng長chang。零ling信xin任ren是shi下xia一yi代dai工gong控kong安an全quan解jie決jue方fang案an的de關guan鍵jian方fang法fa，同tong時shi還hai要yao與yu身shen份fen驗yan證zheng
、最小訪問權限、微分段、持續監控
、自動威脅管理、加密等方法組合並適應OT係統，以最大限度地減少安全威脅的潛在影響。

05

工業控製係統網絡應急響應團隊(ICS-CERT)麵臨哪些合規壓力
？

歐ou盟meng以yi及ji多duo個ge國guo家jia頒ban布bu的de工gong控kong安an全quan相xiang關guan法fa規gui和he標biao準zhun具ju有you重zhong大da影ying響xiang，尤you其qi是shi在zai預yu防fang網wang絡luo攻gong擊ji方fang麵mian。法fa規gui和he標biao準zhun要yao求qiu的de措cuo施shi旨zhi在zai使shi攻gong擊ji者zhe更geng難nan以yi滲shen透tou係xi統tong或huo限xian製zhi攻gong擊ji者zhe可ke能neng造zao成cheng的de損sun害hai。雖sui然ranISO62443定義了網絡安全生產環境的基礎知識
，但即將推出的NIS2或網絡彈性法案(CRA)等法律要求更多地針對軟件供應鏈的安全。

由you於yu三san分fen之zhi二er的de網wang絡luo攻gong擊ji是shi通tong過guo公gong司si的de供gong應ying鏈lian發fa生sheng的de
，歐ou盟meng現xian在zai在zai這zhe裏li設she計ji了le更geng嚴yan格ge的de法fa規gui。這zhe些xie給gei公gong司si的de網wang絡luo安an全quan措cuo施shi帶dai來lai了le新xin的de挑tiao戰zhan，但dan同tong時shi也ye提ti供gong了le針zhen對dui網wang絡luo犯fan罪zui分fen子zi攻gong擊ji的de更geng強qiang大da的de保bao護hu。因yin此ci，SBOM、更新管理和基於上下文的風險分析等工具將成為未來工控安全架構中不可或缺的組成部分。

06

關鍵基礎設施OT環境的被動檢測和控製策略是什麼
？

考(kao)慮(lv)到(dao)關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)環(huan)境(jing)中(zhong)部(bu)署(shu)了(le)大(da)量(liang)傳(chuan)感(gan)器(qi)和(he)係(xi)統(tong)的(de)高(gao)度(du)敏(min)感(gan)特(te)性(xing)，被(bei)動(dong)監(jian)控(kong)係(xi)統(tong)的(de)必(bi)要(yao)性(xing)和(he)重(zhong)要(yao)性(xing)再(zai)怎(zen)麼(me)強(qiang)調(tiao)也(ye)不(bu)為(wei)過(guo)。被(bei)動(dong)監(jian)控(kong)是(shi)指(zhi)在(zai)不(bu)主(zhu)動(dong)幹(gan)擾(rao)操(cao)作(zuo)流(liu)程(cheng)的(de)情(qing)況(kuang)下(xia)觀(guan)察(cha)網(wang)絡(luo)流(liu)量(liang)、係統行為和異常情況並記錄它們的能力。實現這一目標的策略包括入侵檢測係統（IDS）、異常檢測、深度數據包檢查
、行為分析
、網絡威脅情報（CTI）、安全信息和事件管理（SIEM）、蜜罐
、網絡分段等。