摘要

傳統上，關鍵基礎設施的安全防禦重點一直放在營運技術（OT）和工業控制系統（ICS）上。然而，隨著地緣政治緊張局勢加劇，國家級威脅行為者（例如Volt Typhoon）的攻擊策略正在發生重大轉變。攻擊的焦點已從隔離的控制系統轉向充斥著敏感企業情報的後勤系統和協作平台（如SharePoint、Teams、Google Drive等）。這些平台因其龐大的規模、管理不善的特性以及豐富的企業藍圖資訊，已成為企業中最大、最容易被忽略的未受監控攻擊面。對攻擊者而言，這些數據蔓延的區域猶如「純金一般的資產」。本報告將詳細闡述這一安全典範的轉變、深入解析國家級威脅的戰略意圖、闡釋後勤數據的巨大價值、列舉具體風險類別，並探討生成式人工智慧如何加劇此一威脅。

 

關鍵基礎設施安全典範轉移：從OT到後勤數據

關鍵基礎設施組織如電力、水務、交通等，其核心是確保服務的連續性，因此，對營運技術（OT）和工業控制系統（ICS）的保護一直被視為重中之重。安全領導者投入大量資源在修補可程式邏輯中心（PLC）、隔離控制中心與網路分段上。這種「圍牆花園」的思維模式在過去行之有效，專注於防止對實體操作的直接干擾。

然而，現今的威脅環境要求安全典範必須擴大至包含企業的後勤（Back-Office）數據。這是因為國家級威脅行為者不再只滿足於破壞，他們更渴望深入瞭解企業的運營細節和環境佈局，以規劃長期、隱蔽的駐留和攻擊行動。僅僅保護控制系統，卻忽略了包含整個企業運作細節的協作數據，無異於只守護金庫門口，卻任由金庫內部設計圖散落一地。

 

國家級威脅的戰略意圖深度解析

國家級威脅行為者（State-Sponsored Threat Actors），如Volt Typhoon，與一般的網路犯罪組織有著本質區別。他們的目標遠超勒索或短期牟利，而是具備長期、戰略性的情報收集與作戰準備意圖。這種戰略意圖主要體現在以下幾個方面：

一、戰前情報預置與環境偵察： 國家威脅的首要任務是在衝突爆發前，建立持久且隱蔽的立足點，並對目標國家的關鍵基礎設施進行詳盡的「環境偵察」。後勤數據，例如SCADA操作手冊、變電站CAD圖紙和網路拓撲圖，為他們提供了寶貴的作戰情報（Operational Intelligence）。攻擊者不需要花費大量時間進行昂貴的網路探測，只需從後勤系統下載文件，便能獲得入侵和破壞所需的全部藍圖。

二、深度掌握供應鏈與韌性弱點： 透過財務、法律和工程文件，國家級攻擊者可以掌握公用事業公司的供應鏈細節、技術依賴性、應急響應程序（Regulatory Evidence）以及人力資源（員工PII與組織架構）。這使他們能夠：

1. 實施供應鏈攻擊： 針對性地攻擊最薄弱的供應商環節，而非直接攻擊戒備森嚴的目標組織。

2. 預測應變能力： 透過瞭解緊急操作手冊和審計資料，攻擊者可以設計出能夠最大化延遲或癱瘓組織恢復能力的攻擊方案。

三、準備「選擇性破壞」能力： 國家級威脅的最終目的不一定是全面癱瘓，而可能是具備在特定時間、對特定目標造成選擇性、高衝擊性破壞的能力。後勤數據中的詳細資產地圖（GIS與地圖）和控制系統手冊，使得攻擊者能夠識別並鎖定對服務連續性影響最大的幾個節點（例如，關鍵變電站或主要水泵站），從而達到最大的戰略威懾和影響。

四、長期「靠土地生存」的隱蔽性： 這些國家級對手偏好「靠土地生存」（Living Off the Land, LOLBins），這不僅是因為這種方法能規避傳統的惡意軟體檢測，更是因為他們擁有足夠的耐心在目標網路中低調潛伏數月乃至數年。他們利用員工常用的合法工具進行情報收集，這種行為與正常的業務操作難以區分，從而確保其駐留點的長期穩定和攻擊準備的持續性。

 

協作平台：未受監控的純金資產與最大攻擊面

Joe Pearce（RecordPoint的產品負責人）清晰地指出了問題的核心：

Joe Pearce (Head of Product, RecordPoint) 認為，OT 和 ICS 系統確實是關鍵基礎設施組織的核心，但對於像 Volt Typhoon 這樣日益肆無忌憚的國家威脅行為者來說，不受監控的數據蔓延像是純金一般的資產。像 Volt Typhoon 這樣的攻擊活動已經展現出攻擊者偏好「靠土地生存 (living off the land)」的傾向，攻擊者利用的正是員工所依賴的工具，例如SharePoint、Google Drive、Exchange、Gmail、Teams、Slack、Box。

關鍵基礎設施的安全領導者傳統上將防禦精力集中在營運技術 (OT) 和工業控制系統 (ICS) 上，儘管他們一直在修補可程式邏輯中心 (PLC) 並隔離控制中心，但龐大的協作平台以及老式的文件共享——卻悄悄成為企業中最大的未受監控攻擊面。它們規模龐大、管理不善，並且充斥著威脅行為者繪製企業環境地圖所需的所有細節。

這些系統易於使用，嵌入日常運營，共享順暢。資訊只需點擊一下即可傳輸，但監管卻很少跟上。敏感文件以數十種格式激增，從 CAD 檔案到 PDF，甚至隱藏在文件元資料和聊天記錄等隱密角落。如果不加以監管，這些平台將變得異常混亂，它們蘊藏著等待被利用的機會。

這段論述揭示了協作工具的雙面性：它們是現代企業運營效率的基石，卻也是未經治理的數據黑洞。攻擊者選擇利用這些「靠土地生存」的工具，是因為它們是組織內部合法的、普遍使用的應用程式，這使得攻擊活動能夠融入日常流量，逃避傳統的網路邊界檢測。

 

後勤數據蔓延的具體風險圖譜

關鍵基礎設施企業的協作堆棧和文件共享系統中包含了整個企業的藍圖。對於有耐心和時間的對手來說，這不是雜亂無章的資料，而是無價的情報。這些情報涵蓋了所有運營和戰略層面，且通常分散在缺乏統一治理的系統中。

假設有一家公用事業公司，服務 1500 萬客戶。它的協作堆疊包含哪些內容？

(1) 工程與營運： CAD 圖紙、竣工圖、變電站佈局、監控和資料收集 (SCADA) 運作手冊。

• 情報價值： 這些是實體資產的精確地圖和操作指南。攻擊者一旦獲得，可以精確地識別系統中的單點故障（Single Point of Failure），計算出造成最大服務中斷所需的最小行動，並預先規劃對OT環境的惡意指令。

(2) GIS 與地圖： 詳細的資產地圖、地塊資料、饋線圖。

• 情報價值： 這些圖資提供了基礎設施的地理空間分佈，可用於實施實體或網路上的偵察。對於要進行聯合攻擊（協調實體破壞和網路攻擊）的對手而言，這是不可或缺的資訊。

(3) 客戶 PII 和電錶資料： 帳單、呼叫中心記錄、智慧電錶記錄。

• 情報價值： 雖然不是直接的作戰情報，但大規模的個人身份資訊（PII）是勒索或網路宣傳戰的籌碼。智慧電錶數據還可以被用來推斷特定設施的運作模式或關鍵客戶的活動週期。

(4) 人力資源與員工 PII： 薪資、福利、招募文件。

• 情報價值： 這些文件能幫助攻擊者識別具有高權限的關鍵員工，以便進行魚叉式網路釣魚攻擊，或用於滲透（Initial Access）的社工攻擊，並為未來的內部威脅活動建立檔案。

(5) 財務與法律： 發票、合約、訴訟文件。

• 情報價值： 瞭解供應鏈和法律弱點。特別是供應商合約文件，可以揭示組織在技術、硬體和服務上的依賴性，從而引導攻擊者利用供應鏈中的薄弱環節。

(6) 監管證據： NERC/FERC/CIP 文件、SOX 文件、審計跟踪。

• 情報價值： 這些文件詳盡描述了組織的安全控制措施、合規弱點以及對安全事件的反應流程。攻擊者可利用這些資訊，設計出恰好能繞過現有控制和審計流程的攻擊路徑。

(7) 安全性與 IT： IAM 匯出、網路圖、特權存取說明。

• 情報價值： 這幾乎是企業環境的「聖杯」。身份和存取管理（IAM）的匯出數據和網路拓撲圖，能讓攻擊者迅速找到提升權限、橫向移動和規避檢測的最短路徑。特權存取說明書則提供了開啟最核心系統的鑰匙。

 

國家級威脅與「靠土地生存」的精準偵察

Volt Typhoon等國家支持的威脅行為者展現出高度的目標明確性和耐心。他們的「靠土地生存」（Living Off the Land, LOLBins）策略不是隨機的破壞，而是一種精準的情報收集活動。他們避免植入新的惡意軟體，轉而利用企業環境中預先存在的、合法的工具和服務來執行惡意活動。

在後勤數據環境中，「靠土地生存」意味著利用檔案共享、搜尋功能、協作訊息傳遞和郵件系統的內建功能來進行偵察。例如，攻擊者可以使用內建的搜尋功能，在數以百萬計的文件中搜尋關鍵詞，如「變電站」、「SCADA」、「密碼清單」、「網路拓撲圖」或「合規審計」。由於這些行為在技術上是使用合法應用程式的合法功能，它們很難被傳統的端點偵測和回應（EDR）或網路流量分析工具標記為惡意。這使得攻擊者可以在組織內部隱蔽地駐留數月甚至數年，持續繪製企業環境地圖。

 

人工智慧加劇偵察與攻擊的速度

如今，這些數據蔓延帶來的風險正因生成式和代理式人工智慧（AI）而急劇惡化。

如今，這些風險正因生成式和代理式人工智慧而加劇。這些工具可以加速偵察，自動挖掘非結構化文件和元數據，甚至以防禦者無法匹敵的速度和規模跨平台串聯行動。如果攻擊者可以輕鬆瀏覽您的文件庫和聊天記錄，那麼 OT 分段和零信任就毫無意義了。

生成式人工智慧模型，例如大型語言模型（LLMs），可以被訓練或用於處理大量的非結構化數據。對於攻擊者來說，這是一個巨大的優勢：

1. 自動化挖掘： AI可以自動讀取數千份PDF、CAD文件和聊天記錄，以識別和提取核心情報，例如變電站名稱、關鍵員工、合約條款或安全漏洞描述。人工審查大量文件所需的時間和人力成本被極大地縮減。

2. 上下文串聯： AI能夠跨越不同平台（例如，將Teams聊天記錄中討論的變電站名稱與Google Drive中的CAD圖紙連結起來），自動建立複雜的攻擊路徑圖或員工社工簡介。

3. 加速行動： 這種自動化的情報處理和分析，使得攻擊者能夠以防禦者無法匹敵的速度和規模採取行動，大幅縮短了攻擊準備週期（Dwell Time）。

 

零信任與OT隔離的局限性

面對後勤數據蔓延帶來的挑戰，傳統的安全策略，即使是最先進的策略，也面臨極大的局限性。

如果攻擊者可以輕鬆瀏覽您的文件庫和聊天記錄，那麼 OT 分段和零信任就毫無意義了。

• OT 分段的無效性： 隔離OT網路的目的是阻止外部對操作的直接影響。然而，如果攻擊者已透過後勤數據獲得了OT網路的詳細設計圖、IP位址清單、VLAN配置、甚至SCADA操作手冊，他們實際上已經完成了大部分入侵前的偵察工作。一旦攻擊者透過員工的設備或協作系統獲得立足點，這些情報將使其能夠繞過物理或邏輯隔離，精準地發起對OT系統的最終攻擊。

• 零信任（Zero Trust）的不足： 零信任的原則是「永不信任，始終驗證」。它確實有助於阻止橫向移動。然而，零信任的實施通常集中在網路和存取控制層面。如果一個員工已經被認證存取了包含敏感文件的SharePoint網站，且這些文件缺乏精細的數據治理和分類，零信任原則在文件內容層面就難以發揮作用。攻擊者一旦冒用合法身份進入了協作平台，零信任無法阻止他們使用合法的工具來閱讀或下載敏感文件。

 

結論與應對建議

關鍵基礎設施組織必須認識到，後勤數據已成為國家級威脅行為者眼中的新戰場。防禦策略必須從僅僅保護OT邊界，轉變為全面涵蓋和治理企業內部的數據和文件。

要有效應對這種威脅，組織必須採取以下行動：

1. 實施數據治理與分類： 立即對所有協作平台上的數據進行強制性的分類（例如：機密、內部、公開）。對於CAD圖紙、網絡圖等高度敏感的文件，應實施嚴格的存取控制和保留策略。

2. 監控協作工具的異常行為： 部署數據安全態勢管理（DSPM）或內容監控解決方案，以檢測協作平台上的異常活動。例如，單一用戶在短時間內存取大量不同類型的敏感文件、使用內建搜尋功能搜尋「機密」或「密碼」等關鍵詞，或從特定地理位置存取文件。

3. 治理數據蔓延： 定期清理、歸檔或刪除那些不再需要的敏感數據。將舊式文件共享和過時的協作空間納入集中化治理。

4. 結合情報與資產： 將網路威脅情報（CTI）與企業的數據資產圖譜結合。瞭解像Volt Typhoon這樣的攻擊者會尋找哪些特定類型的文件（如SCADA手冊、IAM匯出），並在這些文件周圍建立強化且持續監控的防禦區。

5. 應對AI威脅： 制定政策和技術控制，限制非結構化數據的過度共享和存取，以降低數據被未來攻擊者利用AI自動化偵察的風險。安全領袖必須將數據安全治理（Data Governance）提升到與網路隔離同等重要的戰略高度，以確保基礎設施的安全韌性。

資料來源：https://www.darkreading.com/cyberattacks-data-breaches/critical-infrastructure-back-office-data