目前，安全部門負責人仍然缺乏對本企業(yè)數(shù)字化計劃至關重要的運營技術（OT）環(huán)境風險可見性的認識。安全部門負責人現(xiàn)在有了一個可同時管理并衡量 IT 和 OT 網(wǎng)絡風險的平臺。

業(yè)務驅動的數(shù)字化計劃越來越需要通過互聯(lián)的 IT 和 OT 系統(tǒng)來優(yōu)化生產(chǎn)、推動創(chuàng)新和加強可持續(xù)性。但是，負責管理并衡量網(wǎng)絡風險的大多數(shù)安全負責人卻缺乏對 OT 環(huán)境可見性的認識。

傳統(tǒng)的 IT 資產(chǎn)發(fā)現(xiàn)和漏洞評估工具在 OT 系統(tǒng)中并未得到廣泛應用，因為它們可能會讓運營中斷。因此，安全部門負責人不知道他們的 OT 環(huán)境中究竟安裝了哪些資產(chǎn)，需要調查哪些意外連接，或者必須修復哪些高優(yōu)先級漏洞。結果就是：安全部門負責人無法管理并衡量 OT 環(huán)境中的網(wǎng)絡風險。

有效的風險管理建立在對整個 IT/OT 攻擊面的統(tǒng)一認識基礎之上，這種認識必須兼顧OT 網(wǎng)絡（許多 OT 網(wǎng)絡包括基于 IT 的系統(tǒng)）和 IT 網(wǎng)絡。問題在于，識別和評估不同的IT 和 OT 設備都需要專門的技術：對 IT 設備的主動掃描和對 OT 設備的被動監(jiān)控。目前，這些專業(yè)技術的缺失導致數(shù)據(jù)脫節(jié)，因而，人們對融合網(wǎng)絡風險的認識也支離破碎。Tenable 認為，對于組織而言，這種支離破碎的認識是一個重大的網(wǎng)絡風險管理差距，值得處理。

IT 安全部門負責人需要與 OT 人員合作，將現(xiàn)有 IT 流程和控制擴展到 OT環(huán)境。當然，為適應獨特的 OT 制約因素，還需要進行調整。各企業(yè)可能會試圖為 IT 和 OT 網(wǎng)絡獨立實施不同的流程和控制。這種方法一方面能避免在 IT 和 OT 人員之間達成一致帶來的挑戰(zhàn)，但是另一方面，它卻擴大了網(wǎng)絡風險管理差距，增加了發(fā)生導致業(yè)務中斷的網(wǎng)絡事件的可能性。

例如，孤立和脫節(jié)的 IT 和 OT 資產(chǎn)清單可能會對那些支持重要生產(chǎn)線的資產(chǎn)造成盲點，而對依賴 IT 服務器的重大升級可能會導致整個生產(chǎn)線的中斷。同樣，由于 IT 服務器對制造流程的重要性，對 IT 服務器中存在的漏洞進行補救可能優(yōu)先級更高。

Tenable 為安全部門負責人提供了一個網(wǎng)絡風險管理解決方案，它同時涵蓋 OT 和 IT 網(wǎng)絡，從車間直至企業(yè)應用都被納入其中?，F(xiàn)在，選定的資產(chǎn)和漏洞數(shù)據(jù)可以從 Industrial Security（一款針對工控系統(tǒng)的安全解決方案）導入 Tenable.sc?（以前的SecurityCenter）。安全部門負責人現(xiàn)在可以依靠一個平臺來同時管理并衡量 OT 和 IT網(wǎng)絡中的網(wǎng)絡風險。

資產(chǎn)清單針對必須保護的資產(chǎn)提供了最新視圖。漏洞評估發(fā)現(xiàn)并優(yōu)先考慮薄弱環(huán)節(jié)，如果沒有得到修補，這些薄弱環(huán)節(jié)可能成為攻擊者破壞控制系統(tǒng)和關鍵運營流程的途徑。通過自定義儀表板和報告模板可以簡化利益相關者之間的溝通。

與 Industrial Security? 一起使用時，Tenable.sc? 本地網(wǎng)絡風險管理平臺包括多個傳感器和聚合點，每個傳感器和聚合點都針對 IT 和 OT 網(wǎng)絡的要求進行優(yōu)化。

Tenable.sc? 提供從 IT/OT 網(wǎng)絡中的 Nessus 掃描工具和工業(yè)安全控制臺收集的統(tǒng)一信息視圖

此外，Tenable.sc? 與Tenable 網(wǎng)絡風險管理生態(tài)系統(tǒng)中的許多合作伙伴集成，從而在利用現(xiàn)有投資的同時強化補救/響應流程。例子包括：  

• 西門子專業(yè)人員可提供和部署 Industrial Security 系統(tǒng)，提供一系列工業(yè)控制系統(tǒng)設計和風險管理服務。

• ITSM解決方案，例如 ServiceNow 安全運營漏洞響應，用于同步資產(chǎn)記錄，納入資產(chǎn)關鍵性，用以加強風險評分、管理修復工作流和報告狀態(tài)。