IT安全工具不适用于OT的五个原因-51CTO.COM

随着数字化转型和 OT/IT 融合的持续加速，对关键基础设施和其他 OT 系统的攻击正在增加。水处理设施、能源供应商、工厂和化工厂——支撑我们日常生活的基础设施都可能面临风险。破坏或操纵 OT 系统会对公民、环境和经济造成真正的人身伤害。

然而，OT 安全工具的前景远不如其信息技术 (IT) 工具发达。根据Takepoint Research 和 Cyolo 最近的一份报告，人们对通常用于保护远程访问工业环境的工具明显缺乏信心。

图 1：新研究表明，各行业对安全风险的关注程度与对现有工业安全远程访问 (I-SRA) 解决方案的信心程度之间存在巨大差距。

工业环境的传统安全策略是隔离——不仅与互联网隔离，也与其他内部系统隔离。但现在，随着 OT 系统向世界开放，网络威胁激增，缺乏 OT 专用安全工具已成为一个紧迫的问题。在这种空白中，IT 解决方案通常被拼凑在一起以满足 OT 需求，但正如您可能预料的那样，结果通常乏善可陈。

出于几个关键原因，专为 IT 环境设计的安全解决方案根本无法满足 OT 和工业现实的需求。

原因 1：OT 优先考虑可用性而不是机密性#

虽然 IT 和 OT 都寻求确保机密性（保护敏感数据和资产）、完整性（数据在其生命周期内的保真度）和可用性（资源和基础设施的可访问性和响应性），但他们优先考虑此 CIA 的不同部分黑社会。

为了可用性和响应能力，大多数 OT 组件根本不是为了适应安全实施而构建的。

这标志着 IT 和 OT 环境的 DNA 存在根本差异，这立即使 IT 安全工具难以实施。

对于生活在 IT 世界的人来说，可能很难想象仍然在 Windows XP 或八十年代大型机上运行的环境，但这就是 OT 世界的真实情况。无论是为了利润还是为了安全，OT 系统始终保持满负荷运行。这就是 OT 组件设计用于更长生命周期的原因。

几乎所有基于 IT 的工具都需要停机进行安装、更新和修补。这些活动对于工业环境来说通常是行不通的，无论漏洞有多么严重。同样，OT 系统的停机时间意味着将安全置于风险之中。

此外，为 OT 世界提供动力的遗留系统通常无法与现代安全或身份验证工具通信，从一开始就限制了这些平台的有效性。如果没有像 Cyolo 这样的安全解决方案来改造遗留应用程序以支持现代安全协议，IT 工具在保护 OT 系统的能力方面将受到严重限制。

IT 安全解决方案通常需要外部连接，因为服务器和应用程序必须相互（以及与用户）交换数据以执行其基本功能。相比之下，OT 系统通常对连接到互联网的方式和时间有特定要求（是的，即使在我们这个数字化转型的时代）。IT 工具不能总是配置为满足这些要求。

细微差别在于，IT 和 OT 系统可以在不形成永久连接的情况下相互连接。这样，OT 环境就可以定位为实现自动化、生产数据和其他数字化转型工作的好处，而不会为恶意行为者创建不必要的访问点。

IT 世界在很大程度上围绕 TCP/IP 协议进行了标准化，但 OT 世界缺乏这样的共识。OT 系统使用各种各样的通信协议，这些协议通常由原始设备制造商确定。

例如，如果 OT 运营商从多个不同的供应商处购买可编程逻辑控制器 (PLC)，则每个供应商可能会采用不同的方法来满足 IEC-61131 标准。因此，OT 工程师必须学习和维护与供应商一样多的软件和协议类型。

即使在 OT 内部，协议也经常相互不兼容，而且它们肯定与基于 IT 的安全工具中使用的通用协议不兼容。值得怀疑的是，任何 IT 工具都将涵盖给定环境的整个 OT 用例范围。

由于其可变性和始终在线的特性，OT 系统很容易被最基本的 IT 流程和安全最佳实践所破坏。

由于在 OT 环境中更难实现可见性，因此很难预测部署新工具的后果。因此，OT 系统通常需要在实施新工具之前进行更广泛的测试和验证。

人们常说战略先于工具——这是事实。在 OT 空间工作的 IT 和安全团队必须花时间理解和接受 OT 理念和需求，并与 OT 利益相关者合作定义最佳实践。

也就是说，正确的工具仍然很重要。网络安全市场可能嘈杂且具有误导性。在使用特定工具或供应商之前，IT 和 OT 利益相关者必须共同提出正确的问题。

OT 世界应该享受现代安全控制的好处，而不会危及工人、运营或旁观者的安全。正确的解决方案不仅会加强安全态势以抵御明天的攻击，它们还会将安全定位为促进创新而不是阻碍创新。