守护关键基础设施:OT安全为什么要采用威胁情报驱动策略
作者: CBISMB
责任编辑: 邱姣敏
来源: CBISMB
时间: 2026-07-07 10:12
浏览: 0
点赞: 0
收藏: 0

如今,运营技术(OT)已经成为企业安全领导者进行网络风险管理最关键的领域之一。生产线、电力系统、交通网络、医疗基础设施、能源运营以及其他各种工业环境,都依赖于互联互通程度日益提升的各种系统。这种连接性提高了运营效率,但是也使OT环境暴露在风险之中——因为这类环境在设计之初就无法应对当今复杂多变的网络威胁态势。

这对CISO而言是一项艰巨的挑战。虽然OT环境已经不再与企业风险隔离,但也不能直接将传统IT安全管控措施照搬到工业网络中。二者的防护优先级、使用的系统,以及业务中断导致的后果截然不同。
IT安全的首要目标是保护数据、用户、应用程序和业务系统。而OT安全还必须考虑生产安全、设备正常运行时间、物理生产过程、专用设备、老旧协议和业务连续性。那些在企业环境中行之有效的安全管控措施,如果导致生产线中断、延误了安全流程或影响了关键基础设施的可用性,可能会给企业带来无法承受的风险。
正因为如此,OT安全必须采用威胁情报驱动的策略。CISO不仅需要了解企业当前拥有哪些资产,还需要知道哪些系统最容易暴露、哪些威胁关联性最高、攻击者将如何在环境中横向移动,以及哪些管控措施可以在不干扰运营的情况下降低风险。
为什么传统IT安全架构会在OT场景中失效
大多数OT环境在设计时会优先考虑可靠性和可用性,其次才是如何将它们连接到企业IT系统、云服务、远程访问平台和第三方支持网络。因此,这类环境通常会包含难以打补丁的老旧系统、难以审查的专有协议,以及限制变更时间和方式的运营要求。
这并不意味着OT团队忽视了安全,而是意味着他们需要在不同的约束条件下开展工作。工业系统在设计时往往会计划连续运行多年,因此计划内的维护窗口十分有限。一些设备无法支持终端代理,另一些设备可能运行着老旧操作系统,因为它们所控制的设备设计使用寿命长达数十年——在当今前沿AI赋能安全的时代,这些问题尤为突出。
如果CISO把OT网络简单视为企业网络的另一个分支来管控,会极易形成安全盲区。他们可能会高估标准安全管控措施的有效性,低估工业流程的脆弱性,或者忽视攻击者攻击OT环境的特定方式。
要搭建更有效的OT安全架构,首先要建立对OT环境现实情况的认知。OT安全必须在兼顾可用性和安全性的基础上,同时提高可见性、减少暴露面,并为安全团队提供足够的上下文信息,以便在威胁影响运营之前检测出来并做出响应。
业内有一个常见的误区,就是在没有进行运行验证的情况下,就将传统的IT安全管控措施部署到OT环境中。例如,激进式漏洞扫描可能会干扰内存和处理能力有限的网络设备,如可编程逻辑控制器(PLC)或远程终端单元(RTU);终端防护代理可能会消耗人机界面(HMI)上的关键系统资源;常规的补丁更新可能会给连续生产作业带来计划外停机……在这些场景下,这些系统通常是任务关键型系统,它们需要持续可用,以支撑安全可靠的运营。
同样,过于严格的网络分段策略可能会无意中阻断工业协议或延迟敏感型通信,而这类通信对于OT环境中的实时控制、安全功能和运营连续性至关重要。此外,关键基础设施领域的OT环境可能无法通过互联网或云连接来获取安全更新。虽然网络连通性在IT环境中十分普遍,但OT环境可能仅适用物理隔离解决方案,这会影响自动化和基于云的安全更新交付操作。
从资产可见能力开始
CISO无法保护他们看不到的系统。在许多OT环境中,首要挑战是绘制完整的资产地图,包括工业控制器、工程工作站、HMI、传感器、现场设备、远程接入点,以及OT与IT网络之间的连接。当这些资产处于偏远、恶劣的环境中时,这项工作尤为艰巨。
不过,这种可见能力必须超越静态资产的清单范畴。CISO和安全团队还需要了解资产关系、通信模式、暴露路径、固件和软件版本、已知漏洞和补丁管理策略,以及业务关键性。例如,一个不起眼的设备可能支撑着关键流程。一个被遗忘的远程访问连接可能会开辟一条通往敏感环境的路径。或者,一个存在漏洞的工程工作站可能会比一个高负载服务器带来更大的风险,因为它可以访问和控制很多系统。
基于威胁情报的防御体系正是依托这种上下文信息搭建而成。其目标不是对所有资产一视同仁,而是找出最可能被攻击的系统、攻击者可能使用的路径,并通过补偿性管控措施来增加利用难度的措施。
随着OT环境变得更加互联,这一点尤为重要。远程操作、预测性维护、云端分析和第三方服务访问可以提高效率,但是也扩大了攻击面。如果没有准确的可见性,CISO及其团队就只能基于假设和经验来管理OT风险。
网络分段管控缩小风险波及范围
了解了自己的OT环境之后,网络分段管控就是所有OT环境中降低风险最有效的方法之一。扁平的网络给攻击者提供了横向移动的空间,而在OT网络中更是如此,因为一个区域的入侵,可能会由于IT和OT网络之间的连接管控薄弱,而扩散到支撑实体业务运行的多个系统中。
有效的网络分段不仅仅是技术操作。它需要安全、网络、工程和运营团队之间的紧密协作。必须了解哪些系统需要通信,哪些连接是不必要的,以及哪些访问应该被限制。同样,控制措施必须围绕运营实际情况来设计,而不能以破坏核心工作流的方式强行实施。
基于威胁情报的网络分段策略能够限制横向移动,减少不必要的暴露面,并在安全事件升级为运营中断事故之前加以控制。它还为防御者提供了对异常活动更清晰的可见性。当流量模式充分掌握、访问路径被严格控制时,可疑行为就更容易被检测到。
Fortinet的OT网络分段方案严格遵循ISA/IEC 62443标准原则,通过建立安全区域和通信管道,根据业务关键性和通信需求,将工业流程、安全系统、监控网络和企业环境隔离。该方法不是直接套用严苛的IT式分段策略,而是强调分阶段部署:先搭建可见性监控体系,解析各种工业协议,验证业务运行流量,然后再执行管控策略。
《OT网络安全解决方案指南》中提到的标准化落地流程通常包括:在第1-3级工业自动化与控制系统(IACS)环境之间的关键通信链路上部署FortiGate下一代防火墙(NGFW),针对Modbus TCP、DNP3、IEC-104、OPC、CIP等主流工业协议配置OT专用策略,并在控制器、HMI、历史数据库和工程工作站之间执行最小权限通信原则。
Fortinet还建议,在调整网络分段策略之前,先进行被动资产探测、拓扑映射和流量基线分析,以最大限度减少运营中断风险。配套的保护措施还包括:使用多因素认证的安全远程访问;关键生产区域内的内部分段防火墙(该防火墙支持透明模式和网络旁路能力,专门用于保护关键任务系统);还有在无法立即打补丁时,用来保护易受攻击的老旧资产的虚拟补丁。
此外,FortiLink允许FortiGate NGFW远程管理FortiSwitch。FortiLink将FortiSwitch原生集成到FortiGate NGFW的用户界面中,并支持对FortiSwitch上网络端口的管理和监控。这种集成为连接到FortiSwitch的网络节点和资产提供了全面的可见性,使OT工程师能够精确定位网络故障和问题,实现高效运维。