工业组织如何使用风险导向的方法来协助保护OT端点和缩小安全性漏洞。

如今许多工业组织内部均有大量仍未追踪和监控的端点装置。

这些装置大多数是在数十年的生产运营中部署。因此许多工业组织对资讯技术（IT）和营运技术（OT）作业仍是一知半解，而且那些有可能暴露的端点资产仍很容易遭到网路攻击。再加上OT作业的连线能力持续增加，以及技能/资源持续短缺，这些因素导致工业部门的风险持续增加。

图一 : 许多工业组织对IT和OT作业仍是一知半解，而且那些有可能暴露的端点资产仍很容易遭到网路攻击。

虽然不可能修补每一个OT安全性漏洞，但您可以使用风险导向的资讯安全方法，根据贵组织最关键的安全性漏洞协助快速保护端点。我们的四步骤端点安全检查清单可以协助建立风险导向的安全计画，该计画经过量身订制，能有助於强化贵组织的网路安全防护。

【步骤 1】获得涵盖连线到网路所有端点的可见性

因为每个网路安全从业人员都清楚知道，您无法保护您看不到的东西。如果您是工业网路安全的新进人员，缩小可见性的差距是强而有力的第一个基础步骤。

在此步骤中，您应该根据贵组织的独特需求量身订制防护措施，可能必须：

· 将网路资产探索自动化：自动化平台可以对网路区段内的任何装置进行深入的即时盘点，不仅包括传统的IP型装置，也包括较低阶的ICS资产。

· 尽可能减少干扰：寻找能够执行深度资产探索，而不会影响网路可用性或营运正常运作时间的解决方案。

· 检视您的网路架构：虽然安全产品可以改善您目前状态的安全态势，但拥有适当的网路架构才是可以让这些工具以最隹状态执行的基础整合方案。

· 部署用於端点的集中式仪表板：仪表板将会提供最重要的资料，例如非常重要的未修补端点。

· 取得可疑活动的即时警示：如果某个端点正在存取不应存取的内容，您必须立即知道。

· 配合人员调整见解：管理执行高层会想要高阶资料，而工程师可能必须深入了解更多脉络。

· 保持不偏重供应商：不偏重供应商的端点管理系统可以针对您的风险概况提供统一的脉络。.

· 通盘思考：努力涵盖所有系统-而不仅是端点、顶层控制，以及对外连线网际网路的装置。全方位的端点安全着重於环境的各个环节，甚至是最低的IO层级，而且应考虑其他因素，例如生命周期状态、备用零件的可用性、保固和前置时间。

【步骤 2】利用风险导向的方法优先处理漏洞

图二 : 在现今的威胁环境中，无可避免会发生入侵事件。请准备灾难复原计画，其中包括资料备份，并定期测试该计画。

风险评估可以协助您以哪些风险会对贵组织造成最大影响为根据，来辨识和优先考虑风险。您可以采取评估和降低风险的一些关键措施包括：

· 判断每个端点的「良好」状况：撷取端点存取、经常存取的程式/档案、使用者帐户，以及修补程式状态等资料，来建立衡量基准。

· 执行持续性的即时监控：持续监控端点是否偏离正常行为，以快速找出威胁。

· 微调安全警示以符合作业规范：根据您独特环境中的正常行为模式，持续调整您的系统，以避免警示疲劳。

· 符合核心法规标准：确保您的端点缓解计画符合产业需求和政府规定。

· 根据您最大的风险优先处理安全性漏洞：只因为某样装置容易遭到攻击，不代表您的OT环境也是如此。使用风险评估来引导您的端点安全优先处理顺序和降低整体风险，同时将对资源的影响降到最低。

【步骤 3】部署额外的网路及端点防护

强化您的OT环境可以新增更多有助於保护端点的防护层，同时能够提升您的整体安全态势。部分选项包括：

· 执行零信任原则引擎：在装置可以存取网路之前，从内部和外部以持续和动态的方式验证这些装置。

· 分割您的网路：如果威胁者渗透您的环境，网路区隔可限制其可以采取的行动。

· 部署防火墙：防火墙可以保护外部网路周边，防止未经授权的流量进出。

· 为关键资料建立安全隔离区：在您的关键资产和您的区域网路（LAN）间新增防火墙，可以减少威胁者取得存取权限时的攻击面。

· 建立非军事隔离区 （DMZ）：DMZ中需要和外界通讯的主机应用程式，例如云端型端点侦测与回应（EDR）平台，有助於防止恶意存取。

· 将防火墙和DMZ搭配使用：如果威胁者渗透到DMZ，这种作法可以建立额外的防护。

· 要求USB安全检查站：在将USB装置连接到您的环境之前，请在专用终端扫描是否存在威胁。

· 制定灾难复原计画：在现今的威胁环境中，无可避免会发生入侵事件。请准备灾难复原计画，其中包括资料备份，并定期测试该计画。

【步骤 4】建立持续性端点安全处理流程

您的基础系统和处理流程是否完备？接下来请专注改善和发展您的策略。请考虑下列额外的精进措施：

· 更频繁盘点资产：攻击的速度和威胁的发展持续以飞快的速度增加。每季甚至每个月的资产盘点可能不足以应付。

· 将修补程式管理自动化：让您的SecOps团队摆脱这项繁琐耗时的工作以提升效率。

· 全年无休监控威胁：威胁者永远不会罢休，您也不应停下脚步。利用EDR等平台全天候监控威胁，协助您快速采取行动。

· 执行事件回应计画：您最不想做的事情，就是在事件发生时弄清楚如何应对事件。事件回应计画可以提前建立逐步处理流程。如果您的内部资源有限，可以交由洛克威尔自动化等防护型事件回应供应商处理。

· 提高安全意识的有效性：培养SecOps和制造团队间的合作方法。这麽做将可改善您的安全文化，并赋予工厂区域的团队更大的安全所有权。

对OT环境而言，仅执行传统的IT安全措施并不足够。OT系统有独特的需求、限制，以及必须透过特定方法才能解决的风险。虽然利用IT安全最隹实务可能有所助益，但采用针对您OT基础设施特定需求量身订制的全方位安全策略非常重要。

若要保护工业控制系统（ICS）、监管控制和资料撷取（SCADA）系统，以及其他关键营运资产等OT端点，就必须深入了解营运环境、潜在攻击媒介，以及安全措施对系统可用性和效能的影响。

除了部署适当的安全工具和技术以外，也必须针对OT环境建立符合工业标准和监管要求的有力政策、程序和治理架构；其中包括执行网路区隔、安全远端存取、修补程式管理，以及事件回应计画等措施。

在此过程中，和经验丰富、专精工业控制系统的OT网路安全公司合作非常难能可贵。合作夥伴可以提供开发和执行全方位OT网路安全计画的专家指南，解决在营运环境的独特挑战和风险因素。透过专业知识可以协助弥平IT和OT安全之间的差距，确认您的重要系统获得充分保护，而不会影响营运完整性和韧性。

（本文作者Matt Cameron为洛克威尔自动化网路安全服务全球产品经理、Steven Taylor为自动化网路安全服务资深全球产品经理）