報導摘要

美國網路安全暨基礎設施安全局（CISA）與美國海岸防衛隊（USCG）近期在一次針對關鍵基礎設施的威脅狩獵行動中，雖然未發現惡意駭客的蹤跡，卻揭露了多項嚴重的營運技術（OT）環境組態錯誤。這些問題包括本地管理員帳號與密碼在多台主機間共用，且密碼以明文形式儲存於批次腳本中；IT 與 OT 網路之間缺乏妥善的隔離；以及日誌紀錄與保留措施不足。CISA 指出，這些組態缺陷雖然本身不是攻擊，但卻為駭客提供了可乘之機，一旦被利用，可能導致嚴重後果。這份報告特別強調了加強網路資安衛生的迫切性，並提供了詳細的行動建議，以協助組織改善其防禦能力。

資安風險

CISA 發現的這些組態缺陷，構成了多個高風險的資安漏洞：

1. 憑證管理不當：使用共用且密碼以明文儲存的本地管理員帳號，使得攻擊者一旦入侵，便能輕易地在多台主機間進行橫向移動，取得高階權限，並修改系統設定或植入惡意程式，導致持續性存取。
2. IT 與 OT 網路隔離不足：報告揭示，一般使用者可從 IT 網路直接存取 SCADA 虛擬區域網路（VLAN）。這種隔離不當的情況，使得來自 IT 網路的威脅，如惡意軟體或駭客，能夠輕易滲透並攻擊控制實體流程的關鍵 OT 系統，從而引發嚴重的安全與運作風險。
3. 日誌紀錄不全：組織的事件日誌系統不足，缺乏全面的詳細紀錄與正常的網路行為基準線，導致資安團隊無法進行徹底的行為分析和異常偵測。這不僅阻礙了 CISA 的威脅狩獵行動，也使得組織在遭受勒索軟體攻擊等複雜威脅時，難以追蹤與應變。
4. 組態錯誤：除了上述問題，報告也發現如生產伺服器 SSL 設定錯誤、SQL 連線組態不當等問題，這些都可能成為攻擊者利用的切入點，對系統穩定性與安全性造成威脅。

安全影響

這些資安風險一旦被駭客利用，可能造成以下嚴重後果：

1. 實體流程操縱與破壞：駭客能透過入侵 OT 系統，操縱或破壞實體工業流程，對人員安全、基礎設施完整性與設備功能造成實質傷害。
2. 營運中斷與癱瘓：攻擊者可以透過遠端桌面協議（RDP）或 SSH 等協定，從已受害的 IT 系統橫向移動至 OT 系統，執行惡意指令，導致營運中斷或服務癱瘓。
3. 難以追蹤與復原：由於日誌紀錄不全，組織將無法準確追蹤駭客的攻擊路徑、技術和手法，大大延長了事件應變與復原的時間與成本。
4. 法規遵循與聲譽損失：這些資安漏洞違反了多項產業標準與法規，一旦被公開，將導致高額罰款與嚴重的聲譽損害，動搖客戶與公眾的信任。

行動建議

為改善這些嚴重的資安缺陷，CISA 提出以下具體建議：

1. 強化憑證與存取管理：為所有本地管理員帳號設定唯一且複雜的憑證，並強制執行雙因素認證（MFA）。應避免使用共用帳號，並實施最小權限原則，確保帳號權限僅限於執行其職務所需。
2. 實施嚴格的網路隔離：在 IT 與 OT 環境之間設立非軍事區（DMZ），並透過跳板機（bastion host）來嚴格控制所有存取。建議組織可考慮重新設計網路架構，並使用單向閘道（data diodes）來阻擋雙向通訊。
3. 部署全面的日誌監控：建立一個全面的日誌收集與分析系統，定期監控管理員活動、登入嘗試和組態變更等，並建立正常的網路行為基準線，以便及時偵測異常活動。
4. 定期審核與測試：定期進行滲透測試和資安評估，以驗證網路隔離控制的有效性。同時，需持續更新網路架構圖與資產清單，確保管理人員能隨時掌握系統狀態。

結論

CISA 的威脅狩獵行動再次證實，即使沒有直接的惡意攻擊，關鍵基礎設施仍因其內部的組態缺陷而面臨巨大威脅。這份報告揭示了長期以來被忽視的資安衛生問題，例如憑證管理不當、IT/OT 網路隔離不足及日誌紀錄不全。這些漏洞如同未上鎖的大門，隨時可能被駭客利用。因此，所有關鍵基礎設施組織必須採取更積極、更全面的防禦策略，不僅要加強技術防護，更要從基礎的資安衛生做起。唯有透過嚴格的憑證管理、有效的網路隔離和全面的監控，才能真正保護 OT 環境，確保實體世界的安全與穩定。

資料來源：https://industrialcyber.co/cisa/cisa-identifies-ot-configuration-flaws-during-cyber-threat-hunt-at-critical-infrastructure-organization-lists-cyber-hygiene/