為(wèi)何零信任訪問(wèn)對(duì₹↓ )于确保OT安全至關重要(yào)&nbs♠π§p; 

       運營技(jì)術(shù₽&★×) (OT) 網絡正日(rì)益成為(wèi)網絡不(bù)法分(f®↓→ēn)子(zǐ)的(de)主要(yào)攻擊目标，他(tā)們¥δ​↔正在設計(jì)越來(lái)越複雜(zá)的(de)攻擊方法，以‍♣£實施破壞攻擊并利用(yòng)OT漏洞牟利γ" ​。事(shì)實上(shàng)，Fort'•inet在其《2020 年(nián)運營技(jì)術(shù)網絡安全現≠'$(xiàn)狀報(bào)告》中指出，90%的(d‌↑&e)受訪OT領導者确認去(qù)年(nián)至少(✔πλshǎo)遭到(dào)一(yī)次入侵。72%的(de)受訪者曾遭遇過三®​次及以上(shàng)入侵。許多(duō)O÷σ∏T基礎設施難以适應減少(shǎo)對(duì)隔離(lí)網閘作(zuò‍φ )為(wèi)主要(yào)防禦機(jī)制(zhì)的(♥∏de)依賴，因此網絡安全對(duì)其而言仍然是(shì×✔↕♠)一(yī)項挑戰。這(zhè)種安全轉變迫使人(rén‌↑)們将零信任的(de)概念視(shì)為(wèi)必不(bù)可(kě)少(s∑♥hǎo)的(de)最佳網絡安全策略。

      &nbs♠♥✔p;零信任訪問(wèn) (ZTA) 的(de)前提是(shì)，在沒有(yǒ₩∏✘u)首先對(duì)所有(yǒu)尋求訪問(wèn♥α'§)的(de)用(yòng)戶與設備進行(xíng)識别和(hé)分(☆±'fēn)類的(de)情況下(xià)，信任網絡內(n↑•Ω♣èi)外(wài)的(de)任何請(qǐng)求Ω∑ →均存在安全隐患。ZTA的(de)目标是(shì)消除φ∞‌所有(yǒu)威脅，無論其來(lái)自(zπ$✔ì)網絡外(wài)部還(hái)是(shì)內(nèi)部。這(zhè)一( ±×yī)策略的(de)采用(yòng)對(duì) ↓↓于保護OT系統至關重要(yào)，這(zhè)些(xiē)系♣₩$π統通(tōng)常必須詢問(wèn)網絡₩∏用(yòng)戶和(hé)不(bù)斷快(kuài)速增長(chán&™g)的(de)工(gōng)業(yè)物(wù)聯網 (IIoT ←) 設備。

 OT系統網絡安全的(de)重要(yào)性

       OT系統通÷♦ ♣(tōng)常與由網絡物(wù)理(lǐ)資産組成的(d&€↑e)領域有(yǒu)關，例如(rú)制(zhì)造業(yè)、能(néng)"≈←源和(hé)公用(yòng)事(shì)業(yè)、交通(≈©tōng)運輸及樓宇自(zì)動化(huà)。過去(qù)，人(γ§↔rén)們不(bù)認為(wèi)OT系統需要(yào)π‌高(gāo)級網絡安全，因為(wèi)它們通(tōng)常通(tōng)過隔離σ₩¥☆(lí)網閘進行(xíng)隔離(lí)。₩©φIT/OT融合和(hé)數(shù)字連接的(de)出現(xi₩ ©àn)彰顯了(le)确保安全和(hé)持續運營的(de)"§∞重要(yào)性。
       ¶↕ <為(wèi)了(le)應對(duì)OT和(hé)Iπ✔T網絡融合帶來(lái)的(de)安全挑戰，通(tōng)常需要<×(yào)部署一(yī)系列單點解決方案。這(zhè)種方法無法持續實現 §₽(xiàn)真正的(de)可(kě)視(sh§↓ì)性和(hé)威脅規避，因為(wèi)缺乏溝通(tōng)&≠和(hé)解決方案連續性會(huì)導緻♦<響應延遲。在解決并消除可(kě)能(néng)導緻關鍵服務中斷的( ≥✘ de)漏洞方面，快(kuài)速識别和(hé)響應以消除OT安全威"¶©‌脅至關重要(yào)。
啓動OT系統的(de)ZTA流程

       π‍✔;采用(yòng)零信任訪問(wèn)的(deβ±β )第一(yī)步是(shì)适當進行(xíng)安∏ ≥全投資，實施“從(cóng)不(bù)信任，始終驗πφ證”的(de)一(yī)緻策略實踐。這(zhè)意味著(zhe)需要(yàoπ★★)保護每個(gè)有(yǒu)線和(hé)無線網絡×£♣節點，以确保所有(yǒu)用(yòng)戶、應用(yòng)及端點設備均經過驗↔≤λ↑證。可(kě)以說(shuō)，盡管環境很(hěn)複雜(zá)，₹φ™♠但(dàn)采用(yòng)一(yī)緻的(de)安€→∑全實踐能(néng)夠為(wèi)所有(y≤✔>ǒu)OT系統提供有(yǒu)效保護，無論是(shì)能(<Ωnéng)源和(hé)公用(yòng)事(shì)業(yè)、£∏∑÷制(zhì)造業(yè)還(hái)是(shì)交通(ε¥←tōng)運輸。例如(rú)，通(tōng)∑Ω≥↔過僅提供所需最低(dī)訪問(wèn)權限，跨內(nèi)外(wài)部網絡通&™€∑(tōng)信實行(xíng)最低(dī)權限原則≤♣φ©。 

       ≠♠©OT系統所有(yǒu)者可(kě)在多(duō)個(gè)網絡點集成內π​↓(nèi)部分(fēn)段防火(huǒ)牆，從(cóng)而保β♥<₽護企業(yè)免遭一(yī)系列攻擊向量威脅。通(↔€₹≤tōng)過這(zhè)種方式，所有(yǒu)者不(bùγ )僅可(kě)以實現(xiàn)網絡可(kě)視(sφ>hì)性，而且還(hái)有(yǒu)助于實行(xíng)最£φ♦低(dī)權限原則。實施遏制(zhì)策Ω≠"略可(kě)防止目标環境中的(de)垂直或水β'±​(shuǐ)平移動。

對(duì)下(xià)一(yī)代防火(huǒ)牆的(de)$ 需求

      &n∞φ§÷bsp;基本上(shàng)，IT/OT融合企業÷$♣ (yè)可(kě)以基于ZTA策略進行(xí≈✔ng)構建，集成将內(nèi)部分(fēn)段配置與智能(néng)交換相(xε±×←iàng)結合的(de)下(xià)一(yī)π€←代防火(huǒ)牆 (NGFW) 技(jì)術(shù)。δπ≥如(rú)果NGFW配有(yǒu)安全、可(kě)擴展的(de)以太網交¥←‍換機(jī)，微(wēi)分(fēn)段和(h ↓→←é)策略執行(xíng)将禁止任何未經預先批準的(de)東(dōng)西≈☆£ε(xī)向或南(nán)北(běi)向網絡移動。這(zhè)有(yǒ‌∞πu)助于确保更精細的(de)網絡安全防護，同時(shí)可(k∑>>ě)增強攻擊抵禦能(néng)力。 

多(duō)因素身(shēn)份驗證的(de)必要(yào)性

      &nb≈±₩↓sp;多(duō)因素身(shēn)份驗證 (MFA) 是(shì)←σ'∑OT領導者實施基于角色的(de)訪問(wèn)所需采取的(de)另一(&¥→‌yī)個(gè)重要(yào)網絡安全實踐。有(yǒu)α✘了(le)MFA，隻有(yǒu)在向身(sh♥&★ēn)份驗證機(jī)制(zhì)成功提供兩個(gè)或多(duō)個 ™(gè)證據或因素後，才可(kě)獲得(d★£e)訪問(wèn)權限。這(zhè)些(xiē)因素可(kě)能(néng÷®‍)包括：

• 财産：隻有(yǒu)用(yòng)戶擁有(yǒu)的(de)财物(λ wù)，例如(rú)工(gōng)卡或智能(néng)手機(jī) δ∑

• 唯一(yī)标識符：指紋、語音(yīn)識别或其₽↓<£他(tā)用(yòng)戶特有(yǒu)的(de)遺傳特性 ×₩γ♣

• 所知(zhī)信息：隻有(yǒu)用(yòn&​Ω÷g)戶知(zhī)道(dào)的(de)信息§ ，例如(rú)密碼或PIN

由于需要(yào)提供上(shàng)述多(duō)個(gè)γ£$♦證據，因此MFA加大(dà)了(le)盜竊和(hé)僞裝的(de)難度。

完美(měi)不(bù)是(shì)目标

      &nbσ₩↔↔sp;為(wèi)應對(duì)數(shù)字化(huà)轉型和(hé)IT/OT融合風(fēn£<g)險而适當進行(xíng)的(de)網絡安全投資很(hěn)難實現α&λ(xiàn)完美(měi)的(de)網絡安β¶全保護。關鍵在于加強對(duì)最重要(yào)資 ‍≥産的(de)保護。通(tōng)常，保持安全和(h →é)持續運營是(shì)重中之重，同時(shí)÷₽∏還(hái)要(yào)使對(duì)知(zhī)識産權的(de)訪問≤‌(wèn)嘗試轉向。對(duì)于OT而言，速度、規♥÷λ模和(hé)解決方案使用(yòng)壽命均為(wèi)高(gāo≠∏)價值解決方案屬性。盡管意圖很(hěn)好(hǎo)，但(dàn)重要(y♣‍®‍ào)的(de)是(shì)要(yào)認識到(dào)，有(yǒu)些(→∞Ω£xiē)網絡安全攻擊超出了(le)ZTA策略檢測範圍。例如(r₹™β∞ú)，分(fēn)布式拒絕服務 (DDoS) 攻擊♠♥‍λ就(jiù)不(bù)會(huì)被快(kuài)速檢測。同樣，由于開(k σāi)銷和(hé)延遲特性，對(duì)加密有(yǒu)效負載（例¶>β如(rú) ）的(de)檢查也(yě)并不(bù↔☆≥)實用(yòng)。
       最後一(y♦±♣±ī)個(gè)值得(de)關注的(de)OT業(yè)務相(xiàng)關問(‍©↔☆wèn)題是(shì)，因網絡安全最佳實踐而引入延遲是(shì→☆)不(bù)成立。因此，需要(yào)考慮您的(de)OT安全策略要(y≠​§ào)素如(rú)何作(zuò)為(wèi)一(yī)個(gè)©>統一(yī)生(shēng)态系統運行(xíng)。通↓₹€α(tōng)過內(nèi)部行(xíng)為(£↔wèi)分(fēn)析增強生(shēng)态系統∞$¥✘可(kě)确保更有(yǒu)效的(de)态勢γ♦↑←感知(zhī)并實現(xiàn)更主動的(de)安全防護。最重要(yào‍≤)的(de)是(shì)實現(xiàn)‍>♦持續的(de)信任評估和(hé)投資回報(bào)，該回報(bào₹∏→$)依照(zhào)安全、可(kě)信、持續運營按比例評估和(hé₹÷δ )衡量。