什么是平均修復時間(MTTR)?

對于OT工程師而言，平均修復時間（Mean time to repair, MTTR）是完成工業資產修復或其他必要維護任務所需的平均時間 —— 從工程師連接到資產并啟動維修的那一刻起，到他們完成維修，并斷開與資產的連接為止。一般而言，MTTR越長，已診斷和未診斷的問題所造成的影響就越嚴重。當這些問題涉及嚴重漏洞、配置錯誤、對OT的可用性、完整性與安全性構成重大威脅時，情況尤其如此。MTTR越短，停機和業務運營中斷的風險就越小。

如何計算平均修復時間(MTTR)？

MTTR的計算公式很簡單，就是用總維護時間除以修復次數。

雖然這樣可以算出MTTR，但并非所有的中斷情況都相同，問題的性質和復雜程度可能有所不同。某些系統和設備因特殊規格，而需要更長的修復時間；或者在繁忙時段發生故障，造成了更大的損失。

影響平均修復時間(MTTR)的變量

對于使用遠程訪問解決方案的OT工程師而言，用戶體驗無疑是最大的變量。當解決方案的用戶體驗既不順暢也不可靠時，使用該解決方案的OT工程師不得不面對一些具有挑戰性的狀況，這些狀況可能會延長MTTR，以及增加網絡風險暴露。以下示例場景采用了一種面向 IT 的遠程訪問解決方案，其用戶體驗影響了MTTR。

場景：遠程OT工程師收到可編程邏輯控制器（PLC）配置錯誤的通知，需要在30分鐘內進行緊急修復，以避免停機。

解決方案：采用一種面向IT的遠程訪問解決方案，通過連接到企業VPN的一系列跳轉服務器，提供對OT環境的遠程訪問。

為了連接PLC，OT工程師必須通過4個登錄界面，每個界面都有一套獨立的憑證。

前3個登錄界面需要5分鐘才能通過。當OT工程師到達第4個登錄界面時，忘記了密碼。他們嘗試幾次后，就被鎖定了。

OT工程師打電話給OT經理，請求重置密碼，這花了15分鐘。然后，OT工程師重新通過了4個登錄界面，發現只剩下5分鐘的時間來修復PLC。

當OT工程師連接到PLC時，卻遇到了一個極其復雜的界面，與本地人機界面（Human Machine Interface, HMI）完全不同，不確定去哪里或點擊什么來進行修復。最后，耗盡30分鐘，停機隨之而來。

還有其他值得關注的變量：

檢測和診斷。如果企業沒有全面的資產可視化、先進的監察系統或診斷工具，就難以監察組件和檢測故障。這會延長故障排除時間。

工具和資源可用性。先進的系統可能需要特定的工具或技能水平才能有效修復問題。如果企業沒有合適的工具或資源進行修復，就會對MTTR產生影響。

監管約束。在一些領域，維修需要符合監管標準。若要滿足合規性所需的時間，可能會影響MTTR。

了解影響MTTR的變量，可以幫助企業實施策略、運用工具和采取最佳做法，以優化修復流程并縮短MTTR。

如何縮短平均修復時間(MTTR)？

厘清資產。為了縮短MTTR，企業必須能夠快速且高效地訪問其系統。但是，如果沒有厘清資產，這就是一項幾乎不可能完成的任務。企業可以通過維護環境中所有資產的實時情況（包括位置、狀態、如何使用、它們之間的交互等）來快速檢測故障、防止意外停機、改善維修決策、以及有效分配資源。這些都有助于縮短MTTR。

有效的網絡分段。有效的網絡分段通過限制網絡中的橫向移動，可以隔離問題，并且快速診斷和修復問題。它還可以更快地排除故障、有效地維護、以及更好地監察。企業可以實施普渡模型（Purdue Model），普渡模型展示了將 IT 網絡（第 4 層和第 5 層）與 OT 環境（第 0 層到第 3 層）分段的最佳實踐，通過提高 IT 網絡安全性、簡化管理流程和加強 OT 網絡可靠性，幫助縮短MTTR。下圖是按照普渡模型配置的工業網絡標準架構，工業設備位于第 0 層到第 3 層。

持續威脅檢測。有效的威脅檢測在縮短MTTR方面起著關鍵作用，因為在異常和潛在的危險事件升級之前，它能幫助企業識別出來。通過使用多個檢測引擎，企業可以分析所有資產、通信和流程，以生成行為基線，該基線表征合法流量，從而清除誤報。一旦檢測到威脅，就可以快速響應，并且防止相同或類似威脅再次出現。

實施安全訪問解決方案。縮短MTTR的最有效方法是實施專為CPS環境構建的安全遠程訪問解決方案。正確的解決方案通過加快解決問題的速度、在低帶寬條件下運行、確保系統的高可用性以及維持關鍵站點的生存能力，以有效地縮短MTTR。同時，確保關鍵系統持續運行和安全。Claroty xDome SA（Secure Access，安全訪問）是一款專為CPS設計的云解決方案，為第一方和第三方用戶提供順暢且可靠的遠程訪問。

2024年 4 月，Claroty 在 Gartner《創新洞察：CPS安全遠程訪問解決方案》報告中被列為代表性供應商（Representative Providers）。Gartner《創新洞察：CPS安全遠程訪問解決方案》報告中提到，“事實證明，傳統的 VPN 和基于跳轉服務器的方法越來越不安全，管理起來也越來越復雜。此外，它們通常缺乏對單個設備的細粒度訪問控制，而是提供對整個網絡的訪問。”同時，MTTR是網絡安全主管和CISO的重要指標，他們需要確保整個網絡（IT 和 OT 環境）正常運行。Claroty xDome SA 可以讓 OT 工程師隨時隨地更快地、安全地連接資產和排除故障，并解決可能導致流程中斷或操控的可利用漏洞，從而縮短MTTR和加強OT網絡安全。

文字與圖片參考來源：claroty.com、gartner.com

審核編輯 黃宇