如何缩短平均修复时间(MTTR)并加强OT网络安全?

什么是平均修复时间(MTTR)?

对于OT工程师而言，平均修复时间（Mean time to repair, MTTR）是完成工业资产修复或其他必要维护任务所需的平均时间 —— 从工程师连接到资产并启动维修的那一刻起，到他们完成维修，并断开与资产的连接为止。一般而言，MTTR越长，已诊断和未诊断的问题所造成的影响就越严重。当这些问题涉及严重漏洞、配置错误、对OT的可用性、完整性与安全性构成重大威胁时，情况尤其如此。MTTR越短，停机和业务运营中断的风险就越小。

如何计算平均修复时间(MTTR)？

MTTR的计算公式很简单，就是用总维护时间除以修复次数。

虽然这样可以算出MTTR，但并非所有的中断情况都相同，问题的性质和复杂程度可能有所不同。某些系统和设备因特殊规格，而需要更长的修复时间；或者在繁忙时段发生故障，造成了更大的损失。

影响平均修复时间(MTTR)的变量

对于使用远程访问解决方案的OT工程师而言，用户体验无疑是最大的变量。当解决方案的用户体验既不顺畅也不可靠时，使用该解决方案的OT工程师不得不面对一些具有挑战性的状况，这些状况可能会延长MTTR，以及增加网络风险暴露。以下示例场景采用了一种面向 IT 的远程访问解决方案，其用户体验影响了MTTR。

场景：远程OT工程师收到可编程逻辑控制器（PLC）配置错误的通知，需要在30分钟内进行紧急修复，以避免停机。

解决方案：采用一种面向IT的远程访问解决方案，通过连接到企业VPN的一系列跳转服务器，提供对OT环境的远程访问。

为了连接PLC，OT工程师必须通过4个登录界面，每个界面都有一套独立的凭证。

前3个登录界面需要5分钟才能通过。当OT工程师到达第4个登录界面时，忘记了密码。他们尝试几次后，就被锁定了。

OT工程师打电话给OT经理，请求重置密码，这花了15分钟。然后，OT工程师重新通过了4个登录界面，发现只剩下5分钟的时间来修复PLC。

当OT工程师连接到PLC时，却遇到了一个极其复杂的界面，与本地人机界面（Human Machine Interface, HMI）完全不同，不确定去哪里或点击什么来进行修复。最后，耗尽30分钟，停机随之而来。

还有其他值得关注的变量：

检测和诊断。如果企业没有全面的资产可视化、先进的监察系统或诊断工具，就难以监察组件和检测故障。这会延长故障排除时间。

工具和资源可用性。先进的系统可能需要特定的工具或技能水平才能有效修复问题。如果企业没有合适的工具或资源进行修复，就会对MTTR产生影响。

监管约束。在一些领域，维修需要符合监管标准。若要满足合规性所需的时间，可能会影响MTTR。

了解影响MTTR的变量，可以帮助企业实施策略、运用工具和采取最佳做法，以优化修复流程并缩短MTTR。

如何缩短平均修复时间(MTTR)？

厘清资产。为了缩短MTTR，企业必须能够快速且高效地访问其系统。但是，如果没有厘清资产，这就是一项几乎不可能完成的任务。企业可以通过维护环境中所有资产的实时情况（包括位置、状态、如何使用、它们之间的交互等）来快速检测故障、防止意外停机、改善维修决策、以及有效分配资源。这些都有助于缩短MTTR。

有效的网络分段。有效的网络分段通过限制网络中的横向移动，可以隔离问题，并且快速诊断和修复问题。它还可以更快地排除故障、有效地维护、以及更好地监察。企业可以实施普渡模型（Purdue Model），普渡模型展示了将 IT 网络（第 4 层和第 5 层）与 OT 环境（第 0 层到第 3 层）分段的最佳实践，通过提高 IT 网络安全性、简化管理流程和加强 OT 网络可靠性，帮助缩短MTTR。下图是按照普渡模型配置的工业网络标准架构，工业设备位于第 0 层到第 3 层。

持续威胁检测。有效的威胁检测在缩短MTTR方面起着关键作用，因为在异常和潜在的危险事件升级之前，它能帮助企业识别出来。通过使用多个检测引擎，企业可以分析所有资产、通信和流程，以生成行为基线，该基线表征合法流量，从而清除误报。一旦检测到威胁，就可以快速响应，并且防止相同或类似威胁再次出现。

实施安全访问解决方案。缩短MTTR的最有效方法是实施专为CPS环境构建的安全远程访问解决方案。正确的解决方案通过加快解决问题的速度、在低带宽条件下运行、确保系统的高可用性以及维持关键站点的生存能力，以有效地缩短MTTR。同时，确保关键系统持续运行和安全。Claroty xDome SA（Secure Access，安全访问）是一款专为CPS设计的云解决方案，为第一方和第三方用户提供顺畅且可靠的远程访问。

2024年 4 月，Claroty 在 Gartner《创新洞察：CPS安全远程访问解决方案》报告中被列为代表性供应商（Representative Providers）。Gartner《创新洞察：CPS安全远程访问解决方案》报告中提到，“事实证明，传统的 VPN 和基于跳转服务器的方法越来越不安全，管理起来也越来越复杂。此外，它们通常缺乏对单个设备的细粒度访问控制，而是提供对整个网络的访问。”同时，MTTR是网络安全主管和CISO的重要指标，他们需要确保整个网络（IT 和 OT 环境）正常运行。Claroty xDome SA 可以让 OT 工程师随时随地更快地、安全地连接资产和排除故障，并解决可能导致流程中断或操控的可利用漏洞，从而缩短MTTR和加强OT网络安全。

文字与图片参考来源：claroty.com、gartner.com

审核编辑 黄宇