報導摘要
全球網路安全情勢日益嚴峻,尤其針對關鍵基礎設施的營運技術 (OT) 系統。為此,美、加、英、德等八個國家聯手發布了名為《創建和維護OT架構權威視圖》的新指南。該指南明確指出,缺乏對OT系統資產及其連接的清晰理解,將導致安全團隊無法有效偵測漏洞、實施控制或應對事件。因此,建議OT營運商應擺脫僅關注單一資產的舊有模式,轉向採用全面性的方法來評估整體架構的關鍵性和潛在衝擊,從而更有效地評估風險並實施相稱的安全控制。指南的核心目標是建立一個不斷更新的「權威記錄」,以確保對其OT系統有準確、最新的視圖。
國際合作與指南核心
多個國家的網路安全機構聯手為營運技術 (OT) 組織制定了新的指南,特別是用於建構和維護其架構的明確視圖。8月中旬,美國、加拿大、澳洲、紐西蘭、荷蘭和德國的機構發布了針對OT所有者和營運商的資產清單指南。在英國的加入下,這些國家現在已發布了一份後續文件,解釋了組織如何利用資產清單、SBOM 和其他資料來源來創建和維護權威記錄,這是一系列不斷更新的文件,代表了其 OT 系統的準確和最新視圖。
創建所有 OT 系統的權威記錄可能非常複雜且耗時,建議根據系統對業務功能的影響和潛在的國家影響、基於可以更改配置或直接控制流程的第三方連接以及基於系統的整體暴露程度來確定係統的優先級。該指南重點在於五項原則:
五大核心原則詳解
指南要求組織圍繞以下五大核心原則建立和維護OT系統的安全防線:
(1) 定義建立和維護最終記錄: 包括建立資料來源、建立驗證所收集資訊的流程以及確定如何維護最終記錄。這是確保記錄準確性與持續性的基礎。
(2) 建立OT資訊安全管理計畫: 最終記錄將包含對威脅行為者極具價值的信息,因此組織需要確定該計劃的範圍,確定OT信息對攻擊者的價值,並確保信息的安全。
(3) 識別和分類資產以支持基於風險的決策: 包括定義每項資產的關鍵性、暴露程度和可用性,使組織在考慮新的或更新的安全控制措施時能夠做出有效的決策。
(4) 識別和記錄 OT 網路內的連接: 組織需要確定資產通訊需求,確定所需的通訊協定及其安全措施,了解目前實施的架構安全控制措施,記錄網路限制,並確定現有安全控制措施在遭到入侵的情況下是否會被攻擊者繞過。
(5) 記錄第三方對OT系統的風險: 確定與外部連接相關的每個實體的信任等級、第三方提出的合約要求,以及第三方是否正在安裝用於帶外存取的設備。此舉旨在降低供應鏈和遠端存取帶來的潛在風險。
IT/OT整合與未來展望
指南中一個關鍵建議是鼓勵營運技術(OT)與資訊技術(IT)團隊之間加強協調與合作。鑑於這兩個傳統上獨立的領域正面臨日益增長的共同威脅,如內部威脅和勒索軟體集團(例如 ShinyHunters 和 Scattered Spider)的興起,團隊間的協同合作至關重要。透過結合 IT 團隊的網路安全實踐知識與 OT 團隊對工業流程和營運限制的專業理解,組織可以創建出一個大幅改進的 OT 架構,從而提升整體安全防護能力,這是有效實施該指南並確保工業控制系統長期安全穩健運作的基石。
備註:台灣應用軟件對這個議題和相關指南文件,有更深入的研究和整理,想要更深入瞭解OT和ICS盤點議題的組織,可以聯繫台灣應用軟件公司。
資料來源:https://www.securityweek.com/new-guidance-calls-on-ot-operators-to-create-continually-updated-system-inventory/
美國、加拿大、澳洲、紐西蘭、荷蘭、德國和英國等國的網路安全機構聯合發布了針對營運技術(OT)組織的最新指南,旨在協助OT營運商透過資產清單、軟體物料清單(SBOM)等資料來源,創建並維護OT系統的「權威記錄」。