2025年大学OT网络安全课程必备的十大核心要素

本文深入探讨了工业运营技术网络安全教育的十大关键要素,包括基础计算机科学知识、工业流程理解、普渡模型、实际环境体验、工业协议分析等核心内容,为培养合格的OT安全人才提供详细课程建议。

大学OT网络安全课程必备的十大核心要素(2025版)

大多数关注我一段时间的读者都知道,我在网络安全领域从事着一份非常特殊的工作。我是全球可能仅有的百名左右全职从事工业设备和网络被黑事件响应和取证的人员之一。这些系统包括发电厂、火车、飞机、采矿设备、农业设备等等。在网络安全领域,我们将这些工业控制环境称为"运营技术"或"OT"系统。

我热爱我的工作。我之前在几篇博客中写过相关内容,比如《所以你想学习ICS安全…》、《我的日常生活是怎样的(在OT数字取证和事件响应中)?》,以及我在这里分享的许多文章和播客。我对我每天所做的工作没有任何道德顾虑。如果工业系统以意外方式故障,会对无辜的人们造成真实的生命、安全和环境影响。这是"网络"空间中最真实的现实。这项工作无比迷人,让我接触到整个世界的内在运作机制。

而招聘人员却异常、可怕地困难。

在我整个职业生涯中见过的最糟糕的市场环境下,我们仍然难以找到有兴趣并有能力学习保护这些系统的新人。有几个关键原因:

  • 这是一个相对较新的工作领域,正在快速增长。因此没有太多现有的书籍或工作可供参考,许多资深从业者自己也不熟悉这个领域。
  • 关于OT网络安全是什么和不是什么存在大量误解,许多IT公司试图错误地宣传它们是可互换的以促进销售。由于生命、安全、流程和不同设备的考虑,它们是非常不同的。
  • OT网络通常依赖老旧的传统设备,不涉及像人工智能、区块链和量子计算这样在大学和黑客聚会上热门的话题。它不性感,学校也不把它宣传为很酷。
  • 网络安全课程通常只培养两个细分的网络安全角色:安全分析师和渗透测试。许多其他重要角色没有详细涵盖,甚至没有作为选项向学生介绍。因此,这两个入门市场已经饱和,而其他领域仍有职位空缺。
  • 保护OT需要对"系统之系统"和工业流程环境有大量独特的接触,这些通常不为计算机科学教授和课程开发人员所熟悉。这不是建立一个更好的实验室来攻击一两个PLC的问题。
  • 处理各种非标准、传统和低级设备需要扎实的计算机科学和网络工程基础知识。这些基础知识许多在高中没有教授。它们在网络安全学位课程和技术培训中也经常缺失。我可以教一个有良好基础和批判性思维的年轻人使用任何工具,但我无法教一个只学过工具的年轻人多年的基础和批判性思维。

结果是,我们这些职位的申请人较少,而且非常非常少的人是我们觉得即使有专门渠道和对下一代大量投资也能培训的。这不是守门的问题。我们真的希望看到年轻人也学习并热爱OT网络安全。这对保持社会安全至关重要。这些问题只会越来越严重,我们的案件量不断增加。

为了解决这个问题,我尝试与大学和职业学校接触,以改变教学内容,并引起更多人对OT安全问题的关注。作为其中的一部分,我决定维护一个列表,列出我希望在OT相关网络安全课程中涵盖的十大要点。以下是列表:

1. 不要跳过基础知识

如今的年轻人比千禧一代和X世代更少早期接触计算机的内部工作原理。他们成长的设备更直观,是"坏了就换"。不要假设学生理解基本的文件结构或网络寻址。每个网络安全项目(从副学士到硕士)都应要求涵盖操作系统、网络到数据包级别、脚本编写、命令行和硬件的必要计算机科学课程。通过这些课程并具备足够的测试知识应该是继续学习的硬性要求。基础持久,工具在学位完成前就过时了。

2. 从高层次工程角度理解流程循环和"系统之系统"

流程循环的组成部分是什么?它们如何故障?它们如何相互依赖?什么是传感器,它做什么?存在哪些类型的工业控制设备(模拟和数字)?哪些类型的物理、电子、人类和数字安全控制可以防止灾难?在网络安全背景之外,工业流程如何故障,有哪些最糟糕的例子?

3. 介绍普渡模型

学生应该了解每个运营级别的功能以及每个级别的典型系统、协议和设备。

4. 真实流程环境的参观或工作影子机会

如果可能,学生应该参观(或获得工作影子机会)真实的流程环境。这个机会让学生了解设施中存在哪些角色。他们可以看到日常工作的样子。它显示了操作员和工程师的优先事项是什么。此外,它强调了对安全性和正常运行时间的关注。这是一个强大的教学工具,也是学生难得的机会。至少,邀请流程工程师客座演讲。

5. 介绍一些常见和有文档的工业协议

学生应该能够使用像Wireshark这样的数据包分析工具理解它们的功能。关注工业设备之间的父子关系以及功能代码如何工作。还要讨论传统串行协议的封装。最后,确保学生具备处理不熟悉或修改版本协议的能力,这些协议没有预制的Wireshark解析器。

6. 超越Stuxnet的案例研究

Stuxnet是一个很好的案例研究,可以谈论在气隙环境中发起非常可靠和特定攻击的阴谋和复杂性,但它完全不能代表更近期和常见的工业网络事件。在课程中包含它没问题,但要更详细地涵盖像2015年乌克兰攻击、TRISIS和FrostyGoop这样的案例。今天大多数成功的攻击不涉及多个国家投入数年的恶意软件研发。今天大多数环境并非真正气隙。勒索软件对控制和可见性有影响。攻击者会采取最小阻力的路径来实现他们的目标,这通常需要更多的系统知识而不是花哨的黑客技术。

7. 关注过程影响而非单个设备

少关注像PLC这样的单个设备的黑客攻击,多关注攻击者如何有意或意外地影响充满安全控制和冗余的真实流程。唯一真正重要的是流程后果。PLC是简单的计算机,许多在生产中的PLC非常老旧且非常脆弱。它们不是保护流程的东西。

8. 梯形图逻辑基础和工程工作站工具

学生应该理解梯形图逻辑的基础知识。他们还应该接触一些工程工作站工具。这些知识对于理解工业设备如何配置(和操纵)是必要的。

9. 网络安全人员不应造成比恶意软件或对手更严重的后果

确保关注网络安全人员不要造成比恶意软件或对手更严重的后果。在OT中,每个角色和任务都必须牢记这一点。这需要大量的适应性和创造力。系统只能在罕见和有限的时间窗口内停机。未经批准或审查不当的系统修改可能产生生命或安全后果。

10. 传统、传统、传统

今天开发的基于Windows 11的工业系统几年内不会广泛普及。它们将在我和我的同行退休后很长时间内保持生产状态。学生应该预期会看到大量不支持现代防病毒或EDR的Windows XP SP0 Embedded,并准备好并习惯处理这种情况而不进行升级。这意味着不同的取证工具、不同的监控策略,甚至不同的资产清单。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次