随着网络安全在公众眼中的重要性日益增强, 许多组织正在考虑通过运营技术(OT)网络安全计划来提升他们的安全水平. 有无数的专家和文献可以帮助澳门赌场官方下载建立IT网络安全计划, but the same cannot be said for OT cybersecurity. OT包括广泛的可编程系统和与物理环境相互作用的设备.g., industrial control systems [ICSs], building automation systems, transportation systems, environmental monitoring systems). OT网络安全从业者往往难以确定开发强大网络安全计划的最佳基础. For instance, IT从业者可以依靠美国国家技术学院(NIST)的网络安全框架(CSF)或许多其他标准之一. 然而,有几个原则可以作为OT网络安全计划的基础.
Unique OT Concerns
OT环境引起了与IT相关的不同的关注. For instance, the primary concern in OT is ensuring the availability, integrity, and confidentiality of data. 因为OT侧重于控制和监视物理过程和环境, availability plays a critical role. OT系统必须始终可用,并能够实时响应事件和警报. 进一步more, any unauthorized modification (i.e.(如数据完整性丢失)可能会破坏控制系统并导致灾难.
In addition, a long lifespan, obsolescence, 健康, 安全和环境问题都是驱动OT决策的因素,而这些因素在IT中并不总是发挥重要作用. IT关注的是机密性、完整性和可用性——按此顺序. 这是因为IT非常强调用户隐私,因此机密性尤为重要.
A long lifespan, obsolescence, 健康, 安全和环境问题都是驱动OT决策的因素,而这些因素在IT中并不总是发挥重要作用.
Building an OT Cybersecurity Program
网络安全计划的主要目的是提供一个有组织的, consistent, 以及管理澳门赌场官方下载网络安全风险的综合方法. When deployed, 网络安全计划应使管理层对安全水平有合理的信心. OT网络安全计划应该解决上述可能最终给组织带来风险的OT关注点.
有几个安全原则和标准可以作为有效网络安全计划的基础:
- 国际电工委员会(IEC)的IEC 62443系列标准, 其中包括专门为保护集成电路而编写的标准
- NIST’s CSF, 专门为减轻网络安全方面的组织风险而创建的框架
- The Cybersecurity Capability Maturity Model (C2M2), 专门设计用于指导与iot相关的网络安全能力和活动的成熟度模型.
- The Purdue Enterprise Reference Architecture (PERA), functional architecture heavily used in the OT industry
- NIST特别出版物(SP) 800-82, OT最佳实践
- ICS供应商经常发布白皮书和其他可用于构建网络安全计划的支持资源
对于创建和实施有效的OT网络安全计划,不存在放之四海而皆准的方法. 列出的选项的组合应该用来创建一个有效的, purposeful OT cybersecurity program. A maturity model such as C2M2 is a good starting point. C2M2是为OT定制的,并提供OT网络安全计划应该支持的功能和活动. Unlike other maturity models, C2M2还提供了一种衡量网络安全成熟度能力的方法, thus quantifying the program's maturity. This provides a path to constant improvement. 可以创建与C2M2网络安全域一致的治理文档1 确保所有的能力和活动都得到处理.
进一步, 使用C2M2作为基础构建的网络安全计划可以映射到IEC 62443网络安全控制,以确保人们, 过程, 实施技术(PPT)控制,进一步丰富C2M2规定的活动. 这种双向方法处理高级功能和低级技术控制. For example, in the C2M2 v2.1, within the Manage Third-Party Risk objective of the Third-Party Risk Management 领域,描述与识别和实现网络安全需求相关的活动. IEC 62443-2-4提供了在实施时启用C2M2活动的指导.
Conclusion
Attacks on OT infrastructure are increasing, 组织必须开始解决OT网络安全的需求,以减轻和应对攻击. An organized, consistent, 应使用可扩展和标准驱动的方法来开发OT网络安全计划. OT网络安全计划应该使用特定于OT的标准、框架或成熟度模型来构建. 理想情况下,从业者应该从具有度量方法的特定于ot的成熟度模型开始. 这将帮助组织确定其当前的安全状况并计划未来的改进. 进一步, 从业者应该应用特定于ot的标准和控制来启用和实现成熟度模型中的活动.
尾注
1 美国能源部网络安全、能源安全和应急响应办公室, 网络安全能力成熟度模型(C2M2),版本2.1, USA, June 2022
Sri Mallur, CISM, CRISC
一家大型油气公司的ICS网络安全顾问是否负责监督网络安全治理和风险. He has managed application (app) security, governance, and risk programs and teams in the automotive, 保险, 化学, 健康, technology, and entertainment sectors. 他目前致力于使用机器学习(ML)来解决OT网络安全中的可扩展性问题.