目前，安全部門(mén)負(fù)責(zé)人仍然缺乏對(duì)本企業(yè)數(shù)字化計(jì)劃至關(guān)重要的運(yùn)營(yíng)技術(shù)（OT）環(huán)境風(fēng)險(xiǎn)可見(jiàn)性的認(rèn)識(shí)。安全部門(mén)負(fù)責(zé)人現(xiàn)在有了一個(gè)可同時(shí)管理并衡量 IT 和 OT 網(wǎng)絡(luò)風(fēng)險(xiǎn)的平臺(tái)。

業(yè)務(wù)驅(qū)動(dòng)的數(shù)字化計(jì)劃越來(lái)越需要通過(guò)互聯(lián)的 IT 和 OT 系統(tǒng)來(lái)優(yōu)化生產(chǎn)、推動(dòng)創(chuàng)新和加強(qiáng)可持續(xù)性。但是，負(fù)責(zé)管理并衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)的大多數(shù)安全負(fù)責(zé)人卻缺乏對(duì) OT 環(huán)境可見(jiàn)性的認(rèn)識(shí)。

傳統(tǒng)的 IT 資產(chǎn)發(fā)現(xiàn)和漏洞評(píng)估工具在 OT 系統(tǒng)中并未得到廣泛應(yīng)用，因?yàn)樗鼈兛赡軙?huì)讓運(yùn)營(yíng)中斷。因此，安全部門(mén)負(fù)責(zé)人不知道他們的 OT 環(huán)境中究竟安裝了哪些資產(chǎn)，需要調(diào)查哪些意外連接，或者必須修復(fù)哪些高優(yōu)先級(jí)漏洞。結(jié)果就是：安全部門(mén)負(fù)責(zé)人無(wú)法管理并衡量 OT 環(huán)境中的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

有效的風(fēng)險(xiǎn)管理建立在對(duì)整個(gè) IT/OT 攻擊面的統(tǒng)一認(rèn)識(shí)基礎(chǔ)之上，這種認(rèn)識(shí)必須兼顧OT 網(wǎng)絡(luò)（許多 OT 網(wǎng)絡(luò)包括基于 IT 的系統(tǒng)）和 IT 網(wǎng)絡(luò)。問(wèn)題在于，識(shí)別和評(píng)估不同的IT 和 OT 設(shè)備都需要專(zhuān)門(mén)的技術(shù)：對(duì) IT 設(shè)備的主動(dòng)掃描和對(duì) OT 設(shè)備的被動(dòng)監(jiān)控。目前，這些專(zhuān)業(yè)技術(shù)的缺失導(dǎo)致數(shù)據(jù)脫節(jié)，因而，人們對(duì)融合網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí)也支離破碎。Tenable 認(rèn)為，對(duì)于組織而言，這種支離破碎的認(rèn)識(shí)是一個(gè)重大的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理差距，值得處理。

IT 安全部門(mén)負(fù)責(zé)人需要與 OT 人員合作，將現(xiàn)有 IT 流程和控制擴(kuò)展到 OT環(huán)境。當(dāng)然，為適應(yīng)獨(dú)特的 OT 制約因素，還需要進(jìn)行調(diào)整。各企業(yè)可能會(huì)試圖為 IT 和 OT 網(wǎng)絡(luò)獨(dú)立實(shí)施不同的流程和控制。這種方法一方面能避免在 IT 和 OT 人員之間達(dá)成一致帶來(lái)的挑戰(zhàn)，但是另一方面，它卻擴(kuò)大了網(wǎng)絡(luò)風(fēng)險(xiǎn)管理差距，增加了發(fā)生導(dǎo)致業(yè)務(wù)中斷的網(wǎng)絡(luò)事件的可能性。

例如，孤立和脫節(jié)的 IT 和 OT 資產(chǎn)清單可能會(huì)對(duì)那些支持重要生產(chǎn)線(xiàn)的資產(chǎn)造成盲點(diǎn)，而對(duì)依賴(lài) IT 服務(wù)器的重大升級(jí)可能會(huì)導(dǎo)致整個(gè)生產(chǎn)線(xiàn)的中斷。同樣，由于 IT 服務(wù)器對(duì)制造流程的重要性，對(duì) IT 服務(wù)器中存在的漏洞進(jìn)行補(bǔ)救可能優(yōu)先級(jí)更高。

Tenable 為安全部門(mén)負(fù)責(zé)人提供了一個(gè)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理解決方案，它同時(shí)涵蓋 OT 和 IT 網(wǎng)絡(luò)，從車(chē)間直至企業(yè)應(yīng)用都被納入其中?，F(xiàn)在，選定的資產(chǎn)和漏洞數(shù)據(jù)可以從 Industrial Security（一款針對(duì)工控系統(tǒng)的安全解決方案）導(dǎo)入 Tenable.sc?（以前的SecurityCenter）。安全部門(mén)負(fù)責(zé)人現(xiàn)在可以依靠一個(gè)平臺(tái)來(lái)同時(shí)管理并衡量 OT 和 IT網(wǎng)絡(luò)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

資產(chǎn)清單針對(duì)必須保護(hù)的資產(chǎn)提供了最新視圖。漏洞評(píng)估發(fā)現(xiàn)并優(yōu)先考慮薄弱環(huán)節(jié)，如果沒(méi)有得到修補(bǔ)，這些薄弱環(huán)節(jié)可能成為攻擊者破壞控制系統(tǒng)和關(guān)鍵運(yùn)營(yíng)流程的途徑。通過(guò)自定義儀表板和報(bào)告模板可以簡(jiǎn)化利益相關(guān)者之間的溝通。

與 Industrial Security? 一起使用時(shí)，Tenable.sc? 本地網(wǎng)絡(luò)風(fēng)險(xiǎn)管理平臺(tái)包括多個(gè)傳感器和聚合點(diǎn)，每個(gè)傳感器和聚合點(diǎn)都針對(duì) IT 和 OT 網(wǎng)絡(luò)的要求進(jìn)行優(yōu)化。

Tenable.sc? 提供從 IT/OT 網(wǎng)絡(luò)中的 Nessus 掃描工具和工業(yè)安全控制臺(tái)收集的統(tǒng)一信息視圖

此外，Tenable.sc? 與Tenable 網(wǎng)絡(luò)風(fēng)險(xiǎn)管理生態(tài)系統(tǒng)中的許多合作伙伴集成，從而在利用現(xiàn)有投資的同時(shí)強(qiáng)化補(bǔ)救/響應(yīng)流程。例子包括：  

• 西門(mén)子專(zhuān)業(yè)人員可提供和部署 Industrial Security 系統(tǒng)，提供一系列工業(yè)控制系統(tǒng)設(shè)計(jì)和風(fēng)險(xiǎn)管理服務(wù)。

• ITSM解決方案，例如 ServiceNow 安全運(yùn)營(yíng)漏洞響應(yīng)，用于同步資產(chǎn)記錄，納入資產(chǎn)關(guān)鍵性，用以加強(qiáng)風(fēng)險(xiǎn)評(píng)分、管理修復(fù)工作流和報(bào)告狀態(tài)。