關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 營運技術
顯示分類
2025.10.20
標準與框架/營運技術
隨著工業系統的現代化,自適應 OT 網路安全取代了拼湊式防禦
OT網路安全格局的劃時代轉變

營運技術 (OT) 網路安全格局正在不斷發展,朝向自適應 OT 網路(註)安全邁進,而傳統防禦機制往往忽略了這一點。最新的 OT 安全功能採用人工智慧驅動的異常識別、複雜的網路微分段和靈活的加密技術,更有效率地保護工業系統的連接安全。

註:
「自適應 OT 網路安全」是指能根據工業環境中即時變化的風險、威脅和作業需求,自動調整防護策略的安全架構。它強調動態監控、智能回應與持續優化。在 OT(營運技術)環境中,傳統的靜態安全措施往往無法應對日益複雜的威脅,例如勒索軟體、供應鏈攻擊或民族國家行為者的滲透。自適應 OT 網路安全正是為了解決這些挑戰而提出的一種進階策略。
核心概念

1.自適應性:系統能根據環境變化(如設備異常、網路流量異常、外部威脅)即時調整安全策略。

2.持續監控與分析:透過 AI、機器學習或行為分析技術,即時偵測異常行為並預測潛在風險。
3.動態防禦:根據風險評估,自動啟用網路分段、存取控制、隔離策略或資產保護措施。
4.整合 IT/OT 安全:在 IT/OT 收斂的架構下,自適應安全能跨域協調防禦,避免單點失效。


採用以證據為基礎的風險模型正在改變OT網路風險的評估方式,這是一個非常重要的立場轉變。這種量化旨在使OT網路風險與其他業務彈性框架相提並論,從而促進其在不斷變化的標準(例如NIS2和ISA/IEC 62443)下的合規性。

隨著供應鏈成為攻擊面的薄弱環節,OT防禦必須拋棄傳統邊界概念才能維持有效性。當今的安全策略涵蓋工廠設施、供應商、第三方供應商和合作夥伴生態系統。為了在保持營運敏捷性的同時降低外部依賴的風險,組織必須高度重視供應鏈遙測、即時風險監控和供應商風險管理

工業系統的數位轉型使得傳統的OT網路邊界變得模糊,過去仰賴物理隔離和靜態防禦的「拼湊式防禦」已不足以應對當前國家級行為者和勒索軟體集團所發起的複雜攻擊。自適應OT網路安全的核心,在於從被動的可視性工具轉變為具備持續驗證與客製化防禦能力的自主防禦力量。這種轉變不僅是技術上的升級,更是營運風險管理策略的根本變革,它透過在不中斷營運的前提下彌補隱形安全漏洞,確保工業環境的數位化旅程得以安全且持續地進行。

 

工業網路的潛在盲點與現代挑戰

儘管技術不斷進步,但工業控制系統(ICS)環境仍存在幾個重大安全盲點,成為攻擊者利用的目標。首先,未加密的ICS協議是主要的風險點。許多核心的工業協議(如Modbus、BACnet、Ethernet/IP)在設計之初並未考慮加密,這為遠程協議利用創造了條件,例如2024年報告的FrostyGoop惡意軟體。其次,身份管理在OT環境中往往被忽略。OT網路通常設置獨立的Active Directory以防範IT到OT的橫向移動,但缺乏對AD和身份利用的監控,使得身份成為一個巨大的隱患。

再者,遺留且未受支持的軟體版本,例如源於1980年代且有嚴重安全漏洞的SMBv1協議,在許多OT網路中依然存在,使系統極易受到WannaCry等勒索軟體的攻擊。營運商和供應商之間對軟體供應鏈漏洞的認知不足,以及修補程式的缺失或難以部署,構成了重要的盲點。此外,許多被認為「非關鍵」的遠程站點缺乏可視性部署,導致未受控的遠程存取、瞬態/供應商設備、微分段漂移和未追蹤的PLC變更等問題。最關鍵的盲點或許在於,將網路風險映射至實際的營運影響的缺失,使得安全支出難以精確對準關鍵風險。

 

證據基礎風險模型的徹底革新

傳統OT網路風險評估多為定性分析(例如紅/黃/綠色等級),難以向高層和董事會清晰傳達風險的財務和營運影響。新興的證據基礎風險模型正在從根本上改變這一現狀,轉向可量化的、以證據為依據的評估

這種量化模型的優勢在於:

  1. 實用洞察力與投資優先排序的精準化:

    • 量化營運與財務衝擊: 模型不再僅僅標註「高」或「中」風險,而是能夠轉化為具體的營運指標(如預計的停機小時數$X$)和財務指標(如潛在的收入或聲譽損失達$Y$美元)。這種貨幣化和營運衝擊的量化,使得OT網路風險能夠直接與企業層級的業務彈性框架相提並論。

    • 支援策略性決策: 為高階主管和董事會提供具體的、可辯護的風險範圍和權衡分析。例如,透過識別和升級最具風險的設備,企業能夠將安全投資與業務目標緊密結合,實現更優化的資源分配,避免無謂的安全支出。

  2. 法規遵循的標準化與促進:

    • 對標國際標準: 量化數據的輸出格式與邏輯,旨在與不斷發展的國際標準(如歐盟的NIS2指令、ISA/IEC 62443系列標準)中的風險管理要求對齊。這不僅簡化了合規流程,也為監管機構提供了可驗證和衡量的證據,證明組織已達到所需的防禦水平。

    • 透明度與客觀性: 擺脫依賴個人經驗和主觀判斷的定性評估,提供一個更客觀、更透明的風險衡量基礎,有助於在多方利益相關者之間建立共識。

  3. 先進評估工具與威脅情報的深度整合:

    • 利用AI與紅隊測試: 採用自動化紅隊測試和AI驅動的網路戰術模擬(例如開源的CAI框架),不僅能評估歷史攻擊,還能對新興威脅進行量化。具體而言,可以利用如MITRE的Caldera for OT框架執行針對OT協議的攻擊利用,精確衡量風險暴露程度。

    • 精確風險預測: 透過蒙特卡洛模擬(Monte Carlo Simulation)等技術,對特定威脅場景下的停機時間和損失進行估計,從而提供一個風險範圍(而非單一數值),使決策者能夠在不確定性下做出更明智的選擇。

  4. 供應鏈透明化與零日風險的揭示:

    • SBOMs的戰略價值: 要求供應商提供百分之百完整且正確的建置時軟體物料清單(Build-time SBOMs),允許營運商準確量化漏洞管理狀態,並避免誤報和漏報。

    • 揭示隱藏風險: 藉助SBOMs,可以找到系統中潛在的傳遞依賴性(Transitive Dependencies),這些是過去未曾識別的風險來源。更重要的是,現代工具能夠分析已部署的二進位檔案,量化OT設備軟體中潛在的零日(Zero-day)風險,使公司能夠更早地評估和降低未來的威脅。

總體而言,量化模型代表OT安全策略從「我們有保護措施」到「我們的保護措施將潛在損失降低了$Z$百分比」的飛躍,從根本上改變了風險的討論方式和管理模式。

 

現代安全策略與遺留工業現實的結合

工業環境中的許多關鍵基礎設施設備,例如那些為確保複雜操作而設計的PLC和DCS系統,其生命週期長達20到40年,具有高度的韌性和效率。將這些系統稱為「遺留」不如說是務實的設計選擇。由於OT系統對穩定性和可用性要求極高,傳統IT環境中「永遠不要信任,永遠驗證」的零信任模型(Zero Trust, ZT)無法直接適用。強制要求這些設備對每一次操作進行身份驗證和重新驗證,可能會破壞其工作流程,導致流程中斷或操作失敗。

因此,OT環境的安全目標是:應用零信任中可以轉化且不干擾營運的元素。這要求採取非侵入式、以營運為中心的方法,專注於限制橫向移動和存取控制,而非對設備本身進行改造。

有效的策略包括:

一、 零信任原則的非侵入式應用與控制

  1. 路徑控制而非設備改造(Control Paths, Not Retrofit Devices):

    • 零信任的應用應聚焦於控制數據和命令的傳輸路徑,而不是試圖將認證功能硬性地追溯安裝到不支援的舊設備上。這意味著將控制點放置在網路邊界和關鍵傳輸通道上。

  2. 身份感知區域與代理即時存取(Identity-Aware Zoning and Brokered JIT Access):

    • 設置身份感知區(Identity-Aware Zones): 在OT網路層級或通道邊界處,部署能夠識別使用者、設備和應用程式身份的安全區域或網關。

    • 代理即時(Just-in-Time, JIT)遠程存取: 遠程存取必須通過受代理的通道。結合多因素驗證(MFA)、設備姿態檢查,並強制執行會話記錄和嚴格的時間限制,確保存取權限僅在需要時授予,並在任務完成後立即撤銷。

  3. 微分段與DPI驅動的策略(Micro-segmentation with DPI-Informed Policies):

    • 使用分段控制: 透過微分段技術,將脆弱的遺留資產隔離在極小的安全區塊中,以大幅縮小攻擊的爆發半徑(Blast Radius)。

    • 應用DPI-Informed策略: 利用深度封包檢測(Deep Packet Inspection, DPI)來分析ICS協議的內容。這使得安全策略可以基於特定的協議、功能碼和數據內容來進行制定和執行,例如:強制實施協議和功能碼的允許列表(Allow-lists),只允許特定資產之間進行預期的操作。

二、 持續驗證與非干擾式威脅檢測

  1. 網路欺騙(Cyber Deception)作為預防性控制:

    • 對於難以修補或監控的遺留系統,網路欺騙是一種極為有效的威脅檢測策略。透過在OT環境中部署代表遺留基礎設施的誘餌(Decoys),組織可以在不影響實際生產系統的情況下,引導和檢測已經繞過周邊防禦的攻擊者。這種方法能夠有效識別內部和橫向移動的威脅。

  2. 模擬與離線測試(Simulation and Offline Testing):

    • 利用先進的模擬能力,對攻擊路徑進行持續建模,並在離線環境中測試微分段和存取策略的有效性。

    • 分階段實施: 建議從「唯讀(Read-only)」模式開始,證明策略的穩定性後,再逐步過渡到強制執行(Enforcement)。使用「假設情境(What-if)」模擬來確保在不引入流程風險的前提下,安全控制能有效發揮作用。

三、 基礎身份與上下文管理

  1. 身份與存取管理(IAM)和數據保護的結合:

    • 在可行且不干擾營運的地方,實施IAM和數據保護措施。

    • 結合微/分段、情境化監控(Contextual Monitoring)、全面的日誌記錄和數據驗證,來支持這些系統。

    • 專注於東/西向流量分析: 採用被動或低互動性的新方法,實現真正的東西向(East-West)流量監控和分析,提供動態、情境化和確定性的檢測能力,了解設備如何互動,量化這些互動的實際風險,並確定優先處理事項。

最終目標是保護工業環境的現狀,同時為未來下一代設備的到來鋪設安全的基礎設施。這是一種務實且可持續的安全架構,在增強OT環境安全性和問責制的同時,確保營運連續性。

 

超越廠區邊界:供應鏈作為攻擊向量的防禦重塑

隨著攻擊者越來越多地利用供應鏈和合作夥伴生態系統,OT安全防禦必須超越傳統的工廠或設施邊界,重新定義其防禦範圍。外部依賴性帶來的風險要求OT安全採取深度防禦的措施,涵蓋供應鏈風險、外部威脅和內部人員威脅。

關鍵的供應鏈安全策略包括:

  1. 供應商與合作夥伴視為非信任對象: 將連線性透過身份感知區、代理即時供應商存取、設備姿態檢查和完整的會話記錄進行。

  2. 隔離與驗證: 將供應商網路隔離在非信任或半信任區域。要求供應商提供簽名的建置(Signed Builds)、軟體保證的證據和安全的SDLC(軟體開發生命週期),並在升級之前對更新進行隔離和離線驗證。

  3. 強制執行安全合約: 將漏洞和洩露通知SLA、證據日誌記錄和修復時間表等義務納入合約。持續重新驗證信任和存取權限,並撤銷過時的整合。

  4. 存取控制與監控: 實施零信任網路存取(ZTNA)、隔離區(IDMZ)和身份與存取管理(IAM)作為周邊安全組件,以減少外部依賴的風險。

  5. 實時風險管理: 對供應鏈遙測、即時風險監控進行高度重視,透過持續的網路監控和網路欺騙來檢測繞過預防性安全控制的威脅。

儘管無法控制整個外部生態系統,但組織可以控制「外部」如何與其營運互動。這意味著嚴格的驗證和接受測試、限制外部設備、執行最低權限原則,以及對遠程存取進行嚴格限制、密切監控和詳盡日誌記錄。最終,環境內部的分段和情境化監控仍是管理外部互動風險的最有效工具。

 


未來趨勢:安全與營運靈活性的協調

OT網路安全正在從被動的可視性功能發展為自主防禦部隊,這需要縮小創新差距。未來的發展趨勢包括:

  • AI驅動的威脅回應顯著增加。

  • 在新工業建置中融入網路安全設計原則(Cyber-by-Design)

  • 將網路風險量化與企業治理深度融合,使安全決策與業務目標保持一致。

預期下一波浪潮將實現安全與營運靈活性之間的和諧統一,將OT網路安全重新塑造成一個戰略性的業務推動者。這不僅保護了核心基礎設施免受日益增長和不斷變化的威脅,更重要的是,它確保了工業企業能夠在數位轉型的浪潮中,維持其韌性和營運優勢。


資料來源:https://industrialcyber.co/features/as-industrial-systems-modernize-ot-cybersecurity-moves-from-patchwork-defense-to-continuous-adaptive-protection/
 
分析工業系統現代化進程中,營運技術(OT)網路安全如何從傳統拼湊式防禦轉向持續自適應保護。