主要职责
领导端到端的OT网络安全咨询项目,从初步发现到架构定义和路线图交付。对ICS环境进行初步和详细的风险评估,以识别威胁场景、关键资产和与业务相关的风险。进行网络架构和系统架构审查,以提供OT网络及其组件的清晰全面概述,了解其结构和功能,识别潜在漏洞、设计缺口,并就其管理和安全做出明智决策。与工程、运营、IT和安全利益相关者进行基于访谈的评估。根据威胁建模、运营影响和资产重要性,提供支持以确定每个区域和通道的目标安全级别(IEC 62443)。将风险评估结果转化为工程团队可操作的技术要求。作为CISO、工程领导者和工厂运营之间的可信桥梁,将网络风险转化为运营影响,反之亦然。通过为OT/ICS网络安全项目贡献RFP、工作说明书和服务范围,支持销售团队。支持旨在根据Fortinet专业服务框架发展OT启用服务合作伙伴的项目。
技术技能与知识
具备设计优先考虑可用性、安全性和恢复能力而非纯粹预防的OT安全架构的能力。能够理解ICS/OT网络架构,无论技术如何,并进行详细的技术审查。深入了解Purdue参考模型(ISA-95)以及IT/OT和云融合如何重塑OT攻击面。能够在网络安全背景下应用OT特定风险方法(例如:Bowtie)。在区域和通道(IEC62443)设计方面的专业知识,以确保网络分段有效隔离关键资产。了解OT特定威胁行为者和战术(例如:MITRE ATT&CK for ICS)。了解OT标准和指南,如IEC62443、ISA-TR-84.00.09和NIST SP 800-82。了解功能安全(IEC 61508/61511)与网络安全(IEC 62443)之间的关系。了解工业控制系统(ICS)和架构设计(最好是ABB、Allen Bradley(Rockwell Automation)、施耐德电气或西门子)。了解NGFW、IDS、IPS、SIEM等技术及其在OT环境中的部署,以实施深度防御策略。熟悉主动和被动监控工具(例如:Nozomi Networks、Dragos、Claroty、Tenable)以从资产所有者的OT网络中收集数据。能够解释OT特定的CVE及其对PLC、RTU、HMI等的影响。能够进行现场实地考察以进行物理评估。能够在OT架构中适当地选择和定位监控和保护技术。在建立ICS/OT网络安全治理框架方面展示专业知识,如能够审查现有的和设计新的组织政策和程序、RACI等。了解Fortinet产品,拥有NSE4安全网络认证将是一个加分项。
所需资格与经验
在具有严格正常运行时间和安全限制的现场生产环境中交付咨询项目的经验。经验:在OT/ICS环境中10年以上(例如:公用事业、制造业、石油和天然气、交通运输),包括棕地工业现场。经验:在咨询/风险管理方面5年以上。具有PLC/HMI/SCADA/DCS/SIS方面的经验,如编程、架构设计、FAT、SAT调试过程或离散自动化。认证(优选):ISA/IEC 62443网络安全风险评估专家GICSP(全球工业网络安全专业人员)工业经验的注册信息系统审计师(CISA)。教育背景:电气工程、机械工程、计算机科学或相关领域的学士学位。
