帮助运营技术组织建立可防御架构并提升运营弹性 | CISA

在当今日益互联的工业环境中，运营技术系统不再是孤立的自动化孤岛，它们与信息技术和业务网络深度交织，成为网络威胁的主要目标。认识到这一日益增长的风险，美国网络安全和基础设施安全局与三个美国联邦机构和五个国际合作伙伴合作，并收到了十二个私营部门利益相关方的贡献，共同制定并发布了《OT网络安全基础：所有者与运营商资产清单指南》。这份关键资源通过帮助OT系统的所有者和运营商建立清晰、完整的资产清单和分类，来创建更强大、更安全的基础设施。通过有效识别、组织和管理OT资产，组织不仅可以改善网络安全，还能提升运营可靠性、安全性和弹性。

由运营商，为运营商创建

通过联合网络防御协作组织，CISA与关键基础设施的所有者、运营商及其他利益相关者紧密合作，识别不断演变的网络威胁格局中的系统性差距和关键需求，并携手共同制定有效且具有影响力的解决方案。本指南反映了日常管理OT环境的专业技术人员的技术洞察和实际经验，既包含了运营现实，也体现了战略远见。

在八次重点工作会议中，行业贡献者在塑造内容方面发挥了核心作用，提供了既实用又经过实地检验的见解。除了这些会议，CISA还协调了来自多个行业的行业、联邦和国际利益相关者的技术审查，以确保指南的相关性和适用性。其成果是建立了一个强大的框架，用于构建可操作且具有弹性的基础资产清单和分类法。

什么是OT资产清单？

OT资产清单是一个动态列表，包含构成关键环境运营骨干的设备、系统和软件的更新地图。从工业控制系统到传感器、人机界面、服务器和专用应用程序，每个组件都在更广泛的生态系统中扮演着角色。如果对这些资产缺乏可视性，组织实际上是在未能全面了解其潜在漏洞的情况下运行。

当有效实施时，资产清单不仅是一个记录，更是一个战略工具。它帮助组织发现其环境中的相互依赖关系，评估风险，对网络进行分段以限制或消除横向移动，并增强整体弹性。实现这种级别的控制对于全国范围内的运营商来说是可能的，但这需要对自身环境采取严谨、一致的管理方法。本指南帮助组织建立并保持适当的严谨性和一致性。

为何此事当前如此重要？

近年来，针对OT环境的网络事件已经证明，缺乏资产可视性可能造成多么严重的损害。攻击者常常利用被遗忘的设备、过时的固件或分段薄弱的网络来建立初始访问，然后横向移动到互联系统中，破坏关键资产并扰乱核心运营。

一份准确且定期维护的资产清单可以填补这些空白，确保每个组件都为人所知、经过分类、分配关键性等级，并根据其风险状况受到保护。虽然每个运营商都应努力收集其环境中的每一项资产，但建议先从基于关键性确定优先级开始，并持续完善清单，直到捕获完整的记录。

此外，OT资产清单是符合行业标准的基础。无论是美国国家标准与技术研究院、IEC 62443还是特定行业框架，大多数网络安全最佳实践都始于“了解你拥有什么”。没有这个初始步骤，从漏洞管理到事件响应等其他一切工作都将缺乏有效的必要可视性和结构。

从清单到行动

OT资产清单的真正价值在于将其整合到日常运营中。借助资产清单，运营商可以：

• 根据关键性和暴露程度对漏洞进行优先级排序。
• 在未经授权的设备成为攻击载体之前检测到它们。
• 通过映射通信流来支持网络分段工作。
• 使事件响应团队能够快速准确地采取行动。

迈向愿景

拥有完整准确的OT资产清单是构建可防御架构和更具弹性运营的关键第一步。CISA的指南使这一复杂过程变得清晰且可实现，赋予组织采取果断行动的能力。

这份指南不仅仅是一本技术手册，它更是一个战略推动器，有助于推动网络防御行动以及与CISA和其他关键利益相关者的运营协作。当运营商对其基础设施内的资产有了精确了解时，添加到CISA“已知被利用漏洞目录”或利益相关者通知和威胁咨询中的常见漏洞与暴露就变得更加可操作和及时——帮助运营商在事件升级之前主动降低风险。

为了支持这项工作，CISA提供了工具和资源，包括用于网络流量分析的MALCOLM、免费的“网络卫生”漏洞扫描、网络安全评估工具以及跨机构支持，以帮助验证和管理资产数据。此外，CISA还通过区域保护性安全顾问、网络安全顾问、应急通信协调员和化学安全检查员提供支持。

下一步是什么？

请加入我们于美国东部时间9月30日下午2:00-3:00举行的网络研讨会，我们将详细介绍这份新指南，并分享为各关键基础设施部门、各种规模的运营商（特别是对中小型组织具有宝贵价值）开发资产清单的实用步骤。该活动向公众开放，无需预先注册。请与您网络中可能感兴趣的任何利益相关者分享此活动！