零信任架構可以顯著增強制造企業的網絡彈性，有助于提升OT系統的安全性。
 

　　隨著信息技術(IT)、運營技術(OT)和人工智能(AI)的融合，工業控制系統和運營技術正在發生前所未有的變化。這推動了工業 4.0 計劃的實施，但這些變化也帶來了更大的網絡安全風險和新的運營挑戰。
 

　　這種融合導致攻擊面的擴大，也就是說，現在有更多的潛在系統可能被網絡黑客攻擊。Palo Alto Networks公司的一項研究顯示，制造業和關鍵基礎設施行業面臨的安全威脅是其他行業的三倍。
 

　　01  三個重要的OT威脅洞察
 

　　這項調查研究的重點是關注OT系統當前面臨的威脅狀況。有三個重要的OT威脅洞察包括：
 

　　■ 惡意軟件在OT環境中增長。在過去一年中，針對OT組織的惡意軟件，在所有會話中的比例增加了27.5%，每個客戶的平均攻擊次數增加了238%。
 

　　■ 針對OT的漏洞攻擊擴大。去年，每個OT客戶平均每月受到的攻擊次數從2.2萬次增加到7.2萬次。針對OT行業的平均攻擊次數，在增長率和數量上都超過了所有其它行業的平均水平。能夠遠程訪問和橫向移動到OT系統的、受損的互聯網連接辦公設備，仍然是工業部門的最大威脅。
 

　　■ OT系統中受損的資產可能需要超過24小時才能恢復。隨著攻擊面的擴大，每一秒都很重要。三分之一受損的OT資產需要一天以上的時間才能恢復。此外，超過10%的受損資產，在一個多月內仍處于泄露狀態。利用率最高的漏洞和威脅，是供應鏈、遠程訪問和橫向移動。
 

　　02  提升OT系統的網絡彈性
 

　　工業企業需要不斷提高應對網絡攻擊和從網絡攻擊中恢復的能力，同時還要保持其運營的連續性。他們需要有一個綜合的、具有網絡彈性的IT/OT組織來應對這種日益復雜的威脅。一個具有網絡彈性的組織在戰術上做好了準備，即使發生網絡安全事件，也能維持業務運營并最大限度地減少干擾。
 

　　隨著OT環境變得更具動態，“什么都不信任、什么都需驗證”的零信任方法，為安全系統和流程提供了一種有效的方法。為了從零信任中受益并創造網絡彈性，OT組織需要開發一種全面的資產盤點、風險評估和風險管理方法。
 

　　一般來說，OT系統零信任的最佳實踐包括以下五個步驟：定義保護面、映射事務流、構建零信任OT網絡、創建零信任策略以及持續監控和維護。
 

　　步驟1：定義保護面
 

　　這一步驟包括識別對業務運營至關重要的關鍵領域。IT和OT團隊應共同確定這些攻擊面及其風險，其中可能包括整體系統/網絡、特定線路，甚至特定PLC。保護服務還可以包括OT賴以維持生產運行的IT系統，例如計費和托管轉移系統。具有彈性的組織應通過這一步，確保安全規劃、投資和事件響應，首先應用于最具影響力的資產，而不是平等對待所有資產，平等對待所有資產可能會在發生網絡攻擊時增加實施和恢復時間。
 

　　步驟2：映射事務流
 

　　接下來是了解與保護面之間的具體情況。在這里，對OT資產及其通信(包括特定于OT的工業協議和應用程序)的可見性是關鍵。下一代防火墻等工具具有深度數據包檢查功能，可用于獲得OT/IIoT應用、協議和設備以及用戶的可見性。此外，新的機器學習功能的應用，使組織能夠理解基線，更容易地檢測異常，從而提高組織檢測攻擊和響應的能力。
 

　　步驟3：為OT構建零信任網絡
 

　　隨著對事務流程的深入了解，現在OT安全團隊可以定義實際的分區方案，從而實現適當的內聯控制和威脅預防。再次通過新一代防火墻實現分段網關或管道，用于創建區域和區域間的策略。重要的是要在風險管理和降低操作復雜性以及基于風險的方法之間找到平衡，如危險與可操作性研究，這有助于確定所需的細分水平。
 

　　步驟4：創建零信任策略
 

　　這一步是編寫細化的規則。它包括使用Kipling方法，來確定政策的制定者、內容、原因、時間、地點和方式。它還利用NGFW的策略引擎，通過應用程序ID、用戶ID、設備ID和內容ID技術，建立應用程序控制、基于角色的訪問、設備策略和威脅預防。此外，解密和威脅服務可與訪問控制策略相結合，以識別和阻止任何可能通過允許的流量進入的惡意流量。這樣做的目的首先是通過使用針對OT的策略來加固系統，從而降低OT遭到破壞和惡意使用的可能性。
 

　　步驟5：監控和維護網絡
 

　　OT環境不斷變化，特別是在現有OT資產中改造項目時。因此，必須定期清點保護面和事務流，并根據需要調整相關的分區和策略方案。從風險的角度來看，也許更重要的是，IT和OT的這種轉型和融合往往會導致無法打補丁的老舊資產暴露在風險更高的環境中(例如在公司和第三方網絡)。這種情況雖然不受歡迎，但通常是企業為了最大限度地提高生產力而做出的決定。在這種情況下，至關重要的是，各組織應實施先進的威脅監測和預防能力，以檢測并阻止利用此類漏洞的企圖。
 

　　此外，最終用戶應盡可能部署補償控制措施來管理/消除這些威脅媒介。同樣，具有細粒度可見性、細粒度策略支持、機器學習功能和一系列威脅服務的新一代防火墻，在監控網絡、保持零信任以及在IT和OT融合時保護易受攻擊的OT環境免受威脅的過程中將發揮重要作用。
 

　　零信任架構(ZTA)在準備、響應、恢復以及支持正常運行時間和安全方面采用整體方法，可以顯著增強OT組織的網絡彈性。在準備過程中，零信任架構確保從不假定可信，要求對資產、數據、應用程序和服務進行持續的安全訪問，從而最大限度地減少攻擊面。
 

　　在響應和恢復方面，零信任架構的細粒度訪問控制和實時監控能夠快速檢測和遏制威脅，而其最小特權原則可以限制潛在的損害。特別是在傳統的OT環境中，網絡通常是松散分割的，零信任架構可以幫助減少“爆炸半徑”。最終，零信任架構通過保持警惕、積極主動的安全立場，加強OT環境以抵御不斷演變的網絡威脅，從而增加企業不間斷的正常運行時間。