研究背景

隨著工業控制系統（Industrial Control Systems, ICS）與營運技術（Operational Technology, OT）日益與資訊技術（IT）深度融合，資安風險已超越單一系統的範疇，逐漸擴展到能源、運輸、製造、太空通訊等關鍵基礎設施領域。過去十年間，雖然 NIST CSF、NERC CIP、IEC 62443 等框架相繼推出，為組織提供安全管理的基本原則，但實務中仍存在數個挑戰：

1. 治理落差：框架與標準在制度面完整，但在落地執行與持續監測上仍有不足。
2. 行業差異：不同行業（能源、運輸、太空）面臨的風險型態差異大，通用框架難以精準應對。
3. 實務威脅：如 Erlang/OTP 漏洞攻擊事件，顯示攻擊者能快速利用已知弱點滲透 OT 環境，而修補延遲依舊普遍存在。

問題陳述

在當前產業環境中，雖然多數企業已採用 NIST CSF、NERC CIP 或 IEC 62443 等資安框架與合規標準，但實務上普遍存在「治理與執行落差」，導致框架僅停留在制度或稽核層面，缺乏能真正提升防護力的落地措施。這種缺口在 ICS 與 OT 領域尤為明顯，因為補丁部署受限、營運不中斷的需求，使得漏洞治理往往延遲，實際防禦與框架要求之間產生顯著落差。
同時，新興領域的挑戰也日益突顯。智慧運輸、太空通訊等基礎設施逐漸被納入數位化與網路化，但現有框架尚未提供完整的適用性，導致業界在面對新型攻擊手法時缺乏可遵循的基準。此外，跨產業與跨基礎設施的互賴性日趨緊密，例如能源、通訊與交通系統相互依存，一旦其中一環遭受攻擊，可能迅速引發連鎖效應，放大系統性風險。
綜合來看，產業正面臨三重挑戰：框架落地不足、新興領域治理缺口，以及跨產業互賴所帶來的系統性風險。若缺乏一條清晰的安全強化路徑，現有框架將難以轉化為實際防禦能力，產業也將在日益嚴峻的威脅環境中持續暴露於高風險之下。

1. 產業困境：目前許多企業雖採用框架或合規標準，但缺乏具體路徑來縮短「框架規範」與「現實防禦」之間的差距。
2. 新興挑戰：太空通訊、智慧運輸等新領域逐漸浮現，現有治理模式尚未充分覆蓋。
3. 系統性風險：跨產業、跨基礎設施的互賴性，使單點防護難以確保整體韌性。

議題分析

1. 框架不足與修正

• 從 DOE OIG 對 NIST CSF 的審視報告可以看到，即使 NIST CSF 已成為國際通用的資安框架，但在實際落地上仍存在「制度化不足、缺乏持續監測、跨單位協調不佳」等缺陷。這反映出框架雖提供了方向，但在組織治理與執行層面，缺乏足夠的追蹤與稽核機制。

 

• 另一方面，NIST 最新提出的「運輸資安框架」徵求公眾意見，顯示其意識到不同行業需要更細緻的版本，並且要透過利害關係人參與來補強框架的適用性。NERC 的 2025 RISC 報告則進一步提醒，在能源與電網場域，供應鏈風險與跨基礎設施的互賴性，會造成超越單一組織的系統性威脅。這些觀點共同指出：傳統框架不足以應對跨領域、跨組織的風險，需要透過行業定制化與動態治理機制來修正。

2. 關鍵基礎設施的「互賴性」與供應鏈壓力

3. 新領域的挑戰

4. 現實攻擊壓力：Erlang/OTP（CVE‑2025‑32433）對 OT 網路的啟示

行動規劃與建議措施

1. 行動策略與方向

• 目標定位：以 NIST CSF 2.0 六大功能 為核心，融合 DOE OIG 改善建議、NERC 供應鏈風險、Transit Profile 行業化方法，建立 跨域治理 + 行業定制 + 漏洞實戰應對 的三層次資安計畫。
• 實施範圍：涵蓋 IT、OT、太空／運輸領域，並納入供應鏈與外部合作方。
• 執行原則：快速止血 → 制度化 → 長期韌性化。

2. 工作分解結構

• 治理建置

• 建立跨域資安治理委員會
• 制定 CSF 2.0 + Transit Profile 基準
• 供應鏈安全政策（SCRM / BOM / 稽核表）

• 資產與弱點管理

• 建立資產清冊 + SBOM
• KEV 漏洞追蹤與 48 小時映射
• OTP 漏洞修補計畫（分批 OTA、維運視窗）

• 保護措施

• OT/IT/網段分區與微分段
• SSH 強化（最小權限、多因子、金鑰託管）
• ICS及OT硬體簽章與更新驗證

• 偵測與監測

• SOC 規則更新（OTP/SSH UEBA、GNSS 干擾指標）
• OT East-West 流量可視化

• 事件回應與復原

• 建立 OTP 漏洞隔離 Runbook
• 年度跨域演練（OT 漏洞 + 太空通訊中斷）
• 建立復原回退機制（修補後驗證、替代鏈路、備援控制站）

控制對應：把「框架」翻成「行動」

組織可以將前述分析的議題映射到 CSF 2.0 功能，並參照 NIST 新版事件回應 SP 800‑61r3 的功能取向生命週期，分別在治理、識別、保護、針測、回應、復原等六個領域，構建相應的政策、程序與措施：

1. Govern（治理）：

• 建立跨域風險委員會（IT/OT/法遵/供應商/運營），明確 SCRM 政策與責任；
• 訂定「KEV 48h 盤點、7–30 天修補/補償控制」政策；
• 把行業 Profile（如 Transit、未來能源/太空）納入年度治理目標。

2. Identify（識別）：

• 完成 SBOM/資產清冊/服務埠盤點；
• 為ICS、OT裝置；OTP、SSH 服務、控制系統、SCADA 外聯作「標註 + 風險分級」。

3. Protect（保護）：

• 網段分區與微分段（OT、地面站、衛星通訊相關設備與管理平面分離）；
• 最小權限 + 強驗證於所有 SSH/跳板機；
• OTA/修補視窗與回退機制；
• 供應商硬化基線與交付驗證（含韌體簽章）。

4. Detect（偵測）：

• 對 SSH 行為建立 UEBA/威脅偵測規則（異常埠如 2222、暴力嘗試、意外金鑰交換）；
• 通信鏈路品質異常、GNSS 欺騙/干擾指標；
• OT East‑West 流量可視化（工控協議 Deep Packet 解析）。

5. Respond（回應）：

• 預建針對 CVE‑2025‑32433 的隔離/封鎖 Runbook；
• 衝擊評估（BOM → 易受影響服務 → 風險等級）；
• 與供應商/同業 ISAC 協同處置。

6. Recover（復原）：

• 關鍵控制器/地面站備援配置與演練；
• 修補後回歸驗證（功能/安全/效能三維）；
• 針對治理層回饋 學習循環（度量 → 治理看板）。

強化工控系統安全的150天落地藍圖

以行動開始日(T date)為基準，展開120的落地藍圖：

1. Stage 1：T+n 天（安全議題應變）

• 完成 Erlang/OTP/SSH 服務盤點與曝露面掃描；
• 關閉外露 2222/弱口令與未授信金鑰；
• 針對 KEV 清單建立「48h 資產對應」機制；
• SOC 納管 OTP 指標、SSH 行為告警。
• KPI：外露 SSH 服務數下降 ≥80%；KEV 資產映射覆蓋率 ≥95%。

2. Stage 2：T+90 天（制度化）

• 發布「CSF 2.0 治理基準 + 行業 Profile（Transit 作模板）」；
• OT/IT完成網段分區與跳板機；
• 建立修補視窗與回退流程；
• 導入供應商安全評估表（含韌體簽章/更新來源）。
• KPI：高風險設備分區覆蓋率 ≥90%；修補視窗遵循率 ≥85%。

3. Stage 3：T+150 天（韌性化）

• 完成跨域演練（OTP 漏洞情境 + 通訊受干擾情境）；
• 建置治理看板（KEV 時效、弱點平均修補天數、分區合規率、偵測/回應 MTTD/MTTR）。
• KPI：高風險弱點平均修補時間（MTTP）< 14 天；重大事件 MTTD/MTTR 各降 20%。

風險與挑戰

1. 技術風險

• 已知漏洞治理延遲

• 風險說明：如 Erlang/OTP 漏洞案例，OT 環境受限於停機、版本相容性，往往導致修補延遲，形成持續暴露。
• 緩解措施：建立 KEV → 資產對應 → 快速修補或補償控制的流程；透過網段隔離與虛擬補丁，減少暴露面。

• 新興領域缺乏安全基線

• 風險說明：如能源、車輛、太空與運輸等領域缺乏國際標準化安全規範，導致治理與操作不一致。
• 緩解措施：參考 NIST CSF 行業化 Profile 模式，推動自有基準；並與產業聯盟（如 Space ISAC、運輸安全委員會）建立資訊分享機制。

• 偵測與回應能量不足

• 風險說明：現有 SOC 偵測規則多偏向 IT，對 OT 流量與太空鏈路監測有限，事件平均偵測時間（MTTD）過長。
• 緩解措施：導入 UEBA、OT Deep Packet Inspection、GNSS 干擾監測指標；並強化跨域威脅情報分享。

2. 法規與合規風險

• 框架落地不一致

• 風險說明：DOE OIG 報告指出 NIST CSF 雖被廣泛引用，但在實務執行上落差大，導致審計與法遵風險。
• 緩解措施：制定 CSF 2.0 + 行業 Profile 為內部治理標準，並建立稽核清單與年度檢查。

• 跨國與跨產業合規差異

• 風險說明：不同司法管轄區對 OT/車輛/太空/運輸的資安要求不一致，造成合規斷層（例：歐盟 CRA、NERC CIP、FAA 航太安全規範）。
• 緩解措施：採用 共通控制映射（NIST CSF → ISO 27001, IEC 62443, CRA, NERC CIP），減少重複作業，提升審計一致性。

• 供應鏈透明度不足

• 風險說明：第三方軟硬體（如衛星地面站、工控設備）的 SBOM 與更新來源透明度不足，帶來法規與契約責任風險。
• 緩解措施：要求供應商提供 SBOM、韌體簽章與更新來源驗證，並納入合約義務。

3. 組織與人員風險

• 資安人才不足

• 風險說明：NERC 報告已指出資安人才缺口，對能源與關鍵基礎設施特別嚴重。
• 緩解措施：建立 跨域人才池（IT/OT/車輛/太空/運輸），推行內部輪調與專業認證培訓（ISA/IEC 62443、GNSS 安全、衛星通訊安全）。

• 跨部門協調困難

• 風險說明：OT/太空/運輸等領域分屬不同單位，導致治理斷層。
• 緩解措施：建立 資安治理委員會（Govern Function），由 CISO 主導，納入法務、營運、供應鏈部門，確保橫向協作。

• 資安文化不足

• 風險說明：基層操作員或承包商常忽視更新流程或弱化存取控制，造成「人為弱點」。
• 緩解措施：推行 安全文化計畫（定期演練、針對 OTP/SSH/供應鏈攻擊的桌上演練），並把 KPI 與績效掛勾。

參考資料

1. https://industrialcyber.co/reports/doe-oig-report-flags-systemic-shortcomings-across-nist-cybersecurity-framework-functions/

2. https://industrialcyber.co/nist/nist-seeks-public-feedback-on-draft-transit-cybersecurity-framework-aimed-at-reducing-risk-improving-resilience/

3. https://industrialcyber.co/reports/nerc-2025-risc-report-finds-cybersecurity-supply-chain-critical-infrastructure-interdependencies-among-top-reliability-risks/

4. https://www.securityweek.com/hijacked-satellites-and-orbiting-space-weapons-in-the-21st-century-space-is-the-new-battlefield/

5. https://www.securityweek.com/ot-networks-targeted-in-widespread-exploitation-of-erlang-otp-vulnerability/