总体而言,我们面临着网络安全工作缺口的巨大挑战,预计2021 年的职位空缺在272 万到350 万个之间。然而,非常专业的运营技术 (OT) 网络安全方面的差距更大,因为 IT 拥有数十年-在建立专业知识方面遥遥领先,因此拥有更大的人才库。根据Pollfish 于 2021 年 9 月对 IT 和 OT 安全专业人员进行的一项全球调查,90% 的受访者表示他们正在寻求雇用更多的工业网络安全专业人员,而大致相同的人数 (88%) 表示很难找到足够的候选人具有正确管理 OT 网络的网络安全所需的技能和经验。
没有简单的解决方案可以缩小 OT 网络安全人才差距,但这里有一些想法可以帮助入门:
1. 交叉培训 IT 安全人员。如果在招聘 OT 网络安全职位时遇到挑战,请为一些 IT 员工进行实践培训,以便他们可以花时间跟从 OT 工程师和操作员。OT 系统确实有非常不同的规格,但鉴于其较长的生命周期,它们中的大多数都已过时。因此,经验丰富的 IT 人员应该会惊喜地发现他们熟悉许多底层技术。
从那里,IT 人员需要掌握这些系统和网络的不同要求,没有比实践更好的方法了。这包括了解修补可编程逻辑控制器 (PLC) 需要什么,如何实施维护窗口,以及如何规划在更新和维护 OT 系统和网络时需要采取的所有安全措施。这种方法的好处是 IT 员工已经熟悉公司及其流程,并且可能知道在哪里寻找所需的知识。当您在招聘方面遇到挑战时,这可能是一种更省时、更具成本效益的方式来启动OT 安全计划。更不用说它提供了在 IT 和 OT 团队之间建立桥梁的额外好处,这将在未来带来红利。
2. 与教育机构合作。查看不同教育机构提供的新 OT 网络安全计划。目前还没有足够的项目,但许多项目已经开始跨学院和大学创建。如美国则有爱达荷州立大学提供为期两年的课程,毕业生获得工业网络安全工程技术的 AAS,威尔明顿大学提供监督控制和数据采集 (SCADA) 网络安全研究生证书,其他学校提供个人 OT 安全课程作为学位的一部分在网络安全方面。为课程做出贡献、建立奖学金计划和提供实习机会是学生毕业时吸引人才的好方法。 这点也可以为我国工业控制OT人员培养提供借鉴。
3. 考虑政府举措的作用。在政府层面,新加坡最近在应对这一挑战方面取得了巨大进展,可以作为榜样。2021 年 10月,新加坡网络安全局 (CSA) 成立在私营部门实体的支持下,运营技术网络安全能力框架 (OTCCF) 为该国 OT 网络安全部门吸引和培养人才奠定了基础。虽然 CSA 多年来一直提供 OT 网络安全课程,但 IT 和 OT 系统之间日益增强的连接性正在推动对需要 IT 和 OT 能力的工作角色的更大需求,因此 OT 工程师需要更深入的技术培训。OTCCF 不仅映射了所需的工作角色、技术技能和核心能力,还捕捉了可能的职业道路,显示了纵向和横向发展的选择。
随着网络安全和基础设施安全局 (CISA) 和白宫对 OT 系统的高度关注及其在地缘政治紧张局势下的重要性,美国联邦政府的一项类似举措将有助于促进这一相当新的领域。尽管 CISA 确实提供了一些培训,但鼓励公私合作的更广泛的方法不仅会推动需求方,而且会促进供应方,因为它可以为教育工作者和培训师提供急需的最佳实践和全面发展的要求。OT 网络安全教育计划。我国则以工信部为主的监管部门,也在不遗余力的培养适合我国的OT人才。
4. 依靠技术来提供帮助。 工业环境中的资产难以检测、难以管理,甚至更难以保护——尤其是在我们不断扩大的连接设备和设备领域。技术正在朝着解释 OT 网络的晦涩难懂的方向迈进一大步,一直延伸到扩展物联网 (XIoT),其中包括您的 OT 环境、工业物联网设备 (IIoT)、医疗物联网 (IoMT) 和企业物联网。
专为资产可见性而构建的无代理解决方案有助于识别 XIoT 中的漏洞和可疑行为,并为持续威胁监控以检测和跟踪跨越 IT/OT 边界的威胁奠定基础。此类解决方案可以快速实施,与 OT 和 IT 系统和工作流完美集成,并允许 IT 和 OT 团队一起查看 OT 环境。通过使用相同的信息集,这些团队可以在数周而不是数月内采取具体步骤开始最大限度地降低风险并加强安全性。
必须解决跨多个领域的 OT 网络安全漏洞——学术界、政府以及组织内部。将我们的专业知识和机构知识与技术进步相结合,可以加快进程以保护威胁参与者现在瞄准的关键 OT 环境,同时建立越来越强大的 OT 网络安全劳动力。