保护IIOT需要额外的护理。NAC和细分可以帮助

网络访问控制

保护OT网络的第一步是监视连接到网络的IIOT设备。监控需要提供两个关键数据点。第一个是识别和文件每个连接到网络的新设备，第二个设备都在观看设备配置文件中的更改。网络访问控制（n）对于库存，跟踪和监控这些设备特别有用。

NAC还补充了组织对OT网络收集可操作智能的能力。在IT网络中，一个像nmap这样的工具可用于主动扫描设备。询问OT网络中的设备更加困难，因为您无法使用主动扫描。除了脆弱之外，IIOT设备还可以非常脆弱，甚至是无辜的东西，因为活跃的扫描可能会产生严重的后果。这意味着收集基于OT的数据需要尽可能被动地完成。一个替代方法是从网络装备而不是设备本身收集信息。

一旦确定了受感染的设备，响应该威胁是下一个挑战。例如，自动隔离不是一种选择。例如，在油漆制造工厂中，关闭制造化学品和染料的设备，可以阻止生产线或废墟数百万美元的产品。这意味着安全团队需要与OT密切合作，以便在NAC检测到妥协时建立干预议案。

分割

分割是另一个关键策略用于保护OT环境。与IT网络一样，分割往往落入两个营地：北/南和东/西，ISO 99概述了工业OT环境的分割标准。

北/南部分割：即使它和OT网络收敛，它们也必须尽可能地留下。这有助于防止任何SET安全团队的两个主要问题：内部人员和蠕虫。如果它和OT网络融合在单个周边后面，则可以无意中地暴露OT系统，以通过正常类型的IT活动创建的问题。例如，防火墙中的用户或设备可以主动监视IT流量和扫描设备以识别其起源和目的地。然而，由于许多IIOR设备的性质，甚至扫描的潜在后果可能是严重的。

因此，为了防止故意或意外的设备篡改，因此，OT流量必须完全从中分段。即使是更新或修补系统也应该避免直接连接到因特网或IT网络。这种分割还可以保护来自源于通过在设备之间跳跃传播的IT网络的蠕虫中的关键OT系统。

东/西部分割：蠕虫也是东/西问题。一个有源工厂地板可能有几种生产线;安全漏洞的影响需要有限，因此整个楼层没有脱机。生产线分割确保影响一行生产的攻击不能蔓延到其他生产线。

即使在单一的生产线内，一个设备很少需要与另一个设备交谈。这就是为什么主动设备分割是一个基本的最佳实践。通常，IIOT设备只需要三行通信：到他们的SCADA和ICS控制器，到HMI（人机界面）控制台和日志设备活动的历史记录设备。

加起来

随着您的IT和OT网络汇总，您将自然地将关键的设备和流程暴露给新的威胁，并且违规的结果可能会毁灭。数据损失，昂贵的停机时间，对生产资源的物理损坏，甚至伤害或死亡对员工和周边公民都可以对企业以及社区产生毁灭性的影响。

像NAC和网络分割等技术在帮助CSOS拥抱数字转换的力量时发挥着关键作用，而不会使自己及其组织冒险出于受损OT环境的风险。

所有IOT议程网络贡献者负责其帖子的内容和准确性。意见是作者，不一定能够传达物联盟议程的思想。