强化OT安全！英国发布工控网络事件响应实践指南

这份指南由可信互联网络-物理系统研究所（RITICS）发布，概述了公司为避免嵌入式技术受到攻击应采取的建议和最佳实践。RITICS由伦敦帝国理工学院主办，受到英国国家网络安全中心（NCSC）等机构联合发起和赞助。

该指南名为《OT/ICS网络事件响应计划应考虑的因素》，主要从准备、检测、分类、采取响应行动、跟踪和报告、利益相关者参与、吸取教训七个方面展开介绍。

该安全机构指出，OT/ICS网络的运行方式与传统的IT网络存在诸多关键差异。尽管保护数据的机密性是IT网络的主要目标，但OT安全更侧重于维护设备的可用性和完整性，而非数据访问。

RITICS解释道：“网络事件响应计划应兼顾IT和ICS/OT系统的需求，同时必须考虑ICS/OT环境与IT网络的关键区别。”

为解决这一问题，该组织建议管理员针对OT网络及事件响应方式采取不同的方法。

这家安全组织解释道：“ICS/OT系统和网络通常对可用性和完整性的要求较高，因此事件响应程序在取证时需要考虑如何与系统进行互动。”

“这些考虑因素应记录在具体的ICS/OT响应计划中。响应计划可能需要与ICS/OT运营商在管理范围内使用的不同系统进行适配，例如不同的地点、工业过程或系统功能。”

RITICS表示，大多数公司迟早会遇到攻击。如果发生攻击，减少损害的关键是正确识别和隔离攻击源。

该组织指出：“运营、工程和维护团队最了解您的系统及其行为。”

“培训这些团队报告可疑行为，并塑造鼓励报告可疑行为的文化，是一项必要的长期组织活动。这些举措能够增加事件检测覆盖率，同时也有助于提高那些非全职从事网络安全工作的人员的网络安全意识。”

RITICS表示，OT和ICS的安全最终依赖于正确实施安全保护措施、分析从事件中收集的数据，而不仅仅是了解一个组织已采取的安全保护措施。

RITICS表示：“无论ICS/OT运营商在威胁检测技术部署、服务或内部能力方面做出什么选择，他们都应清楚了解当前环境中的日志记录和监控覆盖情况。”

“对于了解日志记录和监控覆盖的潜在差距和改进方法来说，这会起到非常关键的作用。更重要的是，它为事件响应团队（无论其组成如何）提供了一个清晰的画面，说明应该从哪里、通过何种方法收集日志，以便于进行分析。”

参考资料：scmagazine.com