如何缩短平均修复时间(MTTR)并加强OT网络安全?
什么是平均修复时间(MTTR)?
对于OT工程师而言,平均修复时间(Mean time to repair, MTTR)是完成工业资产修复或其他必要维护任务所需的平均时间 —— 从工程师连接到资产并启动维修的那一刻起,到他们完成维修,并断开与资产的连接为止。一般而言,MTTR越长,已诊断和未诊断的问题所造成的影响就越严重。当这些问题涉及严重漏洞、配置错误、对OT的可用性、完整性与安全性构成重大威胁时,情况尤其如此。MTTR越短,停机和业务运营中断的风险就越小。
如何计算平均修复时间(MTTR)?
MTTR的计算公式很简单,就是用总维护时间除以修复次数。
虽然这样可以算出MTTR,但并非所有的中断情况都相同,问题的性质和复杂程度可能有所不同。某些系统和设备因特殊规格,而需要更长的修复时间;或者在繁忙时段发生故障,造成了更大的损失。
影响平均修复时间(MTTR)的变量
对于使用远程访问解决方案的OT工程师而言,用户体验无疑是最大的变量。当解决方案的用户体验既不顺畅也不可靠时,使用该解决方案的OT工程师不得不面对一些具有挑战性的状况,这些状况可能会延长MTTR,以及增加网络风险暴露。以下示例场景采用了一种面向 IT 的远程访问解决方案,其用户体验影响了MTTR。
场景:远程OT工程师收到可编程逻辑控制器(PLC)配置错误的通知,需要在30分钟内进行紧急修复,以避免停机。
解决方案:采用一种面向IT的远程访问解决方案,通过连接到企业VPN的一系列跳转服务器,提供对OT环境的远程访问。
为了连接PLC,OT工程师必须通过4个登录界面,每个界面都有一套独立的凭证。
前3个登录界面需要5分钟才能通过。当OT工程师到达第4个登录界面时,忘记了密码。他们尝试几次后,就被锁定了。
OT工程师打电话给OT经理,请求重置密码,这花了15分钟。然后,OT工程师重新通过了4个登录界面,发现只剩下5分钟的时间来修复PLC。
当OT工程师连接到PLC时,却遇到了一个极其复杂的界面,与本地人机界面(Human Machine Interface, HMI)完全不同,不确定去哪里或点击什么来进行修复。最后,耗尽30分钟,停机随之而来。
还有其他值得关注的变量:
检测和诊断。如果企业没有全面的资产可视化、先进的监察系统或诊断工具,就难以监察组件和检测故障。这会延长故障排除时间。
工具和资源可用性。先进的系统可能需要特定的工具或技能水平才能有效修复问题。如果企业没有合适的工具或资源进行修复,就会对MTTR产生影响。
监管约束。在一些领域,维修需要符合监管标准。若要满足合规性所需的时间,可能会影响MTTR。
了解影响MTTR的变量,可以帮助企业实施策略、运用工具和采取最佳做法,以优化修复流程并缩短MTTR。
如何缩短平均修复时间(MTTR)?
厘清资产。为了缩短MTTR,企业必须能够快速且高效地访问其系统。但是,如果没有厘清资产,这就是一项几乎不可能完成的任务。企业可以通过维护环境中所有资产的实时情况(包括位置、状态、如何使用、它们之间的交互等)来快速检测故障、防止意外停机、改善维修决策、以及有效分配资源。这些都有助于缩短MTTR。
有效的网络分段。有效的网络分段通过限制网络中的横向移动,可以隔离问题,并且快速诊断和修复问题。它还可以更快地排除故障、有效地维护、以及更好地监察。企业可以实施普渡模型(Purdue Model),普渡模型展示了将 IT 网络(第 4 层和第 5 层)与 OT 环境(第 0 层到第 3 层)分段的最佳实践,通过提高 IT 网络安全性、简化管理流程和加强 OT 网络可靠性,帮助缩短MTTR。下图是按照普渡模型配置的工业网络标准架构,工业设备位于第 0 层到第 3 层。
(请点击放大查看)
持续威胁检测。有效的威胁检测在缩短MTTR方面起着关键作用,因为在异常和潜在的危险事件升级之前,它能帮助企业识别出来。通过使用多个检测引擎,企业可以分析所有资产、通信和流程,以生成行为基线,该基线表征合法流量,从而清除误报。一旦检测到威胁,就可以快速响应,并且防止相同或类似威胁再次出现。
实施安全访问解决方案。缩短MTTR的最有效方法是实施专为CPS环境构建的安全远程访问解决方案。正确的解决方案通过加快解决问题的速度、在低带宽条件下运行、确保系统的高可用性以及维持关键站点的生存能力,以有效地缩短MTTR。同时,确保关键系统持续运行和安全。Claroty xDome SA(Secure Access,安全访问)是一款专为CPS设计的云解决方案,为第一方和第三方用户提供顺畅且可靠的远程访问。
2024年 4 月,Claroty 在 Gartner《创新洞察:CPS安全远程访问解决方案》报告中被列为代表性供应商(Representative Providers)。Gartner《创新洞察:CPS安全远程访问解决方案》报告中提到,“事实证明,传统的 VPN 和基于跳转服务器的方法越来越不安全,管理起来也越来越复杂。此外,它们通常缺乏对单个设备的细粒度访问控制,而是提供对整个网络的访问。”同时,MTTR是网络安全主管和CISO的重要指标,他们需要确保整个网络(IT 和 OT 环境)正常运行。Claroty xDome SA 可以让 OT 工程师随时随地更快地、安全地连接资产和排除故障,并解决可能导致流程中断或操控的可利用漏洞,从而缩短MTTR和加强OT网络安全。Cyberworld 科明大同是 Claroty 的总代理商,如果您想进一步了解 Claroty xDome SA,欢迎随时联系我们,谢谢!