托管安全服务在ICS/OT环境下行得通吗？

Gartner在《托管服务市场指南》中提到，缺乏安全技术实现、配置和操作领域的人员或专业知识是托管安全服务（MSS）买方组织中主要的驱动因素之一。MSS的存在将组织单位与能够解读运营化安全信息并提供建议或应对措施的技术人员联系起来。通过托管服务将安全能力嫁接到他们自己的组织中，并以相对较少的投资快速提高其安全成熟度。与此同时，大多数的组织单位由于业务环境单一，安全人才缺乏相关领域的经验交流容易流失，而MSS也能够提供更广泛的安全问题和事件的处置经验赋能组织。经过多年市场的检验和打磨，MSS已成为海外最受推崇的安全防护策略之一，国内也有安全大厂成为MSS市场的领跑者。相比IT安全，OT网络安全的发展明显要落后许多。MSS模式在ICS/OT下是否能够得到认可呢？

在ICS和OT环境中，随着近年来网络安全事件的数量和复杂性的增加，加上能够应对在IC和OT环境中工作的挑战的训练有素的网络安全专业人员严重短缺，导致工业企业所有者和运营商经常转向托管安全服务。对于工业组织而言，持续监控其网络以减少网络或运营威胁造成的停机风险至关重要。托管安全服务致力于更好地控制组织的运营技术(OT)元素，并将它们集成到组织的网络安全架构中，这样有凝聚力的方法才能更好地抵御和保护组织基础设施免受敌手的威胁和攻击。

霍尼韦尔高级网络安全策略师Donovan Tindill近日向工业网络安全媒体Industrial Cyber表示，对ICS/OT系统运营者提供MSS的优势显而易见。

好处之一，节约人力成本；为OT环境提供的托管安全服务提供分布式控制系统(DCS)和过程控制网络(PCN)的外包安全监控和管理，还包括管理入侵检测、防火墙和虚拟专用网络 (VPN)、防病毒配置和漏洞测试。MSS 解决方案还可以为企业提供24/7 全天候监控服务，从而显着减少雇用和培训大量安全人员的需要。Tindill进一步指出，毫无疑问，寻找和留住合适的网络安全团队很困难，因为每个人都有不同的技能组合。由于OT网络安全非常专业，公司必须自己培训或竞争以吸引其他组织的少数可用专业人员。

好处之二，增强OT的安全运营能力；Tindill发现通过正确的MSS 解决方案，工厂运营者可以增强其IT安全运营中心的基础设施。托管服务提供商只是接管整个网络安全计划的OT相关方面。这种方法补充了公司当前的IT-OT安全资源，并帮助客户扩展现有安全资产的价值。Tindill 还提请注意这样一个事实，即托管安全服务提供商可以将其从先前事件或威胁情报中掌握到的一切应用到其他客户端。“当安全运营中心 (SOC) 资源识别出可疑行为或危害指标时，他们可以帮助客户考虑潜在的补救措施并将缓解措施传递给所有参与者。MSS 提供商具有独特的优势，即在所有单个工业运营商保持匿名的情况下利用多个客户的威胁情报。

好处之三，节省自行建设OT安全设施的成本；凭借霍尼韦尔为其全球客户提供托管安全服务的经验，Tindill表示，“自行构建”的成本可能需要一到三年的时间才能从零功能到高效。以三个大型站点为例，在五年期间内，“构建自己的”早期检测和事件响应能力可能会花费超过300万美元。相比之下，通过与MSSP合作，成本估算可以达到自己构建成本的五分之一或更少，并且可以在三到十二个月的时间段内更快地启动和运行。实际成本可能会因特定业务的事实和情况而异。

Tindill也表示了对MSS的挑战，MSS供应商可以成为增强安全运营的有效工具，但它们并不是针对网络攻击的保险单。通过将托管安全服务外包给第三方，运营者就可以依靠该第三方来帮助及早识别威胁。这是一项需要共同支持的共同努力。现实情况是，对于所有工业公司来说，不是他们是否会受到攻击，而是何时以及快速有效地检测和响应的能力会影响其严重程度。

挑战在于资产所有者是否已投资于安全控制，以帮助防范和降低受攻击的可能性，并及时做出响应以帮助降低影响的严重程度。MSSP通过帮助资产所有者在事件发生前主动识别可疑或恶意行为并协助所有者及时响应事件并与客户的协调一致协调事件响应工作，在协助资产所有者降低所有者风险方面非常重要。

网络安全专家、爱达荷州立大学客座教授Larry Leibrock对OT环境下的MSS表示了谨慎的乐观。信息技术和运营技术的复杂盈利组织提供托管网络安全服务的可用性仍然充满不确定性，效率问题是相当成问题的。

挑战之一，IT与OT之间的鸿沟或差异；外包管理网络安全服务似乎是一个有吸引力的价值主张，但存在不少问题，因为许多公司对信息系统和用于管理网络物理系统的复杂操作技术的总拥有成本的理解非常不完整。再有，信息技术专家和那些管理车间运营技术的专家之间的互动交流效果非常差。

挑战之二，经济成本的考量是不完整的；Leibrock表示，会计师似乎忽略了所有信息技术（包括企业级生产系统接口）的所有权总价值。在许多情况下，成本比较只是似是而非，不能经得起严格的循证分析。许多组织只关注采购成本，而没有考虑采购、部署、运营、维护和最终淘汰系统的整个生命周期成本。尽管运营成本很高，但遗留系统常常被忽略而不被替换。

挑战之三，发生安全事件时MSSP的责任如何界定；鉴于托管安全服务提供商所扮演的角色，重要的是要确定发生违规时 MSS 提供商的责任有多大，以及责任如何分配。Leibrock说，遇到这种情况后，其经历处理灾难性漏洞的两次经验中，网络安全服务公司试图不承担责任，并指出供应商问题或与东道公司人员相关的问题。许多案件导致了法律纠纷和网络安全合同的取消。Leibrock 表示，重要的是要了解这些网络安全服务供应商是规避风险的。风险溢价通常不包含在合同中，网络安全公司将寻求避免任何直接或或间接责任。根据他的经验，在这些情况下唯一的赢家是被带进来处理法律纠纷和避免任何公开审判的律师（包括外部律师）。不幸的是，这是美国法律体系中活生生事实。实际上，这些事情的唯一赢家是昂贵的法律顾问。

鉴于这些现实情况，需要基于定性和定量工具进行严格的问题框架和深思熟虑的风险分析，以真正更好地构建可行选项。Leibrock 说，很多时候，许多公司试图避免这个问题，并认为他们可以将网络安全外包，以限制其信息系统的相关风险，无论是OT还是IT。使用任何托管网络安全服务之前进行风险分析是非常必要的。

参考资源

1、https://industrialcyber.co/control-device-security/ot-ics-environments-call-for-calculated-handling-of-access-management-and-controls/

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。