标题:现场设施里OT可见性的那些隐藏麻烦事儿
我是OryxAlign网络安全公司的CEO卡尔·亨里克森。今天咱们聊聊为啥看清运营系统越来越难,搞不好还会让网络抗风险和业务连续性都出问题。
运营技术(OT)网络在工厂、楼宇这些地方一直默默运行着。它管着楼宇自控系统、暖通空调、门禁这些家伙,让整个园区顺顺当当转起来。可问题来了——想摸清这些设备的底细,又不能让现场生产停摆。用IT那套可见性工具去搞,搞不好就把敏感系统整崩了,本来想搞安全,结果捅了篓子。
英国工程技术学会(IET)的《建筑环境网络安全实践守则》说得很清楚:现在建筑越来越复杂,越来越依赖信息和通信技术,这就给安全埋了新雷。搞设施管理的人要明白,很多保障业务连续性的系统,当初压根没考虑过现在这些安全可见性需求。
但直接把IT那套针对服务器和终端的可见性工具往现场环境里怼,十有八九要出乱子——要么系统不稳定,要么性能下降。要保住网络安全和业务连续性,搞设施的人得用工程师思维来搞可见性,得把设备不停机、空间有人用、业务不能断这些事儿都考虑进去。
传统IT安全工具靠的是主动扫描或在线检测,这些招数用在脆弱的控制系统上,稍不留神就会搞出延迟。
就拿楼宇自控系统来说吧,它得协调暖通空调和各个设备,保证有人区域的环境。这些系统靠实时通信维持温度湿度、保障安全运行、让服务不出岔子。突然来个扫描或网络测试,通信就可能卡顿甚至中断,轻则影响设备性能,重则让屋里的人不舒服。
最矛盾的是:看不见的东西就护不住。可要是用IT那套老办法去观察,又可能把要保护的系统给整崩了。
美国国家标准技术研究院(NIST)在《OT安全指南》里说了,OT安全要解决"性能、可靠性和安全性的特殊要求",这就是为啥IT那套招数在现场环境里得悠着点用。
被动监控能解决这问题。通过工程化的SPAN端口或TAP分路器观察网络流量,操作员不用直接碰敏感设备就能摸清通信情况。这招特别适合那些主动扫描会带来风险的脆弱环境。
在运行中的设施里,这些方法得先设计好、验证过再上。对楼宇系统做被动监控,能发现资产和暴露风险,又不会给运营服务增加流量。比靠手工填设备清单靠谱多了,能画出更清楚的楼宇资产和通信关系图。
光看得见还不够,得把网络结构理清楚、管起来。很多园区里,管暖通、门禁、照明的系统直接连到企业大网络,规划不足、隔离不够。
这就敞开了风险大门。一旦企业网被攻破,黑客就能轻松摸到关键运营系统。老设备装不了新安全软件,也扛不住深度包检测,要是网络边界不清,它们就是活靶子。
下一步就是把可见性变成可控、有弹性的基础设施。英国国家网络安全中心(NCSC)的OT指南说,组织要确保"OT环境和企业网或互联网之间的连接都管好了"。它还强调,设计原则就是要帮架构师和设计师搞出"安全又有弹性的系统"。
路子很直白:先摸清哪些设备连着网、通信怎么走,搞明白系统正常时啥样。然后用VLAN和网络隔离这些手段,按运营重要性和信任级别把不同域分开。最后通过持续监控,确保这些边界一直管用。
在运行中的设施里,网络安全得从架构设计时就嵌进去。搞设施的人要想提升现场环境的抗风险能力,别光问能不能看清园区,更要问能不能安全、持续地看清。