報導摘要

Forrester 的最新研究顯示，網路攻擊持續襲擊關鍵基礎設施營運商運行的營運技術 (OT) 系統。在一項針對 262 名 OT 安全決策者的調查中，91% 的受訪者表示，在過去 18 個月內至少經歷過一次由網路攻擊造成的資料外洩或系統故障。這些攻擊擾亂了關鍵服務，損害了聲譽，並造成了監管和財務後果。

「安全營運」以「安全設計」為基礎，將網路安全擴展到初始產品開發和部署之外。它要求持續監控、安全配置，並明確技術提供者、系統整合商和資產所有者之間的角色。透過長期維護安全控制，組織可以減少威脅暴露並提高韌性。

這份報告不僅是對OT資安現狀的警示，更為CISO們指明了前進的方向。傳統的資安防護觀念往往著重於「安全設計」，即在系統或設備設計階段就嵌入安全控制。然而，OT環境的複雜性與獨特性，使得這種一次性的安全思維遠遠不夠。攻擊者不斷進化，尋找舊有系統中的漏洞，而OT系統的生命週期又極長，這使得僅依賴設計階段的防護變得不可行。

OT資安面臨的獨特挑戰

與傳統IT環境相比，OT系統的資安防護面臨著一系列獨特的挑戰，這些挑戰使得單純地將IT資安最佳實踐套用在OT上變得困難重重。

• 漫長的生命週期： 許多OT設備（如PLC、SCADA系統）運行數十年，其更新週期遠遠落後於IT設備。這意味著大量遺留系統存在未修補的漏洞，成為攻擊者入侵的理想目標。

• 高可用性要求： OT系統的任何停機都可能導致巨大的經濟損失，甚至威脅公共安全。這使得在系統運行時進行修補或維護變得極具挑戰性。

• IT/OT融合： 隨著工業4.0的發展，OT網路與IT網路的界限日益模糊。這使得攻擊者可以從相對較不安全的IT網路侵入OT環境，擴大了攻擊面。

• 可見性不足： Forrester 的調查發現，高達64%的受訪者表示他們缺乏對整個OT資產網路的全面可見性。無法看到所有連接的設備和流量，就無法有效監控和防禦。

這些挑戰共同形成了一道難以逾越的資安鴻溝，導致了駭客攻擊OT系統的成功率居高不下。報告指出，僅有40%的組織擁有一套涵蓋所有相互連接資產的資安策略，這巨大的安全缺口急需填補。

安全營運：從設計到持續防護的戰略轉變

為應對這些挑戰，Forrester 提倡從傳統的「安全設計」思維轉向「安全營運」模式。這項戰略轉變的核心在於將資安視為一個持續的、動態的過程，而不僅僅是產品開發或部署時的一個環節。

安全營運的關鍵支柱包括：

1. 持續監控與偵測： 透過部署OT特定的監控工具，持續偵測網路流量中的異常行為，識別惡意活動或未授權的連線。這彌補了靜態資安控制的不足，能即時發現並回應新興威脅。

2. 資產盤點與風險管理： 建立完整的OT資產清單，包括所有硬體、軟體和連接點。對這些資產進行風險評估，確定其重要性與潛在弱點，從而優先保護最關鍵的系統。

3. 供應鏈與第三方管理： OT系統的供應鏈複雜，涉及多個技術提供者、系統整合商和資產所有者。安全營運要求明確各方角色與責任，並對供應商進行嚴格的資安審核，確保整個供應鏈的安全。

4. 事件回應與復原： 建立完善的OT資安事件應變計畫，明確在遭受攻擊時的應對步驟，包括隔離受影響系統、分析攻擊手法、以及迅速復原關鍵服務。

這種轉變不僅需要技術上的投資，更需要組織文化和策略上的調整。它要求IT與OT團隊的緊密合作，打破傳統的部門壁壘。

彌合資安差距與建立韌性

要成功實施「安全營運」，CISO和資安決策者需要採取多項關鍵行動。報告建議，企業應將內部能力與外部專業知識相結合。三分之二的受訪者表示，他們已與託管安全服務提供商（MSSP）合作，以填補內部人才與資源的缺口。這種合作可以幫助組織獲得OT資安專家、24/7威脅監控和專業的事件應變服務。

此外，報告強調了三項重要的行動來彌合資安差距：

1. 投資OT資安解決方案： 部署專為OT設計的資產可見性、網路監控和威脅偵測平台。這些工具可以提供傳統IT工具無法實現的深度洞察。

2. 建立跨部門合作： 促進IT、OT和業務團隊之間的溝通與協作，確保資安策略與企業的營運目標保持一致。

3. 制定並實施全面的資安策略： 制定一個全面的OT資安策略，涵蓋所有相互連接的資產，並將其納入企業風險管理框架。

結論

OT系統正從過去的隔離環境轉變為網路攻擊的新戰場。Forrester 的報告明確指出，僅僅依賴「安全設計」已不足以保護關鍵基礎設施。CISO們必須引領組織進行戰略轉變，擁抱「安全營運」模式，將資安視為一個持續不斷的營運過程。

透過持續的監控、嚴格的資產管理、明確的責任劃分以及與外部專業夥伴的合作，企業可以顯著減少威脅暴露，提升應對勒索軟體、資料外洩和其他攻擊的韌性。這不僅是保護技術資產，更是維護公共安全與企業信譽的關鍵。