隨著網路威脅和針對營運技術 (OT) 環境的攻擊日益複雜，工業邊界防禦面臨的挑戰也越來越大。 2024 年，超過 55% 的 OT 安全團隊將邊界安全視為首要任務，這一比例較前一年大幅上升，而前一年幾乎無人提及。這一轉變反映出人們的意識正在改變：一旦攻擊者獲得工業網路的存取權限，僅僅被動地等待是無法阻止入侵的。

攻擊ICS/OT網路的主要途徑仍然是從企業IT網路發動橫向移動，這表示在IT/OT邊界處，網路分段策略仍然無效。攻擊者仍會先攻破企業網路，然後入侵ICS/OT環境，這再次說明工業網路分段的弱點依然存在。如果區域劃分過於鬆散，或者網路採用扁平化模型，攻擊者幾乎可以毫不費力地從企業系統層橫向移動到控制層。

零信任架構提供更強大的安全性，但工業領域的實際情況使實施變得複雜。許多工業控制系統 (ICS) 的使用壽命長達數十年，而且當初設計時並未考慮支援現代身份驗證或加密技術。嚴格的正常運作時間需求也導致對遺留系統進行修補、取代或重新配置時面臨許多挑戰，從而限制了零信任架構的實際應用範圍。

第三方連接進一步加劇了工業控制系統 (ICS) 邊界防禦的壓力。到 2025 年，42% 的製造企業報告曾發生與供應商存取相關的安全漏洞，46% 的企業表示其安全中最薄弱的環節是遠端存取通道。儘管有這些擔憂，許多公司仍未對第三方承包商實施統一的特權存取管理。

工業系統生命週期往往很長，通常超過二十年，這使得問題更加嚴重。過時的硬體和缺乏支援的軟體會悄無聲息地累積技術債務，隨著時間的推移，即使是設計最好的外圍架構也會逐漸被侵蝕。

工業網路分段出錯的地方

工業網路安全專家聯繫了相關人士，以確定企業在劃分工業網路時，尤其是在企業 IT 和控制系統之間的邊界處，最容易犯下哪些後果最嚴重的錯誤。

思科OT安全解決方案經理Andrew McPhee告訴《工業網路安全》雜誌：「如果一個組織從未對網路進行過分段，那麼它首先必須獲得網路可見性。分段是一種風險緩解措施，但風險緩解措施必須從風險評估開始。重點關注IT系統和控制系統之間的邊界，這可能很簡單，例如將防火牆設置為僅監控模式，然後再了解哪些流量應該被限制在防火牆上的目標。

他補充說：但是，隨著你深入了解控制系統網絡，投資 OT 視覺化解決方案將是關鍵，首先要了解有哪些設備以及它們彼此之間的關係。

博思艾倫聯邦 (Booz Allen Hamilton’s federal OT cybersecurity practice) OT/ICS網路安全負責人布蘭登·格萊姆斯(Brandon Grimes)告訴《工業網路安全》雜誌：「我們發現最嚴重的錯誤之一是將IT/OT邊界視為一次性的防火牆部署，而不是必須隨著營運風險而演進的動態控制平面。很多時候，企業創建了一個基本的DMZ，但卻保留了過於寬鬆的規則，包括暴露RDP/VNC、WinRM等服務，甚至是臭名昭著的‘允許任何/任何’規則——這些規則最初是為了故障排除而臨時添加的，但從未被移除。

Grimes指出，另一個反覆出現的問題是按子網路而非按流程或安全功能劃分，這忽略了資產實際的通訊方式。「這會造成信任區域過寬，允許企業資產橫向滲透到控制系統流量深處，並在事件發生時限制控制能力。有效的網路分段需要持續驗證、嚴格控制遠端管理協議，以及根據運行依賴關係（而不僅僅是網路拓撲圖）進行精心設計。」

Xage Security的聯合創始人兼產品高級副總裁 Roman Arutyunov告訴 Industrial Cyber，最嚴重的錯誤是將 IT-OT 邊界視為單一的防火牆檢查點，而不是一系列具有明確定義的存取路徑的強制信任區域。

Arutyunov指出：「許多環境仍然過於扁平化，防火牆規則範圍過於寬鬆，這些規則最初是作為臨時例外而引入，但逐漸變成永久性的規則。」Arutyunov 表示：「共用跳板伺服器、共用憑證，以及未受管理或未經驗證的裝置，經常削弱原本設計的網路分段控制。存取政策往往不夠細緻，授予過多權限，這會大幅擴大攻擊影響範圍，一旦單一帳號或系統遭到入侵，就可能促成橫向移動。」

零信任在工業控制系統 (ICS) 環境中符合實際操作要求

領域專家探討了零信任原則能否有效應用於基於傳統基礎設施建構的工業控制系統環境，或是實際營運狀況是否需要採用不同的架構模型。他們的分析重點在於零信任原則在工業環境中哪些方面能夠切實可行，以及在哪些方面運作限制了其實用性或有效性。

Andrew McPhee表示同意，但零信任在工業控制系統環境中的應用方式必須有所調整。「在營運技術領域，尤其是在傳統環境中，零信任無需在單個設備層面強制執行，而應在系統層面執行。」在OT網路中，可以創建‘信任區域’，其中定義區域內的所有設備彼此之間固有地相互信任，而跨區域通信時則應用嚴格的存取控制。這通常被稱為IEC 62443提出和信道模型 (zones and conduits model)，但這些原則也適用於他的零道原則。

Brandon Grimes說：「當然可以，但零信任（ZT）必須尊重營運現實與安全限制。DOW (戰爭部)的 OT 零信任指引強調，導入應以風險為基礎、分階段推進，而不應在整個架構中強制統一實施。」Grimes 表示。「在實務上，最可行且影響最大的應用位置，是在 Purdue Level 3.5 與 Level 2 之間。在這一層級中，像是歷史資料伺服器（historians）、應用伺服器、工程工作站（EWS）等資產通常運行傳統的受管理作業系統，因此可以支援身分識別強制執行、裝置狀態驗證、微分段以及持續監控，而不會引入不可接受的製程風險。即使這些層級遭到入侵可能會影響營運，但相較於更低層級，它較不可能直接立即造成實體層面的後果。」

Grimes指出，低於Level 2時，操作限制使得傳統的零信任控制更具挑戰性。現場I/O、PLC背板、繼電器和嵌入式控制器通常缺乏原生認證、日誌記錄或代理支持，而引入在線強制機制可能會造成延遲、不穩定或單點故障，從而危及安全性和可用性。

他補充說，在這些層面上，零信任架構（ZT）最好透過上游策略執行、嚴格的管道控制以及在可行的情況下單向存取來實現，而不是以端點為中心的控制。架構模型在原則上沒有區別，但實現方式必須適應工業控制系統的實體特性和安全現實，優先考慮彈性和維護操作，而不是教條式的純粹性。

Arutyunov強調，零信任完全可以應用於工業控制系統（ICS）環境。他指出，雖然許多深埋於傳統控制區域的設備本身無法支援現代身分控制，但這並不意味著零信任不切實際。「無代理、基於網狀結構的架構可以在不引入運營風險或影響可用性的情況下，將基於身份的策略執行擴展到傳統資產周圍。在這些環境中，零信任的實現是通過強大的網絡分段、基於身份的存取控制和嚴格定義的通信策略，而不是依賴於直接部署在脆弱的控制設備上的代理。」

事實上，Arutyunov 指出：「通過為安全系統、控制器和高價值生產線等關鍵資產設定精確的戰略邊界，組織往往能夠從精細化的劃分中獲得最大收益。通過嚴格控制哪些用戶、設備和服務可以與這些資產通信，組織可以顯著縮小影響範圍，並在不給關鍵系統帶來不穩定性的情況下保障運營連續性。」

關鍵基礎設施遭到破壞會暴露工業控制系統（ICS）的防禦漏洞

透過分析近期發生的關鍵基礎設施安全事件，領域專家評估了工業控制系統 (ICS) 邊界防禦在實踐中失效的環節，尤其是在身分強制執行、遠端存取管理、第三方連接以及監控和偵測方面。他們還概述了業界應從這些失敗中汲取的結構性教訓。

McPhee說：「任何暴露在互聯網上的事物都可能被利用。例如，許多運營商仍然依賴 VPN 基礎設施來遠端存取其環境，而我們觀察到的一個行業趨勢是，攻擊者正在利用 VPN 終端節點中的漏洞來入侵網路。當你決定將設備直接連接到互聯網時，你必須負責維護該設備的安全。VPN 通常需要外部集成才能正確執行身份驗證，並且必須在補丁發布後立即應用，否則你的安全將受到威脅。」

McPhee補充說，尚未過渡到零信任網路存取 ( ZTNA ) 技術的組織通常明白風險會增加，但由於他們目前有可行的解決方案，因此他們不會優先考慮降低這種風險。

Grimes詳細指出，近期發生的OT事件表明，如果底層控制措施（包括可見性、身分、遠端存取、第三方連接和偵測）薄弱或缺失，僅靠邊界防禦是不夠的。「在多起備受矚目的案例中，攻擊者透過管理不善的遠端存取服務來獲取存取權限——通常使用預設或共享憑證、暴露的RDP/VNC介面或薄弱的VPN控制，然後由於企業身份結構在IT/OT邊界上被隱式信任，從而提升了權限。」

Grimes也意識到，由於缺乏細粒度的身份強制執行和基於角色的存取控制，攻擊者幾乎可以毫不費力地橫向入侵OT相關係統。第三方連線仍然是常見的攻擊途徑，供應商提供的存取隧道權限過高且缺乏會話監控，實際上創建了可供攻擊者利用的後門。

Grimes指出：「在監控方面，許多組織仍然缺乏專門針對 OT 的偵測能力，因而產生監控盲點，使異常的通訊協定流量、未經授權的指令序列或異常模式在造成影響之前都未被察覺。」Grimes 表示：「這些事件凸顯出一些結構性的教訓：在 OT 環境中，身分應被視為主要的控制平面；遠端存取應受到嚴格限制，並採用多重身分驗證進行驗證；第三方存取不應使用固定的通道，而應透過強化分段與持續監控的方式進行中介管理；此外，偵測機制也必須針對工業通訊協定與預期的製程行為進行調整。」

此外，Grimes還補充說，外圍加固必須讓位給以彈性為導向的控制措施，這些措施應強制執行最小權限原則，持續驗證身份，並提供必要的可見性，以便在敵方活動降低實體操作之前檢測和應對這些活動。

Arutyunov指出，故障通常源自於身分驗證機制薄弱、憑證共享或管理不善、VPN存取權限過於寬鬆，以及很少審查或限制時間的持續性第三方連線。此外，營運技術（OT）領域常常過度依賴監控，而監控往往不完整或不一致。因此，應優先考慮採取預防性保護措施，在事件發生之前限制存取並控制風險。

Arutyunov表示：「只有當這些眾所周知的風險模式在實踐中得到消除，而不僅僅是在政策層面得到認可時，才能取得實質進展。為了成功實施零信任，組織必須用比傳統方法更簡便、更符合實際操作的控制措施來取代不良習慣。新用戶（包括第三方用戶）的配置應該簡單且自動化，這樣共享憑證就會過時，存取權限的授予和撤銷也可以快速完成。」

他還補充說，政策的製定和執行必須簡化，預設應不授予任何長期權限。存取權限應該恰到好處，並且適時有效，同時還要保持對運營的敏銳洞察力，確保安全控制不會幹擾可用性、安全性或維護工作流程。

在不減慢生產速度的情況下確保第三方 ICS 存取權限

領域專家研究了組織如何確保供應商和承包商能夠存取工業系統，同時又不中斷營運連續性或削弱整體安全態勢。McPhee表示：「承包商遠端存取有兩個非常重要的原則——安排存取時間和限制其存取權限。當然，我們還需要確保身份驗證和行為安全檢查，以確保用戶身份合法。但通常情況下，供應商或承包商存取網路是為了完成一項特定的任務。」

他補充說：「您的遠端存取解決方案不應是『始終在線』的。當需要存取時，無論是下週還是現在，都應該安排存取時間，並設定一個明確的時間窗口，在該窗口外撤銷存取權限。這意味著，即使帳戶被盜用，攻擊者也只能在承包商設定的時間窗口內登錄才能獲得存取權限。」

此外，McPhee指出，用戶應該只看到他們需要看到的內容。如果一台機器發生故障，承包商可以在預定的時間內存取這台機器。他們不需要在預定時間段內存取其他14台機器，因此應該關閉對其他機器的存取權限。

Grimes指出，組織應透過受控的、策略強制執行的路徑來管理供應商和承包商的存取權限，理想情況下應使用專用的安全遠端存取（SRA）解決方案，而不是使用持久的跳躍伺服器、VPN隧道和共享憑證。「存取應終止於Level 3.5/3邊界內的受監控跳轉主機，並具備多因素身份驗證（MFA）、設備驗證和即時配置功能。會話應有時限、紀錄，並限制於符合最小權限原則的特定資產和協議。對於傳統的Level 2及以下資產，通過工程工作站或受監督的會話進行間接存取可以維護流程的完整性。」

他還補充說，目標是實現彈性存取，以便在需要時能夠快速獲得支持，同時防止不受管理的、始終在線的信任關係擴大攻擊面。

Arutyunov表示：「那些在不再需要後仍然保持活躍狀態的傳統供應商帳戶，往往擁有廣泛且持續的存取權限，這構成了一種常見且極易被利用的攻擊途徑。一旦這些途徑被攻破，就會直接導致運營中斷和代價高昂的停機。」

為消除此類風險，Arutyunov 表示，供應商的存取權限應受到嚴格的時間限制，並採取核准機制，同時僅限於明確定義的資產與通訊協定，長期存在且範圍過於寬廣的存取權限應被完全移除。每一次連線會話都應完整記錄，並在適當情況下進行會話錄製，以確保可追責性、支援合規要求，並在發生問題時能夠迅速展開調查。

工業外圍架構存在技術債風險

隨著環境變得更加分散式、雲端連接和軟體定義，領域專家會評估今天做出的哪些邊界架構決策最有可能在未來五年內造成重大的技術債。

McPhee觀察到，與其說是某一項技術在未來五年內明顯造成了技術債務，不如說是架構決策更有可能導致長期複雜性和營運挑戰。

他補充道：「企業不應懼怕『雲端連線』這個詞。雲端與網路截然不同，企業應該建立能夠安全利用雲端的網路架構，而不是抱著永遠不會用到這些技術的心態繼續投資。對時間要求較高的應用程式仍將在本地運行，但我們在行業中看到的許多用於預測性維護或減少運營浪費的創新都利用了雲技術，運營商也希望從中受益於他們作為安全架構師，我們需要為營運技術 (OT) 業務部門提供一條安全路徑的企業。

Grimes指出：「隨著OT環境日益分散化和雲端連接化，傳統的邊界防禦模型——圍繞靜態防火牆和嚴格的DMZ構建——已越來越難以滿足需求。資產不再局限於單一工廠或網路區段；遠端站點、雲端託管服務以及物聯網/工業物聯網設備將攻擊面擴展到遠遠超出『實體』邊區界。

Arutyunov表示：「依賴基於網路位置的隱式信任、廣泛的VPN連接、共享跳轉主機或缺乏自動化的靜態防火牆規則的架構，將會造成巨大的技術債務。沒有定義DMZ、多級隔離和清晰的資料流控制，直接將雲端連接到OT也會增加長期風險跨站點標準化身分、策略執行和遙測對於避免未來複雜性至關重要。

原文連結：https://industrialcyber.co/features/industrial-perimeter-defenses-strained-by-segmentation-gaps-legacy-ics-systems-vendor-access-risks/