如何在 OT 安全中实现完全的可见性

由于 IT 资产在现代工业环境中占了 20-50%，OT 安全领导者需要一种可提供整个融合 IT/OT 攻击面可见性的技术。

回想一下近期影响制造或关键基础设施的安全事件。您是否想到新闻报道中的事件、同事告诉您的事件、抑或是您自己遇到的事件，您不用回想很远之前的事件。在几乎每一个事件中，受影响企业的反应都大同小异 – “我没想到会发生，但觉察时，已经太晚了”。

在运营技术 (OT) 环境中，由于机械并不像在 IT 环境中那样经常更换，因此这样的情况尤其常见。在 OT 环境中，通常采用“一次设置，一劳永逸”的方法，因此设备一直会工作十年以上。这个八字真言中的“一劳永逸”会造成严重的可见性问题，即如果您连自己拥有哪些资产都不知道，那就很难进行保护。

虽然提到实现企业安全时，可见性可能是最重要且最显而易见的能力，但在执行上却不那么容易。以下是可帮助您获得所需可见性的三个做法，也是在避免攻击时您需要应用安全与控制的机制。 

• 选择可扩展的覆盖面：确保您所选的安全产品可以支持您所管理的环境。企业经常会在购买 OT 安全产品或解决方案之后，才意识到它不支持所使用的协议或其 OT 运营在其上运行的可编程逻辑控制器 (PLC)。只要在概念验证 (POC) 期间确保供应商能够覆盖您的需求，并提供将来您可能会需要的其他 PLC 制造商的广泛支持，这个问题很容易就可以解决。这样就能让产品随着您的需要一起扩充，而不会让您只能使用一个不能向上兼容的产品。
• 请记住 OT 不仅仅是 OT：在典型的 OT 环境中，20% 的基础设施可能包含 IT 设备，而在融合式环境中，这个数字很快就会攀升到 50%。单一 OT 安全产品也许很适合支持 OT 资产，不过这些产品对 OT 环境中的 IT 设备却是完全失明的。在最近的几次攻击 (如 Lockergoga、EKANS 和 Ripple) 中，我们看到，这些攻击时而针对 IT，时而针对 OT，如果仅有部分可见性，就可能会对安全性和重大的网络风险暴露产生错误的安全感。要实现所需的可见性，您的 OT 安全解决方案不仅必须提供深入的网络和 OT 设备情报，而且还要从 OT 扩展到 IT，这样才能提供融合环境中不中断的可见性。 
• 将优先级分析应用到数据洪流上：既然您拥有了所需的可见性，那么您可能需要消化更多的数据。您如何对警报、警告和调查分类？在根据攻击类型、资产重要性、漏洞利用代码的可用性及其他关键因素来确定哪些警报会对贵公司带来最大的风险，已进行优先级分析的风险评分非常关键。这可帮助安全人员专注于处理造成最明确且急迫风险的网络风险暴露事件，而较轻微或较不重要的警报可以以后再解决。 

要在关键基础设施和制造环境中阻止攻击扩散的唯一方法，就是照亮 OT 环境中可能产生安全事件的黑暗角落。使用合适的 OT 安全工具，我们可以获得所需要的可见性，不会再盲目从事。 

我们最近发布了 Tenable.ot 3.7，融合了上面提到的三个最佳实践。我们覆盖了当今市面上 90% 以上的工业控制器，而且每个月都会增加。我们将 Nessus 添加到 Tenable.ot 中，解决了工业运营中的 IT 和 OT 部分，在这两个领域中提供解决所有安全事件所需的专业知识。此外，我们还将漏洞优先级评级 (VPR) 添加到 Tenable.ot ，您可以根据漏洞对贵企业造成的最大风险对事件进行分类。 

为了解决可能会使贵公司处于风险中的融合环境和新兴安全威胁，我们新增了许多功能。 您可以查看我们的新闻稿，了解有关产品更新的详细信息。利用合适的可见性、安全性与控制力，您就能获得新技术带来的所有好处，而不会曝露在无法接受的风险之中。