IT/OT SOC: Forenet Sikkerhed for Organisationen

08/08/2019

★★★★★Rating: 4.85 (13570 votes)

I enhver moderne organisation findes der et digitalt nervesystem, der konstant overvåger for trusler og uregelmæssigheder. Dette center, kendt som et Security Operations Center (SOC), fungerer som organisationens vagthund og læge i ét, hvor analytikere arbejder døgnet rundt for at diagnosticere og afværge digitale sygdomme. Traditionelt har dette nervesystem dog været delt i to separate enheder: én for informationsteknologi (IT), som håndterer data og kontornetværk, og én for operationel teknologi (OT), som styrer fysiske processer og produktionsudstyr. Men i en stadig mere forbundet verden er denne opdeling blevet en sårbarhed. At slå disse to verdener sammen til et konvergeret IT/OT SOC er ikke længere blot en mulighed, men en nødvendighed for at sikre en organisations fulde helbred og modstandskraft.

Are it and operational-technology implementations convergent? — Historically, IT and operational-technology (OT) implementations have catered to different problems and therefore evolved into significantly different architectures and protocols. Not surprisingly, there are now significant structural and cultural obstacles to convergence.

Indholdsfortegnelse

Hvad er et Konvergeret IT/OT SOC?
Fordelene ved en Forenet Tilgang til Systemsundhed
Kulturelle Udfordringer: Når To Verdener Mødes
- Sammenligning af IT- og OT-sikkerhedsmentalitet
Strategier for en Vellykket Integration
- Gå en tur på produktionsgulvet
- Reducer den unødvendige støj
Fremtiden er Integreret
Ofte Stillede Spørgsmål (OSS)

Hvad er et Konvergeret IT/OT SOC?

For at forstå vigtigheden af et konvergeret SOC, må vi først forstå de to domæner, det forener. Tænk på IT som virksomhedens hjerne og administrative system, der håndterer e-mails, databaser og finansielle systemer. OT er derimod virksomhedens krop og muskler – de maskiner på fabriksgulvet, de ventiler på et rensningsanlæg, eller det udstyr, der holder strømnettet kørende. Historisk set har disse to områder levet adskilte liv med forskellige sprog, protokoller og prioriteter.

Et traditionelt SOC har udelukkende fokuseret på IT-verdenen. Men eftersom flere og flere OT-enheder bliver koblet til netværket som en del af den industrielle digitalisering (IIoT), er grænsen mellem de to verdener blevet udvisket. Et angreb, der starter i IT-systemet, kan nu potentielt sprede sig til OT-systemet og forårsage fysisk skade, produktionsstop eller endda sikkerhedsrisici for medarbejdere. Et konvergeret IT/OT SOC er en centraliseret enhed, hvor sikkerhedseksperter med viden om begge domæner arbejder sammen for at få et komplet overblik over hele organisationens digitale og fysiske infrastruktur. De overvåger, analyserer og reagerer på trusler på tværs af hele virksomheden, fra serverrummet til fabriksgulvet.

Fordelene ved en Forenet Tilgang til Systemsundhed

At integrere IT og OT under ét sikkerhedstag giver en række markante fordele, der kan sammenlignes med at have et lægehold, hvor alle specialister samarbejder om den samme patient.

Stærkere Sikkerhed: Ved at kombinere ekspertise og ressourcer fra både IT og OT opnås en holistisk tilgang til sikkerhed. Man får et fuldt billede af trusselslandskabet og kan identificere angrebsvektorer, der krydser grænsen mellem de to miljøer. Dette skaber et stærkere samlet immunforsvar for organisationen.
Øget Effektivitet: Et konvergeret SOC strømliner processen for opdagelse og respons. I stedet for at skulle overlevere en sag fra et IT-team til et OT-team, hvilket kan medføre forsinkelser og misforståelser, kan et samlet team handle hurtigt og koordineret. Tiden fra diagnose til behandling reduceres markant.
Forbedret Synlighed: Et fælles SOC giver et samlet overblik over trusler og sårbarheder i hele organisationen. Denne komplette situationsfornemmelse er afgørende for at kunne beskytte både forretningssiden og den industrielle side af virksomheden effektivt. Man ser hele patientens helbredsbillede, ikke kun isolerede symptomer.
Bedre Samarbejde: Ved at bringe IT- og OT-eksperter sammen i én enhed fremmes samarbejde og kommunikation. Dette nedbryder de kulturelle og tekniske siloer, der ofte eksisterer, og skaber en fælles forståelse og et fælles mål: at beskytte hele organisationen.

Kulturelle Udfordringer: Når To Verdener Mødes

At skabe et konvergeret SOC er dog mere end blot at placere IT- og OT-folk i samme rum. Det er en kulturel udfordring. IT-sikkerhedsanalytikere er ofte trænet i en verden, hvor den primære reaktion på en trussel er at blokere den øjeblikkeligt. Deres mantra er fortrolighed, integritet og tilgængelighed – ofte i den rækkefølge. Hvis en server er kompromitteret, tages den offline for at blive undersøgt.

I OT-verdenen er prioriteterne vendt på hovedet. Her er det vigtigste driftssikkerhed og fysisk sikkerhed. Man kan ikke bare "slukke" for en turbine, en produktionslinje eller en kritisk pumpe, fordi man ser en unormal netværksaktivitet. At fjerne et enkelt led i en OT-proces kan bryde hele kæden og have katastrofale konsekvenser. OT-ingeniører tænker i form af kompenserende kontroller og planlægger ud fra "den værste dag på jobbet" – hvad er det mest katastrofale, der kan ske fysisk? Denne tankegang er fremmed for mange traditionelle IT-analytikere.

What is a converged it/OT SoC? — Increased efficiency: A converged IT/OT SOC can streamline the detection and response process by eliminating the need to transfer incidents between IT and OT teams and reducing the time it takes to resolve issues.

Sammenligning af IT- og OT-sikkerhedsmentalitet

Karakteristik	Traditionel IT-sikkerhed	OT-sikkerhed
Primært Fokus	Datafortrolighed og -integritet	Driftssikkerhed og fysisk sikkerhed
Standard Reaktion på Trusler	Øjeblikkelig blokering eller isolering af enhed	Kontinuerlig overvågning, planlagt og manuel indgriben
Risikotolerance	Lav tolerance for datatab	Lav tolerance for nedetid og fysisk fare
Udstyrets Levetid	3-5 år, hyppige opdateringer	15-20+ år, sjældne opdateringsvinduer

Strategier for en Vellykket Integration

For at overkomme disse udfordringer og bygge en effektiv, samlet forsvarslinje kræves der en bevidst indsats for at bygge bro mellem de to kulturer.

Gå en tur på produktionsgulvet

Den mest effektive strategi er simpel: IT-sikkerhedsanalytikere skal forlade deres skærme og tilbringe tid i det miljø, de skal beskytte. Ved at tale med fabrikschefer, ingeniører og operatører får de en dybdegående forståelse for de kritiske processer og de operationelle begrænsninger. De vil se årtier gammelt udstyr, der er usikkert fra designets side, og opleve processer, der kører 24/7/365 med kun et snævert årligt vedligeholdelsesvindue for opgraderinger. At vise en ægte interesse og vilje til at lære skaber tillid og åbner døren for effektivt samarbejde. Det er det første skridt mod en fælles risikostyring.

Reducer den unødvendige støj

En af de bedste måder at mindske spændingerne på er ved at finjustere alarmerne. Mange alarmer, der ville få en IT-analytiker til at slå alarm, er blot baggrundsstøj for en OT-operatør, der kender sit miljø. Hvis en enhed i en industriel proces taber 10 netværkspakker over tid, er det sjældent et problem. Men hvis den samme proces pludselig begynder at tabe hundreder af pakker, er det noget, der skal undersøges. Ved at indstille specifikke tærskler, der er relevante for de fysiske processer, kan man effektivt dæmpe "falske positiver" og lade SOC-teamet fokusere på reelle trusler.

Fremtiden er Integreret

Eksperter har i årevis anbefalet, at organisationer bevæger sig mod en integreret IT/OT-sikkerhedsfunktion. I et trusselslandskab i konstant udvikling er en samlet funktion bedre positioneret til at håndtere trusler på tværs af hele organisationen. For at det skal lykkes, skal SOC-personalet uddannes i OT-netværks følsomhed og kritiske natur. De skal have de rigtige værktøjer, der forstår industrielle protokoller, og de skal have adgang til trusselsinformation, der er specifik for OT. Vigtigst af alt skal der være en vilje til at række ud til OT-eksperterne, som kan levere den afgørende kontekst og samarbejde om en sikker håndtering af hændelser. Et konvergeret SOC er ikke længere en teknisk øvelse; det er den de facto mekanisme til at styre en moderne virksomheds samlede risiko og sikre dens langsigtede sundhed og overlevelse.

Ofte Stillede Spørgsmål (OSS)

Hvorfor kan man ikke bare bruge IT-sikkerhedsværktøjer til OT-miljøer?: OT-miljøer har helt andre prioriteter, primært driftssikkerhed og fysisk sikkerhed. Et IT-værktøj, der automatisk blokerer trafik eller isolerer en enhed, kan utilsigtet lukke for en kritisk fysisk proces, hvilket kan være farligt og ekstremt dyrt. OT-værktøjer er designet til passiv overvågning og forstår de unikke industrielle protokoller.
Er et konvergeret SOC dyrere at drive?: Der er en indledende investering i uddannelse af personale og potentielt nye teknologier. Men på lang sigt kan et konvergeret SOC føre til betydelige besparelser. Ved at forhindre et enkelt større nedbrud i produktionen kan investeringen tjene sig selv hjem mange gange. Desuden øges effektiviteten i sikkerhedsteamet, hvilket frigør ressourcer.
Hvad er den største hindring for at skabe et succesfuldt konvergeret IT/OT SOC?: Den største hindring er ofte kulturel, ikke teknisk. At bygge bro mellem de forskellige tankegange, sprog og prioriteter hos IT- og OT-teams kræver en dedikeret ledelsesindsats, gensidig respekt og en vilje fra begge sider til at lære og samarbejde. Det er en rejse, der handler lige så meget om mennesker som om teknologi.

Hvis du vil læse andre artikler, der ligner IT/OT SOC: Forenet Sikkerhed for Organisationen, kan du besøge kategorien Sundhed.