GoUpSec｜有必要为OT网络单独建设一个SOC吗？

评估OT环境是否需要建设专用SOC（OT-SOC）是一项细致且复杂的工作，不仅取决于企业的风险偏好，还包含一系列考虑因素。例如，OT系统对于企业的重要性、安全漏洞的潜在影响、合规要求以及不断变化的威胁形势。此外，还需要对企业现有的网络安全能力进行深入评估，包括事件检测、响应能力以及保护敏感OT资产的能力。

在讨论OT-SOC的必要性之前，我们先简要总结一下OT网络安全的特殊性：

理论上，如果企业严格遵守普渡模型，OT环境将能有效遏制和缓解IT相关威胁。然而，现实中的OT网络的安全态势更为复杂，理论与实践往往存在分歧。

普渡大学模型

实施普渡模型的第一个障碍是身份和访问管理（IAM）。这是一个关键的考虑因素，安全主管面临一个颇具挑战性的问题：“采用集中身份验证还是分散身份验证？”这两个选择各有其优缺点，需要仔细评估。

OT环境的漏洞管理（例如漏洞发现、评估和合规性扫描）也非常复杂和棘手，因为PLC和SCADA设备往往难以承受漏洞扫描。为了避免这种情况，企业可以使用被动漏洞扫描解决方案。但即使采用这种方法，仍然存在一些复杂的问题需要解决。

首先，你的OT环境在PLC/SCADA设备和其他组件之间是否有明确的界限？实现这种分离可能是一项艰巨的任务，而且漏洞评估的频率和范围仍然会受到限制。

OT安全面临的另一个难题是端点安全。并非每个OT设备供应商都允许安装企业级反恶意软件和EDR解决方案，他们担心此类软件可能会破坏设备的功能，导致服务级别协议(SLA)出现问题。这种限制使得安全团队必须在保护OT环境和维持关键设备不间断运行之间取得微妙的平衡。

OT环境另一个独特的挑战是无处不在的过时操作系统。与IT环境（设备通常每4到6年更换一次）不同，OT环境通常遵循更长的生命周期管理计划，最长可达20年。这种“长寿系统“加大了与操作系统相关的风险，这些操作系统可能早已不再定期接收安全更新和补丁，从而更容易受到网络威胁。

工业环境中设备生命周期的延长带来了一系列独特的挑战。采用普渡模型并依靠VLAN和路由器来隔离资产和管理风险并不足够，企业还需要实施适当的防火墙架构来大大减少漏洞被利用的风险和攻击的“爆炸半径“。创建此类OT防火墙架构的优点在于，虽然它是劳动密集型的，但设计过程本身相对简单。

但需要注意的是，有效实施此类防火墙架构需要专用的OT-SOC。这是因为，必须深入了解OT系统，才能在这种独特的环境中做出明智的决策并有效应对安全事件。这种方法需要对专业知识和资源进行大量投资，以加强OT基础设施的安全状况。

在决定是否建立专门的OT-SOC时，一个关键的考虑因素是事件响应。虽然在较高层面上，NIST事件响应模型在IT和OT环境中保持一致，但实际执行却存在显著差异。主要是因为在OT领域采取的行动可能产生重大影响或严重后果。

在传统IT环境中，当恶意软件爆发时，常见的应对措施是隔离并遏制受影响的设备。然而，在OT环境中实施相同的方法会带来巨大的风险。原因在于OT中断可能产生重大影响。想象一下这样一个场景：你在工厂的OT网络上隔离设备。这种行为在IT环境中看似无害，但可能会无意中扰乱整个工厂生产线，从而可能导致灾难性后果，甚至危及生命。

拥有专用OT-SOC的关键优势是能够更好地设计和执行针对OT独特挑战的更为精确的事件响应策略。因为OT-SOC（团队）拥有应对复杂OT事件场景的专业知识，因此不会“误伤“关键系统的核心功能。这意味着专用OT-SOC才是保护OT环境的明智选择，而不是仅仅依赖更通用的IT-SOC。

根据不同企业的组织结构，建立专用的OT-SOC并不一定需要重复建设SIEM和SOAR平台。IT和OT的SOC共享SIEM和SOAR平台是一个可行的选择。当选择共享方法时，确保这些平台位于IT和OT环境之间的DMZ中至关重要。仅允许通过代理或单步解决方案访问这些平台。

以上这种共享架构设计有双重目的。首先，它可保护SIEM和SOAR平台本身，创建额外的防御层。其次，最大限度避免这些平台成为从IT环境进入OT环境的网络攻击的垫脚石。

采用共享SIEM平台的显著优势之一是其能够关联整个环境中的安全警报。此功能可以更全面地了解潜在威胁，并促进更快、更有效的响应。但是，需要注意的是，如果您所在公司的风险承受能力不允许共享访问，则可以通过在IT和OT安全团队之间实施明确定义的流程和互锁来实现类似的结果。这些措施可以实现有效的信息共享和协调，而无需共享SIEM平台，从而确保安全性的同时与企业的风险管理策略保持一致。

最后，企业的风险承受能力和OT基础设施的具体需求也是决定是否建设专用SOC的决定性因素。