關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.12.02
標準與框架/營運技術
陶氏化學的(營運技術活動和成果的零信任)文件奠定國防基礎設施的零信任基礎

面對日益複雜的全球網路威脅,特別是針對關鍵基礎設施的攻擊,美國戰爭部(DoW)已認識到將先進網路安全策略應用於營運技術(OT)環境的迫切性。OT環境,涵蓋發電、水處理、製造與國防設施等核心功能,其安全風險一旦爆發,可能導致物理世界的實質損害。鑑於OT與資訊技術(IT)在運行優先級、遺留系統、即時性要求和專用協議上的顯著差異,傳統的IT安全方法已無法勝任。為此,DoW發布了《營運技術零信任-範圍與目的》指南,明確界定了在國防基礎設施中實施零信任(ZT)原則的具體活動與預期成果。這份指南不僅為OT環境的網路安全架構奠定堅實基礎,更強調了數位零信任與實體安全措施的全面整合,以實現針對國家關鍵資產的統一、持續且具有韌性的防禦姿態。本報告旨在深入解析該指南的戰略範圍、核心原則、實施框架及對未來國防網路安全的深遠影響。

 

OT環境零信任架構的必要性與戰略範圍

DoW的這份28頁指南確立了在國防相關工業系統中部署零信任模型的框架與目標。其範圍鎖定在DoW擁有的OT環境和控制系統,直至劃界點,涵蓋了設施相關控制系統、電網、水處理設施、安保與生命安全系統、能源管理系統、運輸網路、物流處理及製造控制系統等,旨在應對這些國防核心系統相關的網路安全與操作風險。指南明確指出,雖然其適用於為武器系統(WS)供電的配電系統,但WS本身的內部瞄準或發射系統則屬於未來獨立指南的範疇,體現了DoW對OT環境安全細節的劃分與專注。這標誌著國防網路安全策略從傳統的邊界防禦向以資料為中心、持續驗證的零信任模型邁出了關鍵一步,確保即使在 OT 環境中,任何使用者或設備在被授予存取權限前都必須被嚴格驗證。

 

營運技術與資訊技術的安全範式差異

由於營運技術 (OT) 環境具有獨特的優先級,例如運行可用性、遺留設備和專用行業協議,因此將標準 IT 安全方法應用於 OT 環境可能無效且有風險。 美國戰爭部 (DoW) 近期發布了 Zero Trust Guidance for OT Activities and Outcomes,目標是將零信任(Zero Trust, ZT)原則延伸到 OT 環境,確保國防相關的工業系統具備更高的韌性與安全性。 這份題為《營運技術零信任-範圍與目的》的28頁指南重點在於美國國防部擁有的營運技術環境和控制系統,直到劃界點,涵蓋設施相關控制系統、電網、水處理設施、安保和生命安全系統、能源管理系統、運輸網路、物流處理和製造控制系統。 雖然零安全技術(ZT)的核心原則,例如資料保護、身分驗證、網路分段和威脅監控,與營運技術(OT)密切相關,但其實施必須考慮OT特有的限制,例如遺留系統和安全優先順序。在OT中採用零安全技術更為複雜,尤其是在底層製程控制器方面,通常需要在部署前進行全面的風險緩解和測試。 OT環境使用工業協議,例如DNP3和Modbus,這些協議在安全控制方面存在差異。以下是本報導內容摘要:
OT 與 IT 的差異

  • OT 系統通常涉及工業控制、能源、製造與國防設備,與 IT系統相比更強調 安全性、可靠性與持續運作。

  • 報告指出 OT 零信任必須考慮舊設備、工業協議、即時運作需求,因此不能直接套用 IT 的模式。

OT環境對於網路安全團隊所需的專業知識也不同於傳統的IT團隊,需要具備工程背景的人員。特別是OT環境中廣泛使用的工業協議,如DNP3和Modbus,它們在設計時對安全控制的考量不盡相同,這對零信任的實施提出了高度客製化的要求。

 

核心零信任原則在OT環境的具體應用與複雜性

OT零信任的實施必須克服遺留系統和安全優先級等OT特有的限制。由於底層製程控制器(low-level process controllers)的敏感性,在採用零信任技術前,通常需要進行詳盡的風險緩解與測試,以確保任何安全措施都不會危及關鍵的製程控制與功能。這凸顯了OT環境中安全與運營可用性之間的微妙平衡。
核心零信任原則在 OT 的應用

  • 持續驗證身份:不僅針對使用者,也包括設備與機器。

  • 嚴格存取控制:確保只有授權人員與系統能操作關鍵 OT 資產。

  • 微分段(Micro-segmentation):將 OT 網路劃分成小區域,降低攻擊面。

  • 整合監控:持續檢測異常行為,快速回應潛在威脅。

在實施上,微分段作為零信任的基礎,對於OT環境尤其重要。它能有效遏制威脅的橫向移動,將潛在的損害限制在極小的網路區域內,這對於擁有大量遺留系統和已知漏洞的OT網路至關重要。同時,持續驗證機制不僅針對操作員,還需涵蓋遠端終端單元(RTUs)、可程式邏輯控制器(PLCs)等非人實體(NPEs),確保所有數位資產的存取都是經過嚴格授證的。

 

活動與成果框架:OT零信任的五大關鍵面向

DoW的指南將OT零信任的實施聚焦於五大核心面向,並定義了「目標級」與「進階級」的活動與成果,以指導分階段的成熟度提升。目標級活動旨在提供全面的零信任能力,有效阻止攻擊者在環境中的橫向移動,被視為可行且必要。而進階級活動則是長期的目標,涉及自適應響應與全面的功能,允許根據具體的OT環境需求靈活調整。
活動與成果框架 報告定義了 OT 零信任的五大面向:

  • 身份(Identity):多因素驗證、角色基礎存取。

  • 設備(Devices):持續檢測設備狀態與合規性。

  • 網路(Networks):分段與加密,降低橫向移動風險。

  • 資料(Data):保護敏感資料,確保完整性與可追溯性。

  • 自動化(Automation):利用自動化工具強化即時防禦與回應。

在「身份」方面,指南強調了多因素驗證(MFA)和基於角色的存取控制(RBAC)在OT環境中的應用,特別是針對遠端廠商存取和內部使用者。對於「設備」,持續的設備狀態與合規性檢測對於應對OT環境中常見的未打補丁或壽命週期結束(EOL)設備至關重要。「網路」分段不僅限於宏觀(Macro-segmentation),更延伸至微分段,這是防止入侵者在OT網路中進行偵察和攻擊的關鍵技術。「資料」面向要求保護過程數據和配置文件的完整性與可追溯性,確保 OT 系統的決策依據可靠。「自動化」則利用自動化工具來加速威脅檢測、響應與實施安全策略,實現對OT特有威脅的即時防禦。

 

數位與實體安全的全面整合:OT特有的縱深防禦

DoW指南中一個突出的且對OT環境極為關鍵的特點是,它明確強調了網路安全與實體安全措施的協同作用。指南承認OT環境本質上整合了數位與物理世界,強大的實體安全措施直接為OT零信任的成功實施提供支持。例如,控制對人機介面(HMI)或遠端終端單元(RTU)等非人實體的存取機制,可以依賴底層的實體控制,如上鎖的門、周邊圍欄和監視系統。

指南提供了實體安全控制作為IT安全控制的物理世界等效物:

  • 身份與存取管理: 生物識別存取控制(如指紋、虹膜掃描)相當於IT中的多因素驗證。近接卡讀取器(Proximity card readers)作為一種實體驗證形式。訪客管理系統類似於IT處理訪客網路存取。

  • 網路分段: 周邊圍欄和實體屏障等同於防火牆,劃定安全邊界。設置具有不同安全級別的設施區域,類似於IT網路中的VLAN。而使用兩個互鎖門來管制進入敏感空間的「人流捕捉間」(Mantrap)則是一種強大的實體微分段形式。

  • 持續監控與檢測: 閉路電視(CCTV)監控類似於SIEM日誌在IT中的作用。實體入侵檢測系統(如動作傳感器、門窗傳感器)則對應於網路IDS。環境監控(如溫度、濕度)功能類似於監視異常使用者行為的工具。

組織必須協調網路安全和實體安全團隊,確保採取全面的保護措施,以應對遠程網路威脅和物理存取漏洞。如果對手獲得了物理存取權,僅依靠網路安全控制可能不足以防止系統受到破壞。

 

OT與IT零信任框架的協同與統一安全態勢

DoW的零信任指南在設計上與企業IT的零信任活動和成果保持一致,以促進兩者之間的互通性。這種對齊是為了在整個國防基礎設施中形成一個統一、協調的安全姿態。
與 IT 零信任的整合

  • 報告強調 OT 與 IT 的零信任框架必須互通,以便在國防基礎設施中形成統一的安全姿態。

這種整合使得 OT 可以分階段地將其特定的安全工具與企業IT系統整合,同時保持實施的靈活性。這意味著OT零信任的活動應允許根據特定OT環境的獨特需求進行調整,但必須堅持核心的零信任原則。透過建立一個共同的語言和框架,DoW確保了跨IT和OT的資產、身份和網路能夠統一管理和監控,從而最大限度地提高整體國防企業的網路韌性。

 

挑戰、實施層級與持續演進的零信任策略

OT零信任的實施絕非一蹴可幾。指南清楚地劃分了目標級(Target Level)和進階級(Advanced Level)活動。目標級活動被認為是防止攻擊者在環境中橫向移動所必需且可行的,但可能需要大量的設計、開發與測試工作。進階級活動則代表更長期的目標,旨在提供自適應響應和全面的零信任功能,可能需要技術、流程或政策上的突破,因此不設嚴格的時間線。重要的是,指南指出,即使達到進階級,也不意味著零信任成熟度的完成。隨著威脅行為者不斷調整其戰術、技術與程序(TTPs)並利用新的攻擊向量,安全控制和風險緩解策略必須持續演進。因此,OT零信任被視為一個永續的過程,需要OT營運商和安全專業人員的持續協作與授權,以確保實施策略在滿足安全需求的同時,始終保持可接受的製程控制和安全性能。

 

結論與未來展望

DoW的《營運技術零信任-範圍與目的》指南是網路安全領域的一個里程碑,它填補了將零信任原則從IT延伸到OT環境的關鍵空白,特別是在高風險的國防基礎設施中。指南的核心價值在於其對OT獨特性的深刻認識,並提供了結合數位與實體安全控制的實用框架。透過定義清晰的活動與成果,它為負責OT環境的機構提供了一條可操作的路徑,以加強其網路韌性。雖然該指南尚未涵蓋武器系統,但它為未來的進一步發展奠定了堅實的基礎,並促使業界將零信任視為一種網路工程的基本原則,而不是簡單的IT安全延伸。隨著全球關鍵基礎設施面臨的威脅日益嚴重,DoW的零信任OT框架為其他國家和行業的關鍵基礎設施保護工作提供了重要的藍圖和啟示。


資料來源:https://industrialcyber.co/zero-trust/dows-zt-for-ot-activities-and-outcomes-document-sets-foundation-for-zero-trust-across-defense-infrastructure/
 
解析美國國防部(DoW)發布的《營運技術零信任-範圍與目的》指南,此文件為國防相關的OT環境提供了具體的零信任活動與成果框架,涵蓋OT與IT的差異、核心原則應用、五大面向(身份、設備、網路、資料、自動化)以及實體安全與數位安全的整合策略,確保關鍵基礎設施的韌性與安全性。