引言

隨著工業控制系統（ICS）與營運技術（OT）在能源、交通、製造等關鍵基礎設施領域的廣泛應用，網路安全威脅對這些系統的影響日益顯著。這些系統不僅支撐著現代社會的運作，還直接影響公共安全與經濟穩定。然而，OT環境的獨特性使其成為網路攻擊者的首要目標。美國網路安全與基礎設施安全局（CISA）與美國海岸警衛隊（USCG）於2025年8月1日發布了一份網路安全諮詢報告，詳細記錄了在對某美國關鍵基礎設施組織進行的主動威脅搜尋（threat hunt）中發現的OT配置漏洞。
雖然此次搜尋未發現惡意活動的證據，但CISA識別出多項潛在風險，包括共用管理帳戶、IT與OT環境間的網路分隔不足，以及日誌記錄與保留策略的缺失。這些問題若不加以解決，可能導致未授權存取、操作中斷甚至物理損害。本報告將深入分析CISA的發現，探討其對關鍵基礎設施的影響，並提供全面的網路安全衛生建議，幫助組織提升安全態勢。

CISA威脅搜尋背景

CISA與USCG在2024年對一家美國關鍵基礎設施組織進行了主動威脅搜尋，旨在檢測潛在的惡意活動或網路入侵行為。此次搜尋採用了多種分析工具，包括主機分析、網路流量監控、工業控制系統（ICS）專用工具、商業雲端分析以及開源情報（OSINT）技術，全面審查組織的IT與OT環境的互連性與安全性。雖然最終未發現惡意行為者的活動痕跡，但CISA的調查揭示了OT環境中存在的多項配置漏洞，這些漏洞可能為攻擊者提供入侵路徑，進而威脅關鍵基礎設施的運作。報告強調，這些問題反映了許多關鍵基礎設施組織在網路安全衛生方面的普遍挑戰，若不採取行動，可能導致災難性後果。

主要發現

CISA的威脅搜尋識別出以下幾項關鍵的OT配置漏洞與網路安全風險：

1. 共用本地管理帳戶與明文密碼
   CISA發現組織內的多個本地管理帳戶使用相同的明文密碼，且這些密碼以明文形式儲存在批次腳本或其他文件中。這種做法不僅違反了基本的安全原則，還大幅增加了未授權存取的風險。一旦攻擊者取得這些密碼，便可輕易在網路中進行橫向移動（lateral movement），存取敏感系統。此外，這些帳戶的密碼未設置到期時間，進一步加劇了安全風險。CISA指出，弱密碼與共用帳戶的問題在OT環境中尤為常見，因為許多組織優先考慮系統可用性而忽視安全性。
2. IT與OT環境間的網路分隔不足
   報告顯示，組織的IT與OT環境之間缺乏有效的網路分隔。例如，標準用戶帳戶可從IT主機直接存取監控與資料採集（SCADA）虛擬區域網路（VLAN），而防火牆或存取控制清單（ACL）的配置錯誤導致TCP端口（如端口21）暴露於SCADA VLAN。這種配置使得攻擊者可能從被入侵的IT工作站利用遠端桌面協議（RDP）或安全殼層（SSH）協議入侵OT系統，進而操縱物理流程或中斷操作。此外，某些OT資產直接連接到網際網路，進一步增加了被外部攻擊者利用的風險。
3. 日誌記錄與保留策略不足
   CISA發現組織缺乏全面的日誌記錄策略，無法建立正常的網路行為基準。這使得檢測異常活動或「活在土地上」（living-off-the-land）技術（如利用有效帳戶T1078）的攻擊變得極為困難。組織的安全資訊與事件管理（SIEM）系統未包含工作站的認證事件日誌，且日誌保留時間不足，限制了事件調查與取證分析的能力。CISA強調，強大的日誌記錄與監控系統是識別潛在威脅的基礎，尤其是在面對高級持續性威脅（APT）時。
4. 遠端存取安全性不足
   組織的遠端存取設置允許本地管理帳戶進行不受限制的存取，缺乏多因素認證（MFA）或嚴格的存取控制。這種配置使得攻擊者可能利用弱密碼、釣魚攻擊或其他簡單技術存取OT系統。此外，部分遠端存取解決方案未正確配置，進一步增加了被入侵的風險。CISA指出，遠端存取是攻擊者常用的入侵路徑，特別是在OT環境中，這些系統通常直接控制物理流程。
5. 缺乏零信任架構
   組織未採用零信任架構，導致對用戶與設備的存取控制過於寬鬆。零信任架構要求對所有存取進行持續驗證，並遵循最小權限原則（principle of least privilege）。CISA發現，組織的網路設計允許過多的不必要連線，增加了攻擊面。

潛在影響

上述配置漏洞若被惡意行為者利用，可能導致以下嚴重後果：

1. 未授權存取與系統操縱：共用密碼與明文儲存的帳戶資訊使得攻擊者可輕易取得管理權限，進而存取關鍵的OT系統，操縱SCADA或暖通空調（HVAC）系統，導致操作中斷或設備損壞。
2. 操作中斷與經濟損失：IT與OT環境間的網路分隔不足使得攻擊者可從IT系統入侵OT環境，進而中斷關鍵基礎設施的運作，造成經濟損失與服務中斷。
3. 物理與安全風險：由於OT系統直接控制物理流程（如電力供應、水處理或交通控制），這些系統的入侵可能導致人員傷亡、環境破壞或基礎設施損壞。
4. 資料洩露與聲譽損害：缺乏日誌記錄與監控使得組織難以檢測與回應網路攻擊，增加資料洩露與聲譽損害的風險。

CISA強調，這些問題不僅限於單一組織，而是關鍵基礎設施領域的普遍挑戰。攻擊者可利用這些漏洞執行勒索軟體攻擊、資料竊取或其他惡意活動，對國家安全與公共福祉構成威脅。CISA與USCG的網路安全衛生建議為應對上述風險，CISA與USCG提出了以下網路安全衛生建議，旨在幫助關鍵基礎設施組織提升安全態勢：

1. 強化密碼管理
   • 立即更改所有預設密碼，並使用複雜且唯一的密碼。
   • 實施密碼到期策略，確保定期更新密碼（建議每90天）。
   • 使用安全的密碼管理工具，避免在腳本或文件中以明文儲存密碼。
   • 對所有遠端存取實施基於釣魚防護的多因素認證（MFA），以提高帳戶安全性。
2. 改善網路分隔
   • 在IT與OT環境之間實施嚴格的網路分隔，使用防火牆、存取控制清單（ACL）及去軍事化區（DMZ）限制不必要的連線。
   • 禁用不必要的網路端口與服務，特別是面向網際網路的設備。
   • 定期審查網路配置，確保OT資產與IT環境隔離。
3. 增強日誌記錄與監控
   • 在端點、伺服器、防火牆及其他關鍵設備上啟用詳細的事件日誌記錄。
   • 保留日誌至少90天至180天，以支援事件調查與取證分析。
   • 將日誌整合至SIEM平台，實現即時關聯與異常檢測。
   • 建立正常的網路行為基準，識別潛在的異常活動。
4. 限制遠端存取
   • 配置所有遠端存取解決方案，遵循最小權限原則。
   • 禁用不再使用的帳戶，減少攻擊面。
   • 使用虛擬私人網路（VPN）技術結合強密碼與MFA，保護遠端存取。
   • 監控遠端存取活動，記錄所有連線嘗試。
5. 實施零信任架構
   • 採用零信任網路架構，確保所有存取均經過身份驗證與授權。
   • 升級應用程式與基礎設施，支援現代身份管理與網路存取實務。
   • 投資技術與人員，實現集中化的網路安全數據管理與分析。
6. 定期漏洞評估與滲透測試
   • 定期進行漏洞掃描與滲透測試，模擬真實世界威脅行為者的戰術、技術與程序（TTPs）。
   • 參考MITRE ATT&CK框架，識別並修補潛在的漏洞。
   • 優先修補已知漏洞，特別是影響OT系統的漏洞。
7. 員工培訓與意識提升
   • 對IT與OT人員進行網路安全意識培訓，強調釣魚攻擊、弱密碼及遠端存取風險。
   • 定期模擬網路攻擊，測試員工對安全事件的反應能力。
   • 建立跨部門的網路安全文化，確保所有員工了解其在保護基礎設施中的角色。

參考資源與進一步行動

CISA與USCG建議關鍵基礎設施組織參考以下資源以提升網路安全態勢：

1. USCG《2024海洋環境網路趨勢與洞察報告》（CTIME）：提供威脅行為者常用的攻擊路徑與技術的詳細分析。
2. CISA跨部門網路安全績效目標（CPGs）：提供實用的網路安全最佳實務指南。
3. NIST SP 800-53 Rev. 5：提供資訊系統與組織的安全與隱私控制框架。
4. MITRE ATT&CK框架：幫助組織了解攻擊者的戰術與技術，並制定相應的防禦策略。

此外，組織應與CISA的網路安全顧問（CSAs）合作，獲取免費的網路安全評估與技術支援。CISA的網站（https://www.cisa.gov）提供了豐富的資源，包括漏洞掃描工具、威脅情報分享及事件回應指南。

總結與行動呼籲

CISA與USCG的威脅搜尋報告揭示了關鍵基礎設施組織在OT環境配置與網路安全衛生方面的普遍問題。共用管理帳戶、網路分隔不足、日誌記錄缺失及遠端存取安全不足等問題，雖然看似基本，卻可能導致災難性後果。CISA的報告不僅為組織提供了具體的緩解措施，還強調了主動防禦與持續改進的重要性。關鍵基礎設施組織應立即採取行動，強化密碼管理、改善網路分隔、增強日誌記錄，並採用零信任架構，以降低網路安全風險。
在當前網路威脅環境日益複雜的背景下，關鍵基礎設施組織必須將網路安全衛生視為核心任務。CISA的報告顯示出日常IT與OT實務中的潛在風險，同時提供了明確的行動藍圖。從強化密碼管理到實施零信任架構，這些措施需要組織投入資源與承諾，但對於保護關鍵基礎設施的連續性與安全性至關重要。組織應立即審查自身的網路安全態勢，參考CISA、USCG及NIST的指南，採取行動以確保IT與OT環境的安全，進而保護國家基礎設施免受潛在威脅。

資料來源：https://industrialcyber.co/cisa/cisa-identifies-ot-configuration-flaws-during-cyber-threat-hunt-at-critical-infrastructure-organization-lists-cyber-hygiene/