關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.10.07
標準與框架/工控設施
ICS 系統強化在 OT 環境中平衡安全彈性和營運連續性
I. 報導摘要

工業控制系統(ICS)強化已成為當代關鍵基礎設施安全的基石。然而,這項工作必須在 IT 領域追求的極致安全、以及 OT 環境追求的連續運營與人身安全之間找到審慎的平衡點。傳統的 IT 安全實踐,如快速大規模打補丁,在 OT 環境中可能導致停機甚至危及人身安全,因此 ICS 強化需要一種專業化且具備營運意識的方法。

本報告深入分析了 ICS 系統強化的核心挑戰與戰略轉變:首先,ICS 強化往往是在彌補「設計之初即不安全」(Insecure-by-Design)的遺留系統缺陷,而非理想的預防措施;其次,戰略重心正從追求難以實現的完美防禦,轉向建立網路韌性,確保即使在遭受攻擊時,基本營運功能也能持續。這項轉變的核心理念是「優雅降級」。最後,報告指出缺乏供應商透明度(韌體洞察、SBOM)是阻礙 ICS 強化規模化和有效實施的核心漏洞。這些觀點共同強調,ICS 系統強化必須是一個分層、整合且具備營運意識的整體方法。

 

II. OT環境下的系統強化:基礎與獨特性

營運技術(OT)環境,包括 SCADA、DCS 和 PLC 等工業控制系統,是製造業、能源和水處理等關鍵行業的命脈。ICS 系統強化(System Hardening)是指對這些資產及其連線網路實施一系列的配置變更和安全控制措施,以最大限度地減少潛在的攻擊面

OT與IT安全思維的根本差異

ICS 系統強化的複雜性在於其與 IT 領域的安全目標存在本質上的優先級差異:

  • 目標優先級: OT 的最高目標是人身安全(Safety)系統可用性(Availability),必須確保流程不會中斷或導致物理危害。IT 則以機密性(Confidentiality)為核心。

  • 生命週期: OT 設備往往運行 15 至 30 年,這意味著它們的設計遠早於現代網路威脅出現之前。

  • 修補策略: 在 OT 環境中,快速打補丁是極大的風險。任何補丁必須在隔離或冗餘系統上經過嚴格測試,以確保不會影響運營連續性和安全功能,部署只能在排定的停機時間內進行。

  • 網路複雜性: OT 網路通常涉及專有通信協議和來自多個供應商的硬體,使得標準化的安全控制難以實施。

因此,ICS 系統強化絕不能簡單地複製 IT 的實踐,而必須是一種專業化、有針對性的方法,旨在消除不必要的功能和服務,同時對營運中斷產生最小的影響。

 

III. 營運技術與安全複雜性的交會點:AI與遺留系統

1. 系統強化的核心困境:補償機制與設計缺陷

ICS 系統強化始終處於一個充滿張力的交會點。它既是當前的必要手段,又被質疑是否僅僅是為「設計之初即不安全」的技術打補丁。

在OT(營運技術)環境中,ICS系統強化處於營運必要性與複雜性的交會點,它是製造、能源和關鍵基礎設施安全的基礎。隨著基於人工智慧的網路化系統不斷擴展,工業控制系統 (ICS) 的強化必須隨之調整,同時在創新與緊急時間框架內可部署的修復之間取得平衡。

Accenture、Honeywell 和 TXOne Networks 的高階主管們普遍承認,ICS 強化在很大程度上確實是彌補性的。由於遺留系統經濟上或政治上難以立即替換,強化措施便成為了一種過渡性且關鍵的解決方案。透過增強安全層和實施補償性控制,組織得以在繼續使用現有技術的同時,降低其暴露程度。

2. 戰略轉變:追求韌性而非完美

面對持續擴展的網路化和 AI 驅動的威脅,工業領域的戰略思維必須轉向。

工業領域的核心在於如何實現優雅降級,主要在於讓系統和操作員具備抵禦網路威脅和攻擊的能力,而不是追求難以實現的完美防禦。高階主管正在權衡,如果沒有供應商透明度和對韌體、修補程式和專有堆疊的控制,ICS 系統強化是否能夠擴展,或者這是否仍然是該行業的核心漏洞。

這段話精確地指出了挑戰:當完美防禦不可實現時,重點就在於韌性(Resilience)。韌性是一種延伸的安全概念,它承認入侵最終會發生,並專注於確保即使在攻擊期間,核心運營功能也能持續運行。

 

IV. 網路韌性:優雅降級的戰略價值與實踐

西門子(Siemens)的報告和研究為實現網路韌性提供了關鍵的數據分析和技術概念。

1. 西門子調查揭示的行動差距

西門子的調查結果揭示了工業界在認知與行動之間存在的巨大鴻溝,這直接影響了整體韌性。

西門子報告稱,雖然100家工業企業中有80家將OT網路安全視為重中之重,但只有不到60家撥出了預算,只有31家製定了事件響應計劃,這導致網路安全韌性方面存在差距。

數據顯示,儘管絕大多數組織意識到 OT 網路安全是高優先級,但超過三分之二的組織仍缺乏實際的事件響應(IR)計劃。IR 計劃是網路韌性的核心,缺乏它意味著組織在面對真實攻擊時,無法快速、協調地限制損害。西門子建議,組織必須採取實際步驟,包括建立完整的資產清單、透過關閉不必要的端口來收緊網路,以及實施結構化的數據保護和復原措施,以彌補這些行動上的差距。

2. 優雅降級的實現機制與戰略價值

優雅降級(Graceful Degradation)是韌性策略的體現,它將安全控制與營運連續性深度整合。

西門子工程師的研究強調,網路韌性能夠確保即使在遭受攻擊時也能繼續運作基本功能,進而提升安全性。他們提出的「優雅降級」概念允許控制設備在受到威脅時縮減功能,從而減少攻擊面,同時保持關鍵操作的完整性。

優雅降級是一種智慧型設計,允許系統在部分功能受損或受到威脅時,仍然維持其核心、關鍵的運營職能。例如,一個能源變電站的保護設備,當偵測到網路通訊層面受到攻擊時,可以選擇立即禁用網路通訊以縮減攻擊面,但同時維持本地的故障安全保護功能(如開關或斷路器的實體保護),從而確保電網的安全。優雅降級的價值在於它將安全與人身安全目標結合,確保安全功能(Safety Functionality)不會因為網路攻擊而失效。

 

V. ICS系統強化的核心支柱:規模化與實施的障礙

ICS 系統強化的成功無法僅憑技術實現,其規模化和有效性取決於供應鏈透明度和政策的準確實施。

1. 供應鏈透明度與專有堆疊的挑戰

高階主管們一致認為,有效的系統強化無法在缺乏透明度的情況下大規模擴展。當操作員缺乏對韌體細節、修補程式流程和專有堆疊(Proprietary Stacks)的控制時,他們就是在「盲目打補丁」,這將直接引入系統性的營運風險。

  • SBOM的關鍵作用: 軟體物料清單(SBOM)被認為是推動供應商透明度的重要工具,它能讓資產所有者清楚了解其設備中包含哪些軟體組件,以便更精準地評估漏洞風險。

  • 「安全權利」的呼籲: 業界建議,應開發一套「安全權利」(Right to Secure)的概念,允許企業在不擔心失去保固或商業風險的前提下,對其 ICS 系統進行必要的安全強化,這將消除供應商因擔心產品控制權受損而產生的抵觸情緒。

  • Secure-by-Design: 供應商應從設計之初即納入安全考量,交付默認啟用強大安全配置的產品,並優先採用標準化通信協議而非封閉的專有解決方案,以利於整合和實施現代安全控制。

2. 政策與工廠車間執行的差距

ICS 系統強化失敗的常見原因並非技術限制,而是安全政策與工廠車間(Plant-Floor)實際運營的脫節

  • 政策與現實的衝突: 許多工業系統仍處於脆弱狀態,並非源於技術限制,而是來自於政策上的漏洞對變革的抵制。例如,如果安全控制措施未針對 OT 獨特需求進行定制,過度安全化(Over-Securitization)可能會干擾操作員的安全和工作流程。紅隊測試經常發現,簡單的配置錯誤、默認憑證或未監控的協議,僅僅因為安全控制在實際運營中不切實際而被忽略。

  • 營運意識的重要性: 不破壞可用性或安全程序的解決方案才是最持久的。成功的 ICS 強化需要量身定制的政策,並且必須與營運實際情況相結合。

  • 成本框架問題: ICS 系統強化傳統上沒有被納入標準維護成本,而被視為昂貴的「附加支出」。組織需要將網路安全預算重新定位為可靠性工程和設備維護的一部分,將其視為確保持續運營的必要投資。

 

VI. 面向AI與網路化系統的演進方向

在邊緣 AI、協議融合和分散式感測器網路的時代,ICS 環境的互聯性不斷增強「氣隙」(Air Gap)的神話早已破滅。系統強化策略必須隨之演進,超越傳統的邊界防禦。

1. 超越「氣隙」:戰略監控與零信任

隨著供應商不斷讓 ICS 環境變得更加互聯和智慧,越來越多的設備被連線到現有 ICS 網路之外,這增加了它們的暴露程度。

  • 主動監控: 增強的系統互聯性引入了擴大的安全風險,這要求實施戰略性的數據流監控作為關鍵的早期預警系統,以在生產中斷發生前偵測到異常行為和數據流

  • 現代基礎設施: 組織有機會部署具有額外安全控制的現代基礎設施,以支持超越網路安全範圍的 ICS 強化。

  • 零信任(Zero Trust): 隨著網路邊界日益模糊,ICS 環境必須朝著零信任原則演進,要求對所有存取請求進行持續驗證和授權,無論其來自網路內部還是外部。

2. 未來的方向:整合預防、意識和韌性

ICS 系統強化是一個分層的方法,必須整合預防控制、營運意識和工程韌性:

  • 人機協作: 消除 IT 安全團隊與 OT 運營團隊之間的障礙至關重要。有效的溝通能夠彌合政策與工廠車間實施之間的差距,並確保安全措施與運營效率和安全標準保持一致。

  • 韌性導向的設計: 在系統設計中納入優雅降級和故障安全(Fail-Safe)機制。

  • 持續可視性與控制: 透過資產清單、網路分段、以及對專有堆疊的控制,確保防禦者能夠在威脅行為者利用漏洞之前,看見並了解這些漏洞。

 

VII. 結論與行動呼籲

ICS 系統強化是一項複雜而關鍵的投資,它必須在安全性、韌性和營運連續性之間保持精確的平衡。它不僅是彌補遺留系統缺陷的臨時方案,更是建立網路韌性的戰略性基石。

為了實現 ICS 系統強化的成功,工業界必須:

  1. 重塑預算框架: 將網路安全視為可靠性工程營運維護的必要成本,以確保其獲得持續的支持。

  2. 要求供應商透明度: 積極推動 SBOM 的採用,並爭取對韌體和專有堆疊的必要控制權,以消除「黑箱」帶來的系統風險。

  3. 整合政策與實踐: 確保安全政策經過工廠車間人員的驗證和協商,並將安全控制措施與運營流程緊密結合,避免安全措施因干擾工作流程而被忽略或移除。

只有透過這種分層、整合且具備韌性思維的方法,關鍵基礎設施才能在不斷變化的網路威脅環境中,保障其運營的連續性和核心安全價值。


資料來源:https://industrialcyber.co/features/ics-system-hardening-balances-security-resilience-and-operational-continuity-across-ot-environments/
 
探討工業控制系統(ICS)強化在營運技術(OT)環境中的關鍵性與複雜性,強調其在維護製造、能源和關鍵基礎設施安全的基礎作用。