运营技术(OT)网络在实时设施中安静地运行。它们支撑着楼宇管理系统、暖通空调基础设施、门禁控制和其他连接服务,确保园区平稳运行。然而,在日常可靠性背后,设施团队在努力获取资产可见性时,往往不敢影响实时运营。传统的IT可见性工具可能会破坏敏感环境,把安全演练变成意外中断。
IET的《建筑环境网络安全实践准则》明确指出,建筑资产日益增长的技术复杂性,以及它们对信息通信技术的依赖,正在创造新的漏洞。这对设施管理很重要,因为许多支撑连续性的系统在设计之初根本没有考虑现代安全可见性。
但简单地就把为服务器和终端设计的传统IT可见性工具硬塞进实时运营环境,通常会导致不稳定或性能下降。为了保护网络和运营韧性,设施团队需要一种以工程为导向的可见性方法,尊重正常运行时间、有人空间和运营服务。
传统IT安全工具通常依赖主动扫描或在线检测,这些方法如果使用不当,会在脆弱的控制系统里引入延迟。以协调整个有人场所的暖通空调和设备的楼宇管理系统为例。这些系统依赖实时通信来维持环境条件、支持安全运行并确保服务正常。意外的扫描或侵入式网络测试会引入延迟或中断这些通信。
矛盾的是,组织无法保护他们看不见的东西。然而,试图用传统IT方法观察这些环境,反而可能破坏他们试图保护的系统。正如NIST在其《运营技术安全指南》中指出的,OT安全需要应对独特的性能、可靠性和安全要求。
被动监控解决了这个问题。通过工程化的SPAN或TAP连接观察网络流量,操作员可以在不直接接触敏感设备的情况下了解通信情况。这使得它更适合那些主动扫描可能带来运营风险的脆弱环境。在实时设施中,这些方法在引入之前应该先设计和验证。
可见性本身并不能降低风险,除非它指导网络如何结构和治理。在许多园区中,管理供暖、制冷、门禁控制和其他服务的楼宇系统缺乏足够的规划或隔离,直接连接到更广泛的业务网络。这创造了不必要的暴露。一旦业务网络被攻破,攻击者可以更容易地转向关键运营系统。
下一步是把可见性转化为可控、有韧性的基础设施。组织首先需要识别连接的资产和通信流,这样他们才能理解系统在正常情况下的行为。然后可以通过VLAN和网络隔离等方法引入分段,根据运营重要性或信任级别分离域。持续监控则有助于确保这些边界长期有效。
在实时设施中,网络安全应该从一开始就嵌入到架构中。希望加强实时环境韧性的设施团队,首先应该问的不仅是他们能否看到自己的园区,而是他们是否能够安全、持续地看到。