對于IT系統來說，大家比較熟悉，但對于以工業自動化控制系統為代表的OT(操作技術)系統卻要相對陌生。實際上近年來針對OT發動的攻擊卻此起彼伏，如電力、醫療、公共設施等，安全己轉向IT和OT協同防護。

[[251892]]

常被忽視的OT

首先，我們來了解下IT與OT。IT即信息技術，是用于管理和處理信息所采用的各種技術總稱，主要是應用計算機科學和通信技術來設計、開發、安裝和實施信息系統及應用軟件。而OT (Operational Technology)，則指操作技術，是工廠內的自動化控制系統操作專員為自動化控制系統提供支持，確保生產正常進行的專業技術。

一般來說，在網絡風險面前，IT系統擁有較為健全的安全體系，其防護也備受重視，然而如今生產過程已同信息交互結合的越來越緊密，甚至要呼喚新的運營模式，好讓IT和OT進一步深度融合，形成一個貫穿整個制造企業的技術架構。但事實上，面向OT系統的安全威脅卻常被忽視。這不僅由于OT中的安全程序和技術應用與IT系統大相徑庭，還由于每個垂直行業業務特征存在較多差異。可實際上OT系統面臨的問題與IT系統同樣嚴峻。

OT安全怎樣搞?

在2018年Verizon數據違規調查報告(DBIR)中，除了金融服務行業外的OT系統違規行為(不是事故)高達649個，占該報告違規行為中的29.2%。這意味著雖然并未直接出現安全事故，但這些OT系統中卻存在“網絡珍珠港”，隨時可發生大災難。

既然之前被忽視了，那從現在開始，對于OT安全就要重視起來，可具體要怎樣搞呢?擁有OT系統的企業在應對安全威脅時，可以從下面3點入手。

1. 企業環境都不了解 沒法防

如果企業沒有花時間來清點其系統并評估給定環境的安全狀況，那么這個企業就處于嚴重的危機中。而一旦管理者不了解其中的基礎架構，各平臺的連接方式，使用或生成的數據，以及這些數據對業務的影響，那么要想保護其IT/OT環境不受侵擾簡直是不可能的。

因此，對于傳統的工業化環境來說，一定要先清楚自身的基礎架構、系統環境，對各種可能發生的威脅展開預判與監控。這樣的話，面對攻擊時，企業也能夠快速地檢測到并及時處置。

2. IT和OT要協同防護

在了解了企業環境后，就要將IT和OT的安全防護協同起來，不僅僅是在架構層面，還要在內部團隊、安全廠商等層面上建立協同機制。通過幾方協同把防護機制建立起來，把工業主機保護好，確立長期的漏洞攻防機制，IT和OT協同的應急響應處置機制等。

而促使IT和OT協同防護的另一個原因，還有網絡邊界的日益模糊。比如2017年國家電網公司的互聯網邊界就曾遭受不同程度的網絡攻擊，攻擊數量同比增長將近50%，在2018年上半年該數字則同比翻了一倍。在這種嚴峻的態勢下，如果將IT和OT防護割裂開，顯然是不切實際的。

此外，強化安全廠商、工控廠商、系統集成商，甚至監管部門間的無間協作也相當重要。一旦發現安全隱患，或安全廠商收集到OT相關的威脅情報，能夠及時將其同步給企業、監管部門形成協同聯動，讓工業企業可以迅速做出響應，贏得時間。

3. 網絡分段不能少

除了建設協同機制，網絡分段亦不能少。這是由于許多OT系統部署在扁平網絡拓撲內，而在不應該產生交互的系統之間沒有任何分段，為蓄意攻擊提供了跳板。那么具體該如何做呢?

在評估網絡拓撲和數據流之后，開發出網絡分段策略就很必要了。這些策略類似于描述控制訪問的區域和管道的各種行業標準語言。而這些策略的目標則是減輕與異常網絡流量相關的漏洞或問題的潛在損害。當然，完全的隔離無法實現，但只要連接，盡量僅在IT、OT系統間傳遞所需的必要流量，并且應該強制執行各個區域之間的通信路徑限制等手段進行安全監管。

結語

隨著5G臨近，萬物互聯時代即將開啟，網絡的邊界更加模糊，如何確保涉及國計民生的OT系統安全，顯然不能將其孤立考慮。這時，IT和OT的協同防護無疑更為靠譜。此外，建設必要的威脅態勢感知系統，通過應用人工智能和大數據技術，實現安全數據、環境數據、情報數據的關聯分析，實現對威脅的快速識別與有效處置，最終達到攻擊事件過程可追溯，攻擊鏈路可揭示，讓攻擊者無所遁形的目的。