爲(wéi / wèi)何零信任訪問對于(yú)确保OT安全至關重要(yào / yāo)  

       運營技術 (OT) 網絡正日益成爲(wéi / wèi)網絡不(bù)法分子(zǐ)的(de)主要(yào / yāo)攻擊目标，他(tā)們正在(zài)設計越來(lái)越複雜的(de)攻擊方法，以(yǐ)實施破壞攻擊并利用OT漏洞牟利。事實上(shàng)，Fortinet在(zài)其《2020 年運營技術網絡安全現狀報告》中指出(chū)，90%的(de)受訪OT領導者确認去年至少遭到(dào)一(yī / yì ／yí)次入侵。72%的(de)受訪者曾遭遇過三次及以(yǐ)上(shàng)入侵。許多OT基礎設施難以(yǐ)适應減少對隔離網閘作爲(wéi / wèi)主要(yào / yāo)防禦機制的(de)依賴，因此網絡安全對其而(ér)言仍然是(shì)一(yī / yì ／yí)項挑戰。這(zhè)種安全轉變迫使人(rén)們将零信任的(de)概念視爲(wéi / wèi)必不(bù)可少的(de)最佳網絡安全策略。

       零信任訪問 (ZTA) 的(de)前提是(shì)，在(zài)沒有首先對所有尋求訪問的(de)用戶與設備進行識别和(hé / huò)分類的(de)情況下，信任網絡内外的(de)任何請求均存在(zài)安全隐患。ZTA的(de)目标是(shì)消除所有威脅，無論其來(lái)自網絡外部還是(shì)内部。這(zhè)一(yī / yì ／yí)策略的(de)采用對于(yú)保護OT系統至關重要(yào / yāo)，這(zhè)些系統通常必須詢問網絡用戶和(hé / huò)不(bù)斷快速增長的(de)工業物聯網 (IIoT) 設備。

 OT系統網絡安全的(de)重要(yào / yāo)性

       OT系統通常與由網絡物理資産組成的(de)領域有關，例如制造業、能源和(hé / huò)公用事業、交通運輸及樓宇自動化。過去，人(rén)們不(bù)認爲(wéi / wèi)OT系統需要(yào / yāo)高級網絡安全，因爲(wéi / wèi)它們通常通過隔離網閘進行隔離。IT/OT融合和(hé / huò)數字連接的(de)出(chū)現彰顯了(le／liǎo)确保安全和(hé / huò)持續運營的(de)重要(yào / yāo)性。
       爲(wéi / wèi)了(le／liǎo)應對OT和(hé / huò)IT網絡融合帶來(lái)的(de)安全挑戰，通常需要(yào / yāo)部署一(yī / yì ／yí)系列單點解決方案。這(zhè)種方法無法持續實現真正的(de)可視性和(hé / huò)威脅規避，因爲(wéi / wèi)缺乏溝通和(hé / huò)解決方案連續性會導緻響應延遲。在(zài)解決并消除可能導緻關鍵服務中斷的(de)漏洞方面，快速識别和(hé / huò)響應以(yǐ)消除OT安全威脅至關重要(yào / yāo)。
啓動OT系統的(de)ZTA流程

       采用零信任訪問的(de)第一(yī / yì ／yí)步是(shì)适當進行安全投資，實施“從不(bù)信任，始終驗證”的(de)一(yī / yì ／yí)緻策略實踐。這(zhè)意味着需要(yào / yāo)保護每個(gè)有線和(hé / huò)無線網絡節點，以(yǐ)确保所有用戶、應用及端點設備均經過驗證。可以(yǐ)說(shuō)，盡管環境很複雜，但采用一(yī / yì ／yí)緻的(de)安全實踐能夠爲(wéi / wèi)所有OT系統提供有效保護，無論是(shì)能源和(hé / huò)公用事業、制造業還是(shì)交通運輸。例如，通過僅提供所需最低訪問權限，跨内外部網絡通信實行最低權限原則。 

       OT系統所有者可在(zài)多個(gè)網絡點集成内部分段防火牆，從而(ér)保護企業免遭一(yī / yì ／yí)系列攻擊向量威脅。通過這(zhè)種方式，所有者不(bù)僅可以(yǐ)實現網絡可視性，而(ér)且還有助于(yú)實行最低權限原則。實施遏制策略可防止目标環境中的(de)垂直或水平移動。

對下一(yī / yì ／yí)代防火牆的(de)需求

       基本上(shàng)，IT/OT融合企業可以(yǐ)基于(yú)ZTA策略進行構建，集成将内部分段配置與智能交換相結合的(de)下一(yī / yì ／yí)代防火牆 (NGFW) 技術。如果NGFW配有安全、可擴展的(de)以(yǐ)太網交換機，微分段和(hé / huò)策略執行将禁止任何未經預先批準的(de)東西向或南北向網絡移動。這(zhè)有助于(yú)确保更精細的(de)網絡安全防護，同時(shí)可增強攻擊抵禦能力。 

多因素身份驗證的(de)必要(yào / yāo)性

       多因素身份驗證 (MFA) 是(shì)OT領導者實施基于(yú)角色的(de)訪問所需采取的(de)另一(yī / yì ／yí)個(gè)重要(yào / yāo)網絡安全實踐。有了(le／liǎo)MFA，隻有在(zài)向身份驗證機制成功提供兩個(gè)或多個(gè)證據或因素後，才可獲得訪問權限。這(zhè)些因素可能包括：

• 财産：隻有用戶擁有的(de)财物，例如工卡或智能手機 

• 唯一(yī / yì ／yí)标識符：指紋、語音識别或其他(tā)用戶特有的(de)遺傳特性

• 所知信息：隻有用戶知道(dào)的(de)信息，例如密碼或PIN

由于(yú)需要(yào / yāo)提供上(shàng)述多個(gè)證據，因此MFA加大(dà)了(le／liǎo)盜竊和(hé / huò)僞裝的(de)難度。

完美不(bù)是(shì)目标

       爲(wéi / wèi)應對數字化轉型和(hé / huò)IT/OT融合風險而(ér)适當進行的(de)網絡安全投資很難實現完美的(de)網絡安全保護。關鍵在(zài)于(yú)加強對最重要(yào / yāo)資産的(de)保護。通常，保持安全和(hé / huò)持續運營是(shì)重中之(zhī)重，同時(shí)還要(yào / yāo)使對知識産權的(de)訪問嘗試轉向。對于(yú)OT而(ér)言，速度、規模和(hé / huò)解決方案使用壽命均爲(wéi / wèi)高價值解決方案屬性。盡管意圖很好，但重要(yào / yāo)的(de)是(shì)要(yào / yāo)認識到(dào)，有些網絡安全攻擊超出(chū)了(le／liǎo)ZTA策略檢測範圍。例如，分布式拒絕服務 (DDoS) 攻擊就(jiù)不(bù)會被快速檢測。同樣，由于(yú)開銷和(hé / huò)延遲特性，對加密有效負載（例如 ）的(de)檢查也(yě)并不(bù)實用。
       最後一(yī / yì ／yí)個(gè)值得關注的(de)OT業務相關問題是(shì)，因網絡安全最佳實踐而(ér)引入延遲是(shì)不(bù)成立。因此，需要(yào / yāo)考慮您的(de)OT安全策略要(yào / yāo)素如何作爲(wéi / wèi)一(yī / yì ／yí)個(gè)統一(yī / yì ／yí)生态系統運行。通過内部行爲(wéi / wèi)分析增強生态系統可确保更有效的(de)态勢感知并實現更主動的(de)安全防護。最重要(yào / yāo)的(de)是(shì)實現持續的(de)信任評估和(hé / huò)投資回報，該回報依照安全、可信、持續運營按比例評估和(hé / huò)衡量。