帮助OT组织建立可防御的架构和更具韧性的运营

通过JCDC制定，CISA的《OT网络安全基础：面向所有者和运营商的资产清单指南》是网络防御行动的战略推动者

发布日期：2024年9月24日

作者：Clayton Romans，联合网络防御协作组织副主任

在当今日益互联的工业环境中，运营技术系统不再是自动化的孤立孤岛——它们与信息技术和业务网络深度融合，使其成为网络威胁的主要目标。认识到这种日益增长的风险，美国网络安全和基础设施安全局与三个美国联邦机构和五个国际合作伙伴合作，并获得了十二个私营部门利益相关者的贡献，共同制定并发布了《OT网络安全基础：面向所有者和运营商的资产清单指南》。这一关键资源通过构建清晰、分类的资产清单，帮助OT系统的所有者和运营商创建更强大、更安全的基础设施。通过有效识别、组织和管理OT资产，组织不仅可以提高网络安全，还能增强运营的可靠性、安全性和韧性。

由运营商为运营商创建 通过联合网络防御协作组织，CISA与关键基础设施所有者、运营商和其他利益相关者密切合作，以识别不断演变的网络威胁形势下的系统性差距和关键需求，并携手共同制定有效且有影响力的解决方案。这份指南反映了每日管理OT环境的专业技术人员的技术见解和实际经验，既包含运营现实，也体现了战略远见。

在八次集中的工作会议中，行业贡献者在塑造内容方面发挥了核心作用，提供了既实用又经过现场检验的见解。除了这些会议，CISA还协调了来自多个部门的行业、联邦和国际利益相关者的技术审查，以确保指南的相关性和适用性。其成果是一个强大的框架，用于构建可操作且具有韧性的基础资产清单和分类体系。

什么是OT资产清单？ OT资产清单是一个动态列表，包含构成关键环境运营骨干的设备、系统和软件的更新地图。从工业控制系统到传感器、人机界面、服务器和专用应用程序，每个组件都在更广泛的生态系统中扮演着角色。如果对这些资产没有可见性，组织实际上是在没有全面了解其潜在漏洞的情况下运营。

当有效实施时，资产清单不仅仅是一份记录；它是一种战略工具。 它帮助组织发现其环境中的相互依赖性，评估风险，通过网络分段限制或消除横向移动，并增强整体韧性。全国范围内的运营商都有可能实现这种级别的控制，但这需要对自身环境进行严格、一致的管理。本指南帮助组织建立并保持适当的严格性和一致性。

为什么现在这一点如此重要？ 近年来，针对OT环境的网络事件已经表明，缺乏资产可见性可能造成多大的损害。攻击者常常利用被遗忘的设备、过时的固件或分段薄弱的网络来建立初始访问，然后在互连的系统间横向移动，危害关键资产并扰乱核心运营。

准确且定期维护的资产清单通过确保每个组件都已知、分类、分配关键性并根据其风险状况受到保护，从而弥补了这些差距。虽然每个运营商都应努力收集其环境中的每一个资产，但首先应根据关键性对资产进行优先级排序，并持续完善清单，直至记录完整。

此外，OT资产清单是与行业标准保持一致的基础。无论是NIST、IEC 62443（外部链接）还是特定行业的框架，大多数网络安全最佳实践都始于“了解你有什么”。没有这第一步，从漏洞管理到事件响应的一切工作都会因缺乏必要的可见性和结构而无法有效进行。

从清单到行动 OT资产清单的真正价值在于它融入日常运营时得以体现。借助资产清单，运营商可以：

• 根据关键性和暴露情况对漏洞进行优先级排序。
• 在未经授权的设备成为攻击媒介之前检测到它们。
• 通过映射通信流来支持网络分段工作。
• 使事件响应团队能够快速、准确地采取行动。

朝着愿景迈进 拥有完整准确的OT资产清单是构建可防御架构和更具韧性运营的关键第一步。CISA的指南使这一复杂过程变得清晰且可实现，赋能组织采取果断行动。

这份指南不仅仅是一本技术手册，它还是网络防御行动以及与CISA和其他关键利益相关者进行运营协作的战略推动者。通过精确了解运营商基础设施内的资产，添加到CISA已知被利用漏洞目录或利益相关者通知和威胁公告中的通用漏洞与暴露变得更加可操作和及时——帮助运营商在事件升级之前主动降低风险。

为了支持这项工作，CISA提供工具和资源，包括用于网络流量分析的MALCOLM、免费的网络安全卫生漏洞扫描、网络安全评估工具以及跨机构支持，以帮助验证和管理资产数据。此外，CISA通过区域保护安全顾问、网络安全顾问、应急通信协调员和化学安全督察员提供支持。请访问CISA区域网页联系离您最近的此类人员支持。

下一步是什么？ 请参加我们于美国东部时间9月30日下午2:00-3:00举行的网络研讨会，我们将详细介绍这份新指南，并分享为各关键基础设施部门的所有规模运营商开发资产清单的实用步骤，其中的见解对中小型组织尤其有价值。本次活动向公众开放，无需提前注册。请与您网络中可能感兴趣的任何利益相关者分享此活动！

请访问CISA.gov/ics，从头开始加强您的OT网络安全策略。