關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 營運技術
顯示分類
2025.12.08
標準與框架/營運技術
現場級工業控制系統設備的攻擊增多,亟需提升OT安全可見度與細粒度控制

隨著全球工業網路實體威脅的快速升級,針對工業控制系統(ICS)中最低層級設備的攻擊活動正成為網路安全領域的關鍵焦點。這些位於營運技術(OT)環境最底層的感測器、執行器和可程式邏輯控制器(PLC),是控制實際物理流程的基石,其安全性直接關係到工業生產的連續性與人身安全。傳統上被視為物理隔離或「氣隙」保護的這些設備,在IT/OT融合的大趨勢下,正暴露於前所未有的風險中。本報告旨在深入探討底層ICS設備面臨的結構性挑戰、現有安全框架的不足,並提出業界對深度可見性和「安全設計」的迫切需求。

 

底層ICS設備所面臨的結構性威脅

針對ICS底層設備的攻擊,其影響已遠超數據層面,直接威脅到物理操作的完整性與安全性。

隨著網路物理安全威脅的日益加劇,工業控制系統,尤其是那些位於組織最底層、由感測器、執行器和PLC等組件控制實際工業流程的系統,正受到越來越多的關注。這些層級日益容易受到偽造感測器資料(註1)、更廣泛的工業物聯網連接以及更高級的攻擊者的攻擊,使得安全風險不再是紙上談兵。

Gartner曾警告稱,被武器化的營運技術(OT)環境可能導致物理損害,而卡巴斯基ICS CERT近期發布的報告也呼應了這一擔憂,指出許多自動化系統在基礎OT安全方面仍然存在漏洞,升級這些底層系統仍然充滿挑戰。

由於這些設備年代久遠,當初設計時並未考慮身份驗證、加密或快速修補,而且許多工廠也無法承受升級所需的停機時間。隨著IT/OT融合將更多數據和連接帶到網路邊緣,老舊的傳感器和控制器突然變得觸手可及,也更容易受到攻擊。傳統的普渡模型和IEC 62443為基礎的區域和管道劃分方式雖然足以滿足組織需求,但難以應對需要更深層可見性、更基於風險的安全等級和更精細控制的現代威脅

討論正朝著「安全設計」設備的方向發展。美國國家安全局認可的採購指南和早期人工智慧驅動的防禦措施表明,業界或許已經開始考慮這樣的未來:PLC、感測器和嵌入式系統從一開始就以安全為設計目標。這是一條漫長的道路,但這些變化可能會在未來一年內重新定義0級到2級的安全防護能力。

0級感測器是工程設備,而非網路安全設備。它們是所有其他等級100%可信賴的輸入。0級訊號以類比訊號的形式出現,並在1級轉換為數位訊號或直接轉換為IP訊號」。0級和1級微處理器通常不具備網路安全、身份驗證或取證功能。你無法破解物理定律,但你可以破壞0級感測元件、1級數位/IP轉換過程或製程感測器的設定。

網路安全要到2級才真正開始,而且已經有工具可以保護2級安全。然而,0級和1級網路安全問題發生在達到2級之前,而IT/OT網路防禦人員卻想當然地認為0級和1級信號是未被破壞的、經過驗證的且正確的。

ISA/IEC 62443和NIST 800-82提供了框架,但過於抽象,無法有效保障0-2級(註2)安全。IEC 62443不考慮行業,而網路物理風險本質上是流程相關的。其安全級別概念以及將風險轉化為所需保護的方式存在根本性缺陷,而且由於這些缺陷已內置於框架架構中,因此難以修復框架架構。ISA/IEC62443 和 NIST 800-82 都為 2 級設備提供了指導,但兩者都沒有提供足夠的補償控制措施來保護傳統的 0 級設備。


註1:
「偽造感測器資料」指的是攻擊者或惡意程式刻意修改、生成或注入虛假的感測器數據,使工業控制系統 (ICS) 或其他自動化系統誤判現況,進而做出錯誤決策或操作。攻擊者能偽造感測器資料,通常依賴以下技術與方法,涵蓋網路層、裝置層與應用層:

a)    通訊協定竄改

  • Modbus、DNP3、OPC UA 等工控協定缺乏加密與驗證,攻擊者可攔截並修改封包。
  • 中間人攻擊 (MITM):在感測器與控制器之間插入惡意代理,修改傳輸數據。

b)    惡意軟體植入

  • 在 PLC、RTU 或感測器韌體中植入惡意程式,直接回傳虛假數據。
  • ICS 專用惡意程式(如 Stuxnet 類型)可操控設備回報正常值,掩蓋異常。

c)    模擬或重播攻擊

  • 重播攻擊 (Replay Attack):竊取合法感測器數據並重複發送,讓系統誤認狀態正常。
  • 數據模擬:攻擊者生成符合預期範圍的假數據,避免觸發警報。

d)    偽造硬體訊號

  • 信號注入:在感測器輸入端注入電壓或訊號,讓感測器回報錯誤值。
  • 物理層攻擊:直接干擾感測器(如磁場、溫度),製造假讀數。

e)    權限濫用與 API 攻擊

  • 取得 SCADA 或 HMI 系統管理權限,直接修改數據顯示。
  • 利用 未驗證 API,發送偽造數據到資料庫或控制系統。

註2:

在 OT(Operational Technology)安全設計中,所謂 0級到2級的安全防護能力,通常是指 ISA/IEC 62443 架構中的分層防護模型,對應工業控制系統的不同層級:

ISA-95 / Purdue 模型層級

a)    Level 0:現場設備層

感測器、致動器、馬達、閥門等物理設備。

b)    Level 1:控制層

PLC、RTU、控制器,直接控制現場設備。

c)    Level 2:監控層

HMI、SCADA 系統,負責監控與操作。

安全防護能力(IEC 62443)

IEC 62443 定義了 Security Levels (SL),但在 OT 設計中,針對 0~2 級設備,防護能力通常包括:

a)    Level 0(現場設備)

  • 物理防護:防拆封、防篡改。
  • 安全啟動 (Secure Boot):確保韌體未被修改。
  • 資料完整性:感測器數據簽章、防偽造。
  • 最小通訊能力:避免直接暴露網路。

b)    Level 1(控制層)

  • 存取控制:PLC 密碼保護、角色權限。
  • 安全韌體更新:簽章驗證。
  • 通訊加密:Modbus/TCP 加密或 OPC UA 安全。
  • 異常檢測:檢測命令與數據異常。

c)    Level 2(監控層)

  • 網路分段 (Zone & Conduit):SCADA 與企業網隔離。
  • 強認證:多因素驗證、RBAC。
  • 日誌與監控:事件記錄、SIEM 整合。
  • 入侵偵測 (IDS):針對 OT 協定的流量分析。
 
IT/OT融合加速邊緣風險擴散的挑戰

工業4.0與工業物聯網(IIoT)的推進,模糊了傳統IT與OT的界線,造成了邊緣風險的快速擴散。許多老舊的OT設備(例如壽命長達數十年的0級感測器)最初設計時是為了在獨立、封閉的網路中運作。然而,當它們被納入中央監控系統、雲端數據分析或遠端監控時,便暴露於新的攻擊途徑。這種融合的挑戰在於:

  • 資產清單的複雜性: 許多工業設施難以維持精確的0級和1級資產清單,不清楚哪些設備正在運行,及其韌體版本與潛在漏洞。

  • 修補的不可行性: 許多老舊設備沒有修補機制,即使有,產線的停機成本也往往高到令企業難以承受。攻擊者可以持續利用已知的、無法修補的漏洞。

  • 通信協議的弱點: 底層通訊協議(如Modbus, DNP3)通常缺乏原生加密或身份驗證機制,使得攻擊者可以輕鬆進行中間人攻擊、指令注入或偽造感測器數據。

IT/OT融合的便利性,是以犧牲底層設備的傳統隔離保護為代價,使得原本僅具備工程功能而非網路安全功能的0級組件,變成了整個工業網路中最脆弱的環節。

 

傳統OT安全框架的局限性與設計缺陷分析

儘管ISA/IEC 62443和NIST 800-82等國際標準提供了基礎性的指導,但它們在面對底層ICS設備(0級至2級)的獨特安全需求時,顯示出根本性的不足。這些缺陷主要體現在以下幾個方面:

  • 過於抽象的通用性: IEC 62443旨在涵蓋所有工業領域,但網路物理風險的本質是高度依賴於特定流程和行業的。例如,核電站與食品加工廠的流程危害截然不同,但框架提供的安全級別概念卻是通用且抽象的,難以有效地將抽象風險轉化為特定工業流程所需的精確保護措施。

  • 安全級別概念的缺陷: 框架中的安全等級(SL)概念,以及如何將風險轉化為所需保護(SR)的方式,存在先天缺陷。由於這些底層設計缺陷已內建於框架結構中,導致其難以在不破壞整體結構的情況下進行修復。

  • 缺乏補償控制指導: 對於不具備原生安全功能的傳統0級設備(如類比感測器),標準未能提供足夠詳細且有效的「補償控制措施」(Compensating Controls)來保障其資料完整性。OT防禦人員不能再假定0級和1級訊號是未受破壞、經過驗證且正確的,這要求必須有外部機制來驗證其輸入的可信度。

因此,現有的框架雖然在邏輯層面(例如網路分區)上提供了指引,但在應對物理層面的數據篡改和設備完整性挑戰時,顯得力不從心。

 

從普渡模型到「安全設計」的新範式

面對傳統標準的局限,業界的關注點正從「如何修補」轉向「如何設計得更安全」。這代表著一種從事後彌補到事前預防的重大範式轉變。

「安全設計」(Security by Design)的理念要求PLC、控制器、感測器和嵌入式系統從產品開發階段開始就將網路安全功能納入考量。這不僅包括硬體層面的安全元件,還包括:

  1. 原生身份驗證與加密: 使0級和1級設備的通信具備強大的身份驗證和加密能力,以防止未經授權的指令或數據篡改。

  2. 韌體完整性檢查: 實施加密簽章,確保設備僅運行經過驗證的、未被篡改的韌體。

  3. 安全啟動(Secure Boot): 確保設備在啟動時,從最底層的組件開始就處於受信任的狀態。

美國國家安全局(NSA)對安全硬體和採購指南的認可,以及早期人工智慧驅動的OT防禦措施的興起,都表明業界正在積極探索這條道路。雖然這是一個漫長且複雜的過程,但預計在未來幾年內,基於安全設計原則的工業產品將會重新定義0級到2級的安全防護能力,從根本上提高工業系統的韌性。

 

深度可見性與細粒度安全控制的需求

由於無法完全替換現有的傳統0級和1級設備,當前最迫切的需求是獲得對OT網路更深層次的「可見性」,並部署更具「細粒度」的控制措施。

深度可見性(Deep Visibility):

傳統網路安全側重於流量分析和協議解析,但在OT環境中,可見性必須擴展到物理製程層面。這意味著需要監控的不僅是網路封包,還包括:

  • 製程參數的異常: 偵測感測器讀數是否在物理規律允許的範圍之外,例如溫度變化速度異常。

  • PLC邏輯的完整性: 持續監控PLC內的可程式邏輯或組態檔案是否被未經授權地修改。

  • 底層協定行為分析: 分析Modbus或EtherNet/IP等底層協定的功能碼使用,識別異常的寫入或控制指令。

細粒度安全控制(Granular Security Controls):

鑒於標準框架的不足,實際操作中需要部署具有細粒度控制的解決方案,作為彌補0級設備安全缺陷的補償措施:

  • 基於行為的異常偵測: 部署能夠學習正常OT流量和製程行為的AI/ML模型,專門用於偵測0級和1級數據流中的微小偏差。

  • 虛擬修補與協定過濾: 在2級或更低層級部署入侵防禦系統(IPS)或單向閘道器,對進入0級/1級設備的特定通訊協定功能碼進行精確過濾或限制。

  • 微隔離: 在普渡模型區域劃分的基礎上,進一步在OT網段內實施微隔離,確保只有特定、授權的設備能夠與0級和1級組件進行通訊。

這些精細化的控制措施,能夠在攻擊到達0級或1級設備之前將其遏制,或至少在數據被竄改後立即發出警報,從而大大降低網路物理攻擊的成功率和影響。


資料來源:https://industrialcyber.co/features/increasing-attacks-on-field-level-ics-devices-highlight-need-for-deeper-visibility-and-granular-ot-security-controls/
 
詳細剖析針對底層ICS設備(感測器、PLC)不斷增加的網路物理安全威脅。探討傳統OT安全框架(如IEC 62443)在保護0級和1級傳統設備方面的根本性缺陷,強調IT/OT融合帶來的邊緣風險擴大,並呼籲業界必須從抽象框架轉向「安全設計」的新範式,透過深度可見性和精細化控制,應對現代高級威脅。