關閉選單
  1. Home
  2. NEWS最新消息
  3. 案例與專題
顯示分類
2025.08.11
案例與專題/工控系統
日益增加的 OT 網路風險需要更強大的網路實體安全來保護遺留系統和營運持續性
OT環境的網路風險:舊有系統與新興技術的挑戰

隨著第五代行動通訊(5G)、邊緣運算和物聯網(IoT)等新興技術的廣泛應用,營運技術(Operational Technology, OT)環境正經歷一場前所未有的變革。這種技術整合在帶來效率提升的同時,也為企業帶來了雙重挑戰:一方面是如何確保即時的營運安全,另一方面是如何在漫長的政策週期內,保護那些最初設計時並未考慮到當今威脅環境的舊有系統。

一個單一的軟體漏洞,例如2024年6月的CrowdStrike更新事件或SolarWinds資安漏洞,都證明了這些相互連結的系統可能引發骨牌效應。其影響不僅限於組織內部,還可能波及到關鍵功能之外,例如營運中斷、產品品質或完整性的損失,甚至導致供應鏈全面崩潰。因此,企業需要快速量化這些風險,並將其作為優先考慮網路防禦和戰略投資決策的先決條件。

然而,現有的網路實體安全法規和標準在應變速度上,往往跟不上攻擊者的腳步。我們需要一種能夠與時俱進,與威脅環境共同演進的治理模式。尤其是在OT環境中,對持續營運和機器對機器(machine-to-machine, M2M)信任的需求,使得零信任原則的直接應用變得困難重重。這就需要我們對零信任進行獨特的調整,在確保安全性的同時,維持強大的防禦機制。人工智慧(AI)和自主安全系統也正在發揮作用,透過提供額外的偵測和應對能力,來強化網路實體安全。在一個高度互聯的世界中,真正的韌性需要重新構想信任的邊界,並使工業營運的每一個層級都變得更加安全。
 

平衡即時安全與舊有系統保護

工業網路安全專家們深入探討了如何解決在維持即時營運安全,與保護舊有網路實體安全所需的漫長修補時間之間存在的矛盾。

Mandiant公司工業控制系統/OT安全諮詢業務全球負責人Paul Shaver指出,確保營運安全是工業流程具備韌性的核心要素,這包括保護現代和舊有系統。然而,舊有系統面臨著一些挑戰,例如在大多數情況下無法直接替換或修補。他建議,防禦者應該依賴補償性控制措施來保護關鍵功能,例如網路和實體隔離、維護和測試備份、存取管理、偵測工程和主動威脅追蹤。他強調,風險評估能指導哪些漏洞需要緊急處理,哪些可以納入長期的修補計畫,從而在加強安全的同時確保營運永續。

Fortinet公司OT安全業務開發負責人Agustín Valencia Gil-Ortega則認為,某些技術可以顯著簡化這個挑戰。他舉了兩個例子:首先,配備了工業協議深度封包檢測功能的現代新世代防火牆,可以在不中斷營運的情況下應用入侵防禦系統(IPS)簽章,這種方法被稱為「虛擬修補」。其次,他提到了網路微隔離,透過現代防火牆來管理現代交換器,讓生產網路無需重新設計,就能提供隔離,從而阻擋惡意軟體進行橫向移動

Armexa公司OT網路安全副總裁John Cusimano則指出,安全(Safety)和資安(Cybersecurity)必須共同設計,而不是將其視為獨立的學科。許多舊有網路實體系統(CPS)缺乏現代安全控制,但卻執行著無法中斷的關鍵安全功能。他建議採用一種「網路安全工程」的方法,將安全和資安風險評估整合在一起。他認為,基於ISA/IEC 62443-3-2標準的Cyber PHA或Cyber HAZOP等方法,可以讓跨職能團隊共同識別和緩解可能影響安全的網路風險。

SiriusPPT公司的總裁兼執行長Marty Edwards則認為這個問題並不存在太多矛盾,因為防禦者有足夠的選項來保護新舊系統。他強調,適當的規劃、實施,尤其是測試與安全相關的硬體和軟體,將有助於確保一個安全可靠的環境,並將停機時間降到最低。
 

量化軟體漏洞的骨牌效應

在談到軟體漏洞如何透過相互連結的供應鏈層層傳播,並對關鍵流程造成系統性風險時,專家們也分享了如何有效量化這些風險的方法。

Shaver觀察到,一個廣泛使用的元件中的單一漏洞,可以複製到無數部署的系統中,從而產生廣泛的攻擊面。供應鏈的淪陷可能會植入惡意程式碼或後門,導致關鍵流程的系統性中斷。他認為,可以透過軟體物料清單(SBOM)、威脅模型、影響評估和模擬演練來量化風險,以計算潛在的停機時間和財務損失。他也提到,OT環境中常見的「扁平網路」(flat networks)讓攻擊者能夠利用一個漏洞,進而存取流程中的其他元件。因此,網路隔離是一種很好的預防性控制,可以在軟體漏洞或零日漏洞被利用時,限制攻擊的影響範圍。

Valencia指出,漏洞和風險量化需要從元件層級擴展到系統和生態系統層級。他以「ICS諮詢專案」為例,該專案根據作業系統和工業製造商,顯示了相同的漏洞。前者可以提供CVSS(分析師)和EPSS(可利用性預測)等數據,而後者則可以為工業擁有者提供有關流程影響,甚至涉及供應商的數據。他認為,為了彌補這兩種觀點的差距,應該推廣像「SSVC」(Stakeholder-Specific Vulnerability Categorization)這樣的方法,它有助於將技術風險評估與利害關係人的優先事項和營運現實結合起來。

Cusimano指出,軟體漏洞可以透過相互連結的系統傳播,尤其是在第三方元件被深度嵌入工業供應鏈時。一個單一的函式庫或協議堆疊中的缺陷,可以透過OEM、整合商和營運商傳播,從而危及關鍵流程。他認為,量化這種風險取決於情境,威脅模型對於評估個別產品的風險是有效的,而Cyber HAZOP或Cyber Bowtie等技術則更適合用於評估相互連結系統的風險。這些方法有助於可視化漏洞如何導致連鎖故障,並讓防禦者能夠根據安全性、可用性和法規影響來優先處理緩解措施。

Edwards則指出在滑動式機器應用中,這在供應商提供的控制系統中尤為常見。最終用戶可能對使用何種PLC或控制系統知之甚少或沒有影響力,並且由於保固問題,可能無法直接升級或修補系統。他強調,採購者在採購和購買文件中加入正確的安全相關語言是絕對必要的,以確保他們從所有供應商那裡獲得所需的安全保障。
 

重新思考治理:縮小法規與威脅現實之間的差距

當被問及目前的網路實體安全法規和標準生態系統,是否能真正跟上攻擊者的步伐,或者是否需要一個新的治理模式時,專家們提出了不同的見解。

Shaver強調,由於技術的快速發展和攻擊者的敏捷性,目前的生態系統難以跟上腳步。此外,儘管「一刀切」的標準和框架方法是有效的,但要在不同產業之間找到共通點以實施統一法規是極其困難的。他認為,更關鍵的是即時的威脅情報共享、公私部門合作,以及一個可能促進持續安全改進以應對不斷演變威脅的全球框架。他指出,因為威脅和技術的演變速度快於標準,因此建議採用一種基於威脅的安全方法,將符合法規或使用通用標準作為「打勾」練習。

Valencia則認為,答案是否定的,但這並不是因為我們需要另一個法規,而是因為地區之間存在碎片化。這種碎片化迫使供應商和擁有全球業務的資產擁有者,必須加倍努力遵守法規,並為不同地區的類似系統應對不同的產品管理要求。他指出,世界經濟論壇已經廣泛討論了這個問題,強調真正的需求在於增強法規框架之間的互操作性。

Cusimano則認為目前的法規和標準生態系統,特別是ISA/IEC 62443,為網路實體安全提供了堅實且適應性強的基礎。他認為重點不應該是建立一個新的治理模式,而是嚴格應用和因地制宜地調整現有標準。他以LOGIIC研究為例,證明了透過Cyber PHA工作坊應用ISA/IEC 62443-3-2,如何讓利害關係人識別和緩解IIoT架構中的風險。他總結說,關鍵不在於替換標準,而在於確保其實施的深度和敏捷性,足以應對不斷演變的威脅。

Edwards指出,「攻擊者」這個詞在現今被過度使用。他認為,系統擁有者必須評估其獨特的風險,以應對從人為錯誤或內部威脅,到勒索軟體或惡意程式碼,再到某些產業或部門中的高級、持續性國家級攻擊者等所有威脅。他強調,企業不需要為了滿足標準而使用標準所推薦的方法,也不必只實施法規要求的「最低限度」,而是應該根據其組織自身的風險承受能力來選擇安全解決方案。
 

OT環境的零信任原則與持續營運

專家們也討論了如何在依賴持續資料流和機器對機器信任才能安全運作的OT環境中,應用零信任(Zero Trust)原則。

Shaver指出,絕大多數OT設備在設計上,並未支援零信任功能。在許多情況下,我們能做到的最好方法是透過基於存取控制清單(ACL)的安全機制,建立強大的微隔離,來保護所有通訊。他認為,OT應該與IT有獨立的Windows網域,並且不應存在信任關係。在某些OT網路中,可以採取「信任但驗證」(trust but verify)的方法,透過明確的策略來驗證資料流和互動,而不是固有信任。

Valencia則表示,零信任在OT中是必不可少的,儘管需要根據具體情境採取細緻入微的方法。他強調,最重要的是適用於特權存取的一切,因此這些概念需要從用戶、用戶使用的設備、用戶的權限,以及用戶有權存取的廠區目的地來應用。他也提到,在智慧電表或電動汽車充電樁等M2M通訊場景中,嵌入式的網路存取控制(NAC)功能和零信任網路存取(ZTNA)隧道是確保安全M2M通訊並防止中間人攻擊所必需的。

Cusimano觀察到,OT環境中的零信任必須進行調整,以在實施嚴格存取控制的同時,保持營運的持續性。他指出,NIST的零信任架構(ZTA)強調動態的、基於會話的身份驗證和授權,即使是M2M通訊也不例外。在OT中,這意味著在不中斷即時營運的情況下,持續驗證設備的身份、完整性和行為。最終,他認為,OT中的零信任並非要消除信任,而是要讓信任變得有價值、有情境並持續驗證。

Edwards認為,零信任是另一個被過度使用的流行語。他建議,如果企業能在網路存取和隔離,或針對人員和設備的身份安全等領域盡職調查,那麼將會在提高安全態勢上取得進展。他強調,並非所有事物都能盲目地應用於所有系統,必須採取工程學的方法來確保安全系統的設計能滿足最終用戶公司的需求。
 

AI在網路實體安全防禦中的角色

專家們也探討了人工智慧和自主系統在網路實體安全防護中應扮演的角色。

Shaver表示,AI和自主系統正變得越來越關鍵,可用於即時異常偵測,識別複雜OT網路中表明攻擊的細微偏差。它們可以自動化威脅應對,透過分析龐大的資料集來預測潛在漏洞,並優化系統配置。這將減少人為錯誤並加速防禦行動,顯著增強關鍵基礎設施的韌性。

Valencia認為,AI目前正透過多種方式協助防禦這些基礎設施。機器學習/AI被用於減少警報疲勞,例如將類似事件分組、確認與分析師先前處理過的警報相似的警報,並理解警報的不同面向以向分析師發出警告。此外,他指出,生成式AI相關的應用則是用於偵測和協調應對系統,將事件和警報與已知模式進行匹配,並讓AI顯示關係、建議行動和應對手冊,以供防禦者使用。

Cusimano指出,AI和自主系統正成為防禦網路實體基礎設施的關鍵。AI透過即時異常偵測、預測性威脅分析和自動化事件應對來增強情境感知,這些能力在毫秒必爭的環境中至關重要。他補充說,在工業環境中,AI驅動的預測性維護可以將停機時間減少多達50%,而異常偵測系統可以識別流程行為中可能預示網路入侵或設備故障的細微偏差。

Edwards則持謹慎態度,他認為生成式AI尚未成熟到可以「閉環」的程度。他表示,AI在協助人類安全操作員篩選海量資料,以協助組織優先處理風險最高的議題上,確實非常有效。但他強調,他對於允許基於AI的系統在關鍵基礎設施中自主進行變更,仍會保持極度謹慎。他認為,那個時代可能會到來,但現在還沒有。
 

5G、邊緣、IoT如何模糊工業安全邊界

隨著工業系統與5G、邊緣運算和IoT的融合,專家們探討了安全架構師應該如何重新思考互聯機器和關鍵流程的保護邊界。

Shaver指出,在過去幾年中,我們看到邊緣系統中的漏洞被利用,以及IoT設備被劫持為殭屍網路的事件穩步增加。安全架構師必須採用「零邊界」的心態,將保護範圍擴展到傳統網路邊界之外。這涉及強大的身份和存取管理、端點安全,以及在部署中採用「安全設計」和安全編碼原則,並進行持續的安全監控。

Valencia表示,我們必須堅持既有的區域和管道策略,但要認識到現在有更多領域需要考慮。他提出了幾個關鍵問題,例如應用程式、實例或設備是否可以被隔離,以便每個實體只與工廠內指定的安全區域進行通訊,並對任何與外部網路的通訊應用特定的控制措施。他也強調,必須全面可視化所有新管道及其相關威脅和漏洞,並納入外部攻擊面監控。

Cusimano指出,工業系統與5G、邊緣運算和IoT的融合,要求我們從傳統的基於邊界的安全性,轉向動態的、以架構為導向的保護。他認為,ISA/IEC 62443的區域和管道模型仍然高度相關,能夠在異構環境中實現隔離和客製化控制。防禦深度(Defense-in-depth)必須從現場設備擴展到企業平台,並進行持續監控、安全配置和明確的資安責任歸屬。

Edwards則認為,在設計控制系統時,需要仔細評估哪些運算功能應放在內部,哪些應放在雲端。他強調,無論是使用私有5G通訊系統還是有線乙太網路,都必須仔細檢視所有設備及其資料流,並確保在每一步都有足夠的安全保護。在設計階段,必須問自己一個問題:「當網路連線中斷時,您的工廠控制系統中的某些功能是否可以容忍在降級狀態下運作?」

資料來源:https://industrialcyber.co/features/mounting-ot-cyber-risks-demand-stronger-cyber-physical-security-to-protect-legacy-systems-and-operational-continuity/

隨著5G、邊緣運算及物聯網技術的普及,營運技術(OT)環境面臨的網路實體安全風險日益嚴峻。