2022年12月31日 星期六

· IT 與 OT 網路安全差異

什麼是營運技術? 工程師終極指南 



engineering irl


網路安全一詞是眾所皆知的,多年來,我們看到它的使用量有所增加。從谷歌趨勢中獲取自 2010 年以來關於「網路安全」搜尋詞的一些資料,我們可以看到隨著時間的推移而穩步成長。





乍一看,這似乎是有道理的:

隨著時間的推移,隨著網際網路使用量的增加,駭客和網路犯罪的增加,網路安全的概念也隨之增加。

器中啟用 JavaScrpt (如果尚未啟用)。</div></div>

https://www.youtube.com/watch?v=waL053T4stU


但這張照片中缺少一些東西。 就谷歌趨勢搜尋詞而言,2 個有趣的文章很有趣。


當你將其與「駭客」一詞進行比較時,自 2010 年以來,它一直是一個大趨勢,直到現在,網路安全才趕上。因此,長期以來,駭客一直是一回事,但網路安全卻沒有那麼重要。


然後我想,也許成長是由於對關鍵基礎設施,和這種性質的東西的重大網路攻擊。比較這個搜尋詞語,顯示它並沒有真正獲得任何牽引力。



儘管如此,簡單的看待方式是,隨著技術和超連線性的提高,遠端攻擊的能力也得到了改進。-他們做到了。過去十年中,40 億條被盜記錄並不小事,這裡非常關注資料洩露,但對 OT 系統進行了重大攻擊,大型流程受到了影響。花點時間看看世界上第一個數位武器 Stuxnet 和 沙特阿美駭客,你就會瞭解工業中發生的網路攻擊類型及其影響。


目標不同。


因此,安全解決方案必須是不同的。


IT 和 OT 有共同的技術,但目標不同。


例如,這是我的 IT/OT 汽車類比


因為目標已經改變了,所以你解決的問題是不同的,所以設計也發生了變化。


被認為是好或壞的定義完全改變了。


賽車不關心生物的舒適性、杯架。 他們為了減肥而犧牲奢侈品。雖然城市汽車不需要一些可以快速飲用燃料,並使它們達到最大速度的東西,因為它們可能會更頻繁地停車,但在車裡呆的時間更長,可能想要一個音樂播放器。


現在回到 IT vs OT。

IT 最關心資訊(瞧,它在名字裡),而 OT 關心該過程和該過程的操作(哇,也以名字命名)。 這是什麼意思?


  • IT 系統將優先保護資料,而不是大多數事情。如果系統需要重新啟動,以便更新並降低資料丟失的風險,那麼就這樣吧。
  • OT 系統將優先執行程序,而不是大多數事情。如果資料丟失或未儲存,或未記錄、備份或更新,請當然,只要系統不停止執行。

這意味著網路安全鞋不是一刀切的。因此,現在讓我們深入研究一下網路安全解決方案的區別。好吧,讓我首先對網路安全解決方案進行分類,以形成我們將要比較的基礎。請注意,下面列出的 8 個類別不是來自任何特定標準,而是不同標準和已知解決方案的總結或彙總,為了簡單起見,這些標準和已知解決方案在高水準上可以放在這些標題中。 (這就是為什麼這隻野獸有一個完整的行業)。


1. 治理

這些是文件型別的解決方案、提升網路安全的政策和程式。它可能包括評估和合規性等。


2. 更新

這指的是製造商或供應商可能釋出的所有韌體、作業系統、軟體版本,以補丁以前的版本。


3. 硬化和變更管理

這指的是可以在系統或軟體上進行的所有配置,以使其更安全。此外,還能夠知道系統發生了哪些變化。


4. 辨識、身份驗證和特權

這一切都與知道誰在連線到系統,我們如何知道它是誰,以及被辨識的人是或不允許做什麼有關。


5. 監測和報告

瞭解系統及其網路中發生的事情所需的工具和資訊,通常是即時的,以及報告不同指標和日誌的能力。


6. 隔離和區域

這指的是從系統和網路架構設計、隔離工具和技術(防火牆、資料二極體、鑰匙交換機、DMZ、VPN 隧道等)和遠端訪問的所有內容。


7. 資料保護

這指的是備份、測試系統、資料加密(用於傳輸和儲存)、隱私和備援。


8. 惡意軟體預防系統和黑名單/白名單

這些是解決惡意軟體預防的軟體和硬體解決方案,進而解決了不需要的軟體執行問題。想想防病毒。


太棒了! 現在,我們有一個網路安全解決方案類別的列表,這些解決方案可以適用於任何給定的網路或系統。有趣的部分開始於我們現在可以深入研究 IT 和 OT 兩個不同環境中相同解決方案的一些主要差異(和相似之處)。


Cyber

Security

Solution

Operational 

Technology

(OT)

Information

Technology

(IT)

Governance

-Complete Cyber Security documentation.

-Focus on Disaster Recovery Procedures.

-Complete Cyber Security documentation.

-Focus on Data Handling.

Updates

-Must have additional testing to validate in

the overall system.

-Prefer tested updates over speed of updates.

-Updates requiring reboot must be planned and

known before hand.

-Vendor testing typically enough.

-Prefer rolling out updates as often as possible.

-Some cases reboots are enforced to guarantee

update.

Hardening and

Change Management

-Minimal hardening possible without impacting

process.

-Preference to minimize restriction on communication

flow

-Strict change management for software, generally

lacking in component changes as fastest speed

for replacement prioritized.

-Maximum hardening

-Overheads for controlling communication flow

acceptable to ensure security

-Changes to the latest and roll back if adverse impact

Identification,

Authentication and

Privileges

-Use of shared accounts for guaranteeing local access

to operators as quickly as possible

-No screen timeouts or lockouts even if no activity

(always on)

-Use of passwords

-Generally managed on a software level, not a system

level

-Least privilege used as guide and move towards user

specific accounts

-All users identified, no shared accounts

-Screen timeouts to protect data if a user leaves their

workstation

-Use of passwords and 2FA

-Managed with a centralised system such as

Active Directory

-Least privilege enforced at all levels

Monitoring and

Reporting

-System alerts and alarms for faults to operators and

maintenance staff

-Move towards Centralized logging

-System and event reports

-Typically monthly review process

-Passive monitoring

-Email alerts or equivalent for IT management

-Centralized logging

-System and event reports

-Automated reviews, tools used

-Active monitoring

Isolation and Zones

-Air Gap

-Separation of Control layers at Physical (Layer 1)

-Use of firewalls and DMZ outside of control system

-Network zones defined but typically a little more flat

depending on needs of system

-Cater for legacy systems

-VPN only at top end

-Isolation points to create air gap

-Remote access avoided

-Logical separation of networks

-Use of firewalls and DMZ 

sometimes within trusted zones

-Network zones defined and smaller subnets

-VPN

-Remote access infrastructure focused

Data Protection

-Minimal data protection

-Focused on redundancy

-Data protection with data at rest

-Ease of access

-Complete data protection

-Encryption in place

-Backups encrypted

-Data protection with data in transit and data at rest

Malware Prevention

Systems and

Whitelisting

-Must have additional testing to validate in

the overall system.

-Updates requiring reboot must be planned and

known before hand.

-Whitelisting to inform only.

-Vendor updates installed as soon as possible.

-Policy in place to force updates after some time interval.

-Whitelisting to actively shut processes


簡而言之


瀏覽此列表後,您可以開始看到,在廣泛的網路安全類別中,雖然兩者都有一席之地,但在指導實施方面也有細微差別。


簡而言之,你會發現更傾向於被告知問題,但安全系統不會自動採取行動,而在 OT 環境中,IT 環境中,它們會盡快採取行動。即使以停止節目為代價,也傾向於保護資料。


這正是為什麼在應用使用 IT 鏡頭實現的網路安全解決方案之前,你需要對 OT 環境有特定的瞭解。


考慮這兩個系統都可以是關鍵任務,但在大多數情況下,OT 系統也是安全關鍵型,因此它們執行的流程需要確保它們執行,全天候執行,特別是安全系統。操作員需要訪問他們的系統來保持他們的程序,並確保不會對人、環境、流程造成傷害。


等一下,那麼為什麼現在呢?特別是,為什麼網路安全正在成為營運技術環境的崛起領域?從我們迄今為止所讀到的內容來看,我們知道它作為一個獨立的術語正在流行,但為什麼行業在 2020 年突然關心呢?在這裡找到,並確保你完全瞭解這個話題。


透過一些努力和實踐,你將開始看到常見模式的出現,如果你打破限制性心態,即它們都是技術,因此解決方案是相同的,你將成為一名更好的 OT 網路安全工程師。


有一些課程和認證可以幫助您完成這一旅程,例如CISSP認證,如果您有興趣檢視不同認證的層次列表,可以幫助您發表評論。


如果你正在尋找具體的建議或解決方案,請聯絡我們並留下你的問題,我也許可以幫助你。