更多全球网络安全资讯尽在E安全官网www. E安全6月24日讯 专注安全、国防和基础设施的数字化解决方案公司 Parsons 发布《2018关键基础设施风险评估报告》。这份针对美国关键基础设施行业300名工业控制系统(ICS)和运营技术(OT)工程师的调查报告显示:工程师、OT 环境专家和 IT 专家之间极度缺乏协作,且确保网络攻击弹性的模型无法反映出完全融合的 OT/IT 方法。
《2018关键基础设施风险评估报告》内容 Parsons 联邦业务部门负责人凯里·史密斯(Carey Smith)表示,关键基础设施中安装的联网设备正在提高运营效率,工业控制环境中的联网设备增多伴随着网络风险的加剧,日益复杂的攻击有了更多的访问点。这项调查凸显出一个事实:融合 OT 和 IT 解决方案滞后于融合威胁。基于Bolt-on、软件和以IT为中心的解决方案并非适用于 应对OT 网络威胁。 网络犯罪损失将占全球经济的10%
90%的关键基础设施资产属于私营部门对于美国来说,超过90%的关键基础设施资产属于私营部门,了解 OT 和 IT 网络解决方案的融合程度需要靠关键基础设施企业和单位的员工、管理层和董事会成员的共同努力。 政府和私营部门的基础设施运营商越来越频繁地报告针对 OT 和 IT 关键基础设施环境的网络攻击:
美国国家标准与技术研究院(简称NIST)等网络安全标准组织已要求推出解决方案,应对不断变化的威胁形势,加强 OT 和 IT 技术融合,制定流程更有力地应对 ICS 和 OT 系统面临的网络威胁。 OT/IT融合的必要性Parsons 总结指出,关键基础设施行业的工程师对运营技术(OT) 环境面临的网络风险有高度的认识,但 IT 部门和高级管理人员采取的标准和实践并未跟上快速变化的威胁。黑客及其他不法分子的攻击手法层出不穷,负责保护关键基础设施的利益相关方时间紧迫。Parsons 为此提出如下建议: 一、定义 IT/OT 融合 对于关键基础设施利益相关方而言,缺乏广泛认可的 IT/OT 融合定义。Parsons 建议为关键基础设施行业的利益相关方制定一套定义和标准,以加强 OT 网络安全。 二、培训关键基础设施组织机构必须提供培训和教育,以提高 OT 工程师和专业人员的网络安全能力。培训将提升 OT/IT 协作的有效性,并有助于确保 OT 在网络安全规划和资源配置方面拥有一席之位。 三、OT 网络安全设计通过 bolt-on 解决方案来解决过时或老旧的设备的安全性是一种挑战,组织机构应将 OT 网络安全纳入升级和新 OT 系统的设计过程。 四、规划 OT 网络安全工作应组建领导和管理团队来解决 IT/OT 漏洞,这就要求组织机构结束在部门内(例如 IT 或 CIO 办公室)采取“烟囱式”(Stove-Piping)网络安全做法,并制定相关 IT和OT 部门协作的固定流程和做法。 五、鼓励对话关键基础设施利益相关方应尽力鼓励网络安全和 OT 漏洞方面的研究、信息共享和行业范围内的对话。
|
|