派拓網絡云交付安全服務產品管理副總裁黃強

隨著OT環境互聯程度的日益增加，企業可遠程管理各項操作，在提高效率的同時加強遠距離監控。但這些技術進步也帶來了更高的安全風險。在派拓網絡和ABI Research近期的一份報告中，有74%的受訪者發現遠程訪問變多，這為攻擊者創造了更多的切入點。這一攻擊面的擴大使OT系統成為網絡威脅的主要目標，因此有必要為遠程OT環境量身定制一個強大的安全框架。

為了構建彈性OT安全框架，企業需要保護的遠不止連接。通過保障所有云端、本地和混合接入點的安全，就能在任何環境中確保操作的安全性與可靠性。由于在最近的一份報告中，80%的受訪者認為云技術等數字工具將在未來三到五年成為OT的關鍵，因此這種全面的方法至關重要。如果沒有覆蓋這些接入點的強大安全基礎，企業將面臨更大的運營中斷、安全事故和經濟損失風險。四分之三的受訪企業已經遇到了此類由針對OT的網絡攻擊引起的問題。

彈性OT安全框架的核心組成部分

為了保障遠程OT操作安全，首先要建立一個能夠保證OT和IT活動清晰可見的基礎，以便有效監控和了解關鍵流量。有了這一可見性，企業就能做出明智的安全決策、發現異常情況，并迅速應對潛在威脅。但僅憑可見性還不夠，要想針對不斷變化的威脅建立彈性分層防御體系，就需要不斷地將安全功能整合到整個網絡中。

企業可以通過實施最小權限原則，將遠程訪問限制在每項任務所需的最低限度，從而降低潛在的安全風險。該方法可以更大程度地降低暴露風險，使每個用戶只能訪問必要的系統。此外，通過定義和傳達明確的遠程訪問程序，可保證企業內部所有人員都了解并遵循同一套安全協議。流程的透明對于保持一致性至關重要，尤其是在操作安全和連續正常運行時間更為重要的復雜OT環境中。確保這些協議支持安全、不間斷的訪問對保持關鍵系統順利運行非常重要。

在OT環境中，建立安全的臨時訪問權限同樣關鍵，每次會話都應使用唯一的證書，任務完成后需及時刪除訪問權限。無論是通過VPN、SSH還是其他安全渠道（例如特權遠程訪問）建立的臨時連接都要加以嚴格控制，防止未經授權的訪問。使用多重身份驗證（MFA）對遠程訪問進行分層能夠加強保護，通過在授予訪問權限前進行多重身份驗證提高安全性。

構建具有彈性的訪問基礎設施

遠程OT環境的彈性安全框架需要能夠應對OT網絡的獨特條件和限制，特別是在傳統設備和舊操作系統普遍存在的情況下。比如加密遠程會話對保護數據的機密性和完整性至關重要，尤其是對可能缺乏內置加密功能的老式OT設備。但專為保障連續正常運行時間、安全性和可用性而設計的系統可能無法定期更新軟件和固件。

在這種情況下，雖然無法采用標準措施，但可以采取限時訪問、手動驗證流程或特定驗證步驟等補償控制措施提高安全性。這些控制措施可在不影響操作連續性的情況下保證訪問的安全。避免使用默認配置以及定期檢查系統設置同樣重要。自定義配置不僅能應對特定漏洞，還可通過調整安全框架滿足OT環境的特殊需求。

整合IT和OT安全策略

為了構建強大的遠程OT操作安全框架，需要對IT和OT實踐進行周到的整合。與其針對OT調整IT解決方案，不如采用能夠滿足OT環境特殊需求的綜合方案。如果能設計出優先考慮適時訪問等OT要求的專用工作流程，則有助于在不妨礙運營效率的情況下保證安全性。

在仔細對齊IT和OT策略后，就能形成更加強大的安全態勢。但要整合IT最佳實踐與OT網絡，就需要對差異保持敏感，因為IT的快速更新周期和安全協議可能會與OT對連續正常運行時間和舊系統穩定性的需求相沖突。

讓OT人員直接參與遠程訪問規劃也很重要。有了對未來活動的了解，OT團隊就能有效應對各種事件，保證操作的安全性與可靠性。遠程技術團隊可通過教育掌握實現安全目標所需的知識，并避免采取可能增加風險的行動，因此教育能夠進一步加強這一框架。

建立與時俱進的彈性框架

保障遠程OT環境安全是一個持續的過程，并且應與技術和新興威脅同步發展。統一安全平臺能提供滿足不斷變化的安全需求所需的適應能力。這種平臺可將資產發現、網絡分段和高級威脅檢測等功能整合到一個系統中，從而降低復雜性并精簡整個IT和OT環境的保護。

自動化實現了可根據流量模式進行調整的自適應安全策略，成為建立彈性的另一個關鍵。自動化策略建議能降低人為錯誤幾率，使整個OT資產的保護保持一致。憑借這個框架，企業可以專注于創建一個安全、高效的環境，在當今互聯世界實現連續運營和風險管控。

如果優先考慮可見性、主動威脅預防，以及IT和OT策略的周到整合，企業就能建立一個具有彈性的遠程OT安全框架。該方法不僅可保護關鍵基礎設施的安全，還會幫助企業應對未來互聯環境中的網絡安全挑戰。