安适运营技术(SEC-OT)是一种要领和最佳实践的调集,其灵感来自于与安适产业站点合作的十年经验。SEC-OT要领对许多IT甚至产业控制系统(ICS)安适从业者来说都是违反直觉的。事实证明,安适的产业网站提出了差此外问题并获得了差此外答案。
例如,产业网站凡是不会问“我们如何掩护我们的信息?”相反,他们会问,“我们如何连结网站孕育产生高质量的产品?”和“我们如何安适地控制网站?”为此,SEC-OT将控制系统安适性界说为:
控制系统安适性 - 通过确保正确和授权的控制来掩护安适可靠的物理操纵。
SEC-OT并不像信息安适那样主要寻求“掩护信息”。SEC-OT不雅察看到所有网络打击都是信息,并得出结论认为,不是需要掩护的信息,而是需要掩护信息的物理操纵 - 更具体地说,可能是信息中嵌入的网络打击。
因此,SEC-OT的第一个原则是,由于所有网络打击都是信息,因此每个综合的信息流入产业站点也是入站打击载体的综合清单。控制这些信息流,我们控制打击。
第二个关键原则不雅察看到,由于所有软件都存在缝隙,我们的主要防御应该是对进入ICS网络的信息/打击流进行物理和硬件强制控制,而不是基于软件的掩护。终究所有软件都出缺陷 - 发明和未发明 - 并且一些缺陷是安适缝隙。使用易受打击的防火墙,暗码系统和安适软件来掩护易受打击的ICS软件,就仿佛用无底洞来救助地下室。
首先控制传入的信息/打击流,然后考虑软件安适性。
离线信息/打击流程包孕可移动媒体,BYOD,条记本电脑,手机,来自我们提供商的全新计算机,甚至包罗暗码和恶意用户的人。在最洪流平上,SEC-OT倡导对线下信息流进入ICS网络的物理掩护。例如:物理阻止或禁用可移动媒体端口,并对未使用的网络连接,ICS网络中的计算机,交换机和墙壁插孔执行不异操纵。还可以部署帮助软件掩护,例如禁止安置可移动介质的Active Directory计谋和禁止未经授权的条记本电脑和其他计算机连接的网络访谒控制(NAC)。
别的,SEC-OT从物理安适措施中调解了“近乎未命中”的观点。当NAC系统呈报测验考试将非ICS条记本电脑连接到ICS网络,或ICS条记本电脑呈报测验考试将其连接到IT网络时,安适运营中心(SOC)会与违规小我私家联系并一起填写一个“安适相近的错过”呈报。这些呈报被汇总,分析并用于在培训和意识打算方面优先考虑调处步履。通过强有力的“近乎未命中”打算,现场人员很快就学会了从不测验考试危险的信息传输。
然而,某些信息流入ICS网络是不成制止的 - 新的软件版本,反病毒签名更新,替换老化的新计算机等等。SEC-OT站点凡是通过完全修补的反恶意软件扫描信息亭和大量仪器化的ICS测试台的组合来满足这些需求。信息亭凡是使用4-8个反恶意软件引擎扫描传入媒体,凡是使用基于云的沙盒系统进行扩充。批准的文件将复制到新的ICS介质并传送到ICS测试台上的文件处事器。在部署到实时控制网络之前,这些文件被部署并测试安适,可靠和安适操纵的威胁。
该网站的内部人员是一个差此外离线问题。安适的产业站点凡是不会问“我怎样才华说服我的员工遏制使用USB驱动器?”这个问题是通过上面的SEC-OT物理,软件,接近未命中和测试床措施来解决的。安适网站问:“我怎样才华防备信任的内部人员误控物理过程?”这里没有银子弹,但也没有任何谜团。
自计算机化之前,产业站点一直在措置惩罚惩罚这个问题。SEC-OT操作恒久的人员安适最佳实践,包孕:按期人员配景查询拜访和危害评估,以及详细审计,视频监控和其他监控形式的威慑,尽可能实用且受当地隐私法令允许。
在线信息/打击流包孕网络连接,防火墙,串行连接和无线连接。这就是SEC-OT与不太适合OT的做法最为明显的区别。SEC-OT要求对外部网络(如IT网络和Internet)的在线连接进行基于硬件或物理控制,并禁止仅使用软件控制此类流量。加密,无论是基于硬件还是基于软件,防火墙和双因素身份验证,都被认为不敷以掩护控制系统免受外部在线打击。
为了实现安适的IT / OT和OT /云集成,安适的ICS站点使用硬件强制的单向网关来实现从ICS网络到外部网络的连接。对付不熟悉单向网关技术的读者,美国国家标准与技术研究院(NIST)将此类网关界说为: