IT/OT融合所面临的重大挑战:听听专家怎么说
当说到IT技术和OT技术融合时,哪种技术会发挥更为关键的作用,对此你是否有个人的倾向性?也许当你停下来仔细思考这两种技术的差异时,你就会不自觉地有了答案。
但从发展的角度来看,为了能够使企业变得更敏捷、更高效、更富有弹性并最终增强企业的赢利能力,我们可能需要从IT与OT两个方面共同推动的这场技术变革。针对IT与OT融合所面临的各种挑战,我们也曾与该领域的专家进行探讨,以下是他们分享的见解。
Greg Hale格雷格·黑尔 ISS Source编辑
多年来,业界一直在争论IT与OT融合的问题。如果说这场新冠疫情带来了什么好处,那就是使IT/OT融合变得更加可行,或者说正在变成现实。回望过去,IT与OT部门之间始终存有分歧。我记得曾经在一次OT部门的会议上,一位演讲者刚提与IT部门合作就招来一片嘘声。
往者不可谏,来者犹可追。无论过去、现在还是将来,良好的沟通仍然是这两个部门所面临的主要挑战。IT与OT之间确实存在着技术差异,虽然防火墙两侧的智能安全专家们能弱化这些差异,但真正能够发挥作用的方案是让IT与OT部门心平气和地坐下来,开诚布公的探讨各自所面临的问题,并且从最符合企业利益的角度制定决策。
当OT部门说他们需要24小时全天候运行时,就一定会这么做,IT部门需要给予充分理解,而OT部门也应该明白,IT处理安全业务问题甚至需要更长的时间,他们能够理解OT部门的需求。
这种层面的沟通不能敷衍了事,而是需要自上至下地彻底贯彻执行。在一个成功的企业中,时时都会体现出这种沟通方式,每个人都清楚相关计划,并充分理解自己所从事岗位的重要性。在这种环境中工作的团队将始终表现出积极进取的精神。
Kevin Holley凯文·霍利 Belden客户创新中心总监
IT网络与OT网络融合将会产生什么影响?这是IT与OT专业人员所面临的最大挑战之一。随着工业4.0规模的不断扩大,工厂车间的自动化设备和传感器也将产生越来越多的数据。由于自动化系统产生了大量的数据,这就要求IT与OT网络能够处理不断增长的数据流。如何高效传输这些数据流,同时又不削弱OT网络的运营完整性,这将是一项重大挑战。与此同时,还需要优先考虑质量、安全和正常运行时间等因素。
Lane Thames莱恩·泰姆 Belden首席安全研究员
网络资产管理是一个至关重要的网络安全组件,因为它使我们的网络具有可见性。如果网络没有可见性,我们的网络系统就无法获得安全保护。20年前我们的网络规模不大,网络的差异较小,网络也容易管理。但今天的情况大不相同,我们的网络非常庞大,地理分布极广,网络环境也千差万别,比如内部系统和云系统,这就对网络资产管理有了更高的要求。
另外我们也正在进入工业发展的一个新阶段,就是人们常说的“工业4.0”。工业4.0是一种范式转变,涉及数字化转型、工业物联网(IIoT)以及IT系统与OT系统融合等事项,而OT技术应用于工业设施内部,相当于生产企业的“车间”。OT领域的网络资产管理组件与IT领域不同,具有更强的挑战性。技术专业人员的当务之急是准确完整地实现跨IT和OT领域的网络可见性。理由有很多,既有技术因素,也有人为因素。举例来说,受工程设计和性能等因素限制,IT领域中的常用安全技术往往不能用于OT领域。另一方面, IT与OT专业人员的技术背景和处理问题的侧重点差别较大。从网络资产管理和网络安全的角度来看,这可能会导致相互协作变得越来越困难。
当我们展望不久的将来,发现形势将会变得更加严峻。随着我们IT-OT系统内部出现更全新和更丰富的工业物联网资源,情况也将变得越来越复杂。最新的工业物联网技术将与云资源以及传统的IT-OT系统进行通信,这又将进一步增加复杂性,给跨IT-OT-云分区的整体可见性设置挑战。不久之前,我观看了一份项目演示资料,其中几个可编程逻辑控制器(PLCs)与“传统的”生产制造OT网络连接。同时,这些PLCs又与一个蜂窝调制解调器连接,并向一个云服务提供商内部的MQTT代理服务器发送数据。整个IT/OT云系统都将为各种迥然不同的系统提供服务,而未来的可见性技术也必须围绕这些迥然不同的系统展开。
Michael Sanchez迈克尔·桑切斯 ITEGRITI 公司首席执行官
看看我们的周围,科技无处不在。传统的IT系统主要专注于传输、处理和存储数据,而OT系统则专注于控制物理设备。IT系统的主要安全问题包括保护敏感数据的机密性、完整性和隐私性,比如个人身份信息(PII)以及受保护的电子健康信息(ePHI)。相比之下,对OT系统来说,最重要的是数据的安全性、可靠性和可用性。
在过去十年中,发生了重大的范式转变,现代OT系统的制造和交付开始越来越多地附带IT功能,其传统做法是采用“实体隔离”和专有通信协议。IT与OT技术的融合使标准互联网协议得到应用,也使性能和速度达到前所未有的水平,进而推动了物联网的诞生。在工作环境中也越来越流行使用自带设备(BYOD),在部分报告中显示,“6G”技术的运行速度将比5G快100倍。
大多数的个人和企业组织都希望利用新工具和新思路提高效率,但网络犯罪分子关注的是通过黑客、勒索软件或病毒获得利润或取得优势条件,并通过部署物联网设备迅速扩大攻击范围。目前,以谋利为动机的网络罪犯开始掌握越来越先进的技术,犯罪手段也更加老练,他们可能躲在世界任何地方进行远程操作,借助人工智能(AI)等一系列新工具和新战术的支持实施犯罪。因此,各国也开始深入了解关键性的国家基础设施和犯罪分子攻击的目标,使打击犯罪活动所需的各项能力更成熟。
当部署新产品时,通常没有既定标准,因此其管理、服务和安全很难获得保障。要想使BYOD和远程工作环境更普及,就需要实施更强的安全保障方法,这就提出了如何支持库存、监控、基线、补丁、更改和配置管理的问题。为了应对这些挑战,各组织不能仅仅遵从于满足最低标准,还应打破 “条条框框”,寻找先进的安全解决方案。结合目前的发展,仅使用传统的防火墙、路由器和交换机是不够的。保护当今OT/IoT设备的关键在于拥有先进的安全技术,比如云计算、人工智能(AI)和全球威胁情报(GTI)。
Divij Agarwal 迪威·阿加瓦尔 BELDEN高级产品经理
IT/OT目前面临的一个重大挑战是数据管理和治理,这个问题在未来也将会不断出现。从数据存储、传输和分析角度来看,随着越来越多的OT设备实现联网和连接,数据管理方面的潜在问题正在急剧增长。各组织机构需要制定一项强大的数据治理政策,这项政策必须说明需要通过什么方式存储、管理、访问和分析数据,并且必须明确责任主体。
数据是下一个黄金。工业数据已经发现一些应用领域,例如机器学习和人工智能技术有助于改进业务绩效和机器效率,并减少宕机时间。因此,为了避免数据丢失、被盗、损坏和滥用,妥善保护这些数据至关重要。
今天生成的数据不是事务型数据,不能存储在简单的关系数据库中,也不能在不同的网络或设备之间共享。今天的应用程序、机器和设备生成的数据在种类、速度和数量方面各不相同——换句话说,这就是大数据。处理大数据需要IT组织与OT组织密切合作,任何一个孤立的实体都无法独自管理大数据。OT必须确保数据准确、唯一、安全、结构化并且有意义,而IT需要确保数据的可用性、机密性、完整性和持久性。
一个典型的数据生命周期由创建、读取、更新和删除组成。边缘层在数据生命周期管理中发挥关键作用。边缘层网络位于OT和IT之间,包括边缘层网关和应用程序,负责帮助在IT和OT系统之间执行数据转换、标准化、聚合和收敛。所有的OT系统互不相关,这些系统生成的数据也迥然不同,为了能够利用 IT工具存储和分析这些数据,就必须使这些数据实现标准化和聚合。因此,在未来几年里,边缘层将继续在IT-OT融合中发挥关键作用——尤其是在数据管理和治理领域。
Chris Furtick 克里斯·弗蒂克 Fortalice Solutions 事件响应和规划总监
在我看来,IT/OT专业人士目前面临的最大挑战与技术无关;“工作”时间与个人/家庭时间之间的界限变得越来越模糊才是问题所在;全球爆发新冠疫情期间,我们已经看到许多岗位都可以通过远程工作发挥作用,这使许多专业人员愿意接受“在家办公”的工作文化。我们可以在任何地方工作,这是事实。但这个事实已经变成一种心态,它使我们感觉现在随时随地都在工作。
技术专业人士必须注意适时与电脑、平板电脑和智能手机断开联系,把关爱留给家人和朋友。否则,就会很容易成为“紧急事情的奴隶”,使你被迫牺牲那些本应放松和充电的时间。我相信,这种情况很快就会成为诱发心理健康问题的主要祸根。
如果公司关心员工,并积极鼓励员工关注自己心理健康,那么他们一定会吸引并留住顶尖人才;但作为员工来说,也不能单纯地等待雇主提醒自己注意心理健康。
Argiro Birba 阿基罗·比巴尔 ADACOM网络安全保障高级经理
我们现在的生活和工作处于一种完全互联的技术生态系统中,核心的工业自动化已变得不再重要。但是,当OT部门与IT环境融合时,OT部门也继承了安全不足的缺陷。OT网络和OT系统在物理上是隔离的,从理论上讲是安全的,但现在却面临着各种全新未知的安全挑战。
十年前, OT环境中的安全性测试主要针对单个产品和系统。如今,在评估相同的环境时,OT环境的作用变得更加明显。融合后的IT和OT架构将成为一个单一架构,而OT环境作为其中的一部分目前需要进行测试。
出于这个原因,我们开始构建一系列的安全和治理计划,并专门成立了一个网络安全小组,其工作目标是改善IT/OT架构的安全状况。即便如此,要想成功测试和保护我们的IT/OT环境,一个最重要的因素就是证明评估IT/OT环境是必须的。为保障IT/OT环境的安全性,还需要评估是否有必要进行监管和主动出击。
最后,我们必须不厌其烦地研究OT系统的敏感性,考虑如何满足其持续可用性需求。因此,我们必须开发详细的、结构化的、以OT为导向的测试方法。
总而言之,为了成功测试IT/OT环境,我们需要解决各种重大差异,比如物理测试与逻辑测试之间的差异。此外,在OT部门工作的专家们应当接受继续教育,更深入地研究OT服务和OT系统的安全性,不能仅仅停留在IT领域。如果我们能够参与进来,无论在物理层面还是逻辑层面,我们都将推动IT/OT架构更快获得高安全性。
Markus Bloem 马库斯·苏萨克 Belden 销售工程师(欧洲、中东、非洲)
从传统来看,IT专业人员负责创建、存储和保护一个组织的数据或网络;OT主要关注物质世界发生的进程,以及管理生产力、人员和机器。IT技术和OT技术长期存在于各自的领域中,相互隔离。这两个领域都有自己的网络、目标和要求,并且直到最近还处于这种完美的隔离状态。
随着新技术的兴起,越来越多的组织开始愿意接受工业物联网技术,因此各组织需要优化机器、应用程序和基础架构收集、传输和处理数据的方式。如果正确实现融合,则企业将有能力更快速地解决关键问题,做出明智的企业决策,并能够跨越物理和虚拟系统扩展流程。
同样重要的是,为现代IT环境设计的网络安全工具可能不适用于传统的工业控制系统(ICS)。以一个ICS为例,如果其存在的已知漏洞无法修补,并且更换成本又太高,这个ICS仍然需要提供安全保护,并调查漏洞。如果IT在ICS网络上执行端口扫描,则可能锁闭一个PLC,并导致生产关停24小时。如果使用被动式扫描技术就可以避免这种情况,该技术不在网络上引入新流量,而是检查每个数据包。另外,这项技术还提供了各种工具,可以用来检测和审计网络资产,监督配置变化和异常行为,同时将流量源头与目的地绘制出来。如果有数据流入或流出某个ICS,还能够加以识别和跟踪。
人工智能(AI)与工业物联网(IIoT)是主导“工业4.0”对话的两个最热门词汇。人工智能为物联网系统带来了机器学习和决策能力,增强了数据管理和分析能力,并使生产率大幅提高。目前正在使用的人工智能物联网应用实例包括边缘计算、自动交付机器人、数字孪生和协作机器人等。
展望未来,将更加重视预测性维护、增强型设备通信以及更经济可行的接入服务,使各种规模的公司都能利用联网设施获取商业利益,包括提高生产率、节约成本、瞬时控制并快速发现问题与机会。人工智能以及其他诸多技术将通过越来越有趣的方式找到进入企业的途径。
Ignacio Bravo 伊格纳西奥·布拉沃 Belden 首席解决方案设计师(拉丁美洲)
随着新技术不断涌入自动化领域,OT专业人员一直面临各种挑战。在我看来,这是所谓的“IT/OT融合趋势”的一个特征。
初始控制系统从电气控制(以连接在庞大复杂电柜中的电气继电器为基础)向可编程逻辑控制器(PLCs)的演变就是一个很好的例子。PLCs是基于微处理器的设备,因此可以直接应用那些已在IT领域使用的计算技术。这项技术在自动化应用中可以带来诸多好处——比如利用更小巧的机柜容纳更复杂的系统——但是,OT专业人员能否适应这项技术才是成功的关键。
梯形编程语言允许利用当时的‘OT’思维方式(电路和继电器)对这些新系统进行编程和维护。但随着时间推移,当高级编程语言闯入工业领域之后,便顺理成章地得到专业人士的青睐。在过去几年里,工厂车间更新IT技术的间隔时间越来越短,并且这种趋势现在愈演愈烈。
另外,还需要考虑以下几个领域的发展:
当MPLS-TP等通信技术出现时,其凭借各种优点以及易维护性而受到热烈欢迎。
时间敏感网络已经有了早期采用者。
单对以太网的多点能力。
5 G蜂窝网络和WLAN.11ax为无线领域带来了有意义的高带宽和实时改进。
随着这些基础架构不断扩展,利用SOPs来提供安全保护和维护的做法可以使IT和OT满意,这就是一个很好的例子。在过去,在两者之间设置一个正确定义的接口可能就足够了。但是,现在这种做法已经不能再满足需求了。在将来,各 “领域”将不再像以往那样划清边界。