美國國家標準與技術研究院 (NIST) 發布了特別出版物 1800-41 的初始公開草案，這是一份新的網路安全實踐指南，旨在幫助製造商應對和恢復針對工業控制系統 (ICS) 和營運技術 (OT) 環境的網路攻擊。該指南由國家網路安全卓越中心 (NCCoE) 開發，其發布正值製造商面臨勒索軟體、破壞性惡意軟體以及針對互聯工業系統的攻擊等日益嚴重的運營中斷風險之際，這些系統正日益成為生產和供應鏈運營的基礎。

SP 1800-41 的公眾評議期將持續到今年 7 月 8 日，NIST 正在尋求業界對旨在加強製造基礎設施和 ICS 部署網路彈性的框架的回饋。

該指南草案旨在透過切實可行的方法來提升製造環境的營運韌性，涵蓋事件回應協調、事件分析、日誌審查、復原計畫以及攻擊後工業流程的復原等環節。草案由11家產業合作夥伴共同製定，這些合作夥伴包括雲端服務供應商、工業自動化公司、網路安全廠商和基礎設施專家，例如亞馬遜網路服務（AWS）、思科、Dragos、Google雲端、羅克韋爾自動化、西門子股份公司和Tenable 。該指南透過一個模擬真實工業運作的製造工作單元，展示了NIST網路安全框架下的回應和復原工作流程。

SP 1800-41 出版品反映了工業網路安全優先事項的更廣泛轉變，即從單純的邊界防禦轉向恢復準備和營運連續性。 NIST 指出，縱深防禦架構無法完全消除製造環境中的網路風險，隨著工業網路互聯程度的提高和軟體驅動程度的加深，協調一致的復原能力變得日益重要。該出版物重點關注如何減少營運停機時間、利用工具加快回應和復原速度、啟用 ICS 工具的日誌記錄功能、進行資料聚合和取證分析技術，以及探索 ICS 環境中不同的隔離方案。 

NCCoE團隊開發了三個真實網路安全事件場景，包括USB傳播威脅和兩種主動式工業控制系統（ICS）環境攻擊，旨在展示組織如何使用市售工具來應對和恢復網路攻擊。每個場景都應用了NIST網路安全框架中的核心網路安全功能，涵蓋檢測、遏制、根除和恢復，以增強營運韌性。本指南假設組織已製定事件回應計劃，並詳細介紹了回應團隊如何從首次警報到全面恢復執行該計劃。

該文件詳細闡述了工業控制系統 (ICS) 和網路面臨的網路安全事件數量不斷增長，這些事件威脅著安全、生產連續性和財務穩定。營運這些環境的組織面臨越來越大的壓力，需要建立更成熟的網路安全能力，但許多製造商難以跟上不斷演變的安全需求的規模和速度。

在營運技術 (OT) 環境中建立有效的事件回應機制，需要快速識別威脅、協調各個子系統和供應商設備，以及營運網路和資產的可見性。然而，許多工業控制系統(ICS) 環境仍面臨來自傳統系統的日誌記錄和遙測資料有限、供應商監管分散、產業協議多樣化以及營運部門和業務部門之間協調不一致等問題。這些缺陷共同構成了有效反應操作的主要障礙。

恢復工作也面臨類似的挑戰。成熟的復原方案依賴可靠的備份和硬體替換策略、員工培訓、經過驗證的操作手冊以及可信賴的配置。然而，由於生產壓力、停機時間擔憂、供應鏈限制、對專用設備的依賴以及員工培訓不足等原因，許多製造商並未優先考慮這些能力。因此，恢復流程往往不夠完善，增加了網路攻擊後長時間營運中斷的風險。

該報告還重點指出，IT 和 OT 網路的融合正在重塑工業網路風險。以往孤立的ICS 環境主要以可靠性為設計目標，對網路威脅的考慮有限。隨著工業系統與企業 IT 環境的連結日益緊密，攻擊面不斷擴大，而許多傳統的 IT 安全控制措施仍無法滿足即時工業運作的需求。 NIST 警告稱，這種融合使得在整個製造環境中製定協調一致的響應和恢復計劃變得愈發重要。

此專案情境模擬了針對製造環境的網路攻擊，但並未利用實際產品漏洞。 NIST 假設攻擊者在攻擊被偵測到之前（無論是在營運影響發生之後還是發生之前），已經獲得了初始存取權限，進行了探索活動，並在環境中橫向移動。該指南基於以下假設：製造商已製定並維護了符合NISTIR 8428 中概述的《運營技術數位取證和事件響應框架》的、有據可查的事件響應計劃。

SP 1800-41 文件假定事件回應計畫涉及營運人員、工程師、維修團隊和 IT 人員之間的跨職能協調，並在事件發生前預先批准影響評估和回應措施。復原計畫與 NIST 網路安全框架 2.0 和 NIST SP 800-184 網路安全事件復原指南保持一致。

雖然該計畫使用的實驗室環境代表了小規模的生產環境，但美國國家標準與技術研究院 (NIST) 表示，所展示的方法旨在擴展到更大規模的工業運作。該指南主要著重於網路安全框架的回應和復原功能，同時假定組織已具備治理、識別、偵測和保護方面的能力。

從這些場景中汲取的經驗教訓強調了事件回應和復原過程中所有參與者之間協調的重要性。 NIST發現，準備和規劃對於成功的應變工作至關重要，尤其要採用結構化方法來評估運作威脅並實現及時決策。這些場景也突顯了提前應對常見攻擊途徑的價值，包括憑證重用和憑證共享。

該指南強調，有效的日誌記錄和監控能夠顯著提高事件評估和解決的速度和準確性。針對工業環境調整監控工具、關聯來自多個輸入源的數據，以及將OT設備自帶的診斷工具整合到更廣泛的安全資訊和事件管理系統中，這些措施都能提高可見度並加快響應速度。 NIST還發現，不可變備份儲存能夠保護關鍵資料和配置免受未經授權的修改，從而加強復原工作。

另一項重要發現是事件回應過程中營運環境的重要性。來自生產、工程、營運和安全團隊的意見有助於企業做出更安全、更有效的決策，同時最大限度地減少生產中斷。這些場景進一步表明，超越傳統日誌記錄的監控方法，例如行為分析和更廣泛的數據關聯，能夠提升異常檢測能力，加快調查速度，並增強整體工業韌性。在所有場景中，持續監控、資料關聯、視覺性最佳化和安全可靠的備份等功能均能有效縮短從偵測、調查到復原所需的時間。

本月初，美國國家標準與技術研究院 (NIST)將九種數位簽章演算法推進到其後量子密碼標準化工作的第三輪，該機構正持續研發能夠抵禦未來量子電腦攻擊的加密系統。在最新發布的報告中，NIST詳細介紹了第二輪評估過程，並指出，在評估了公眾回饋、安全分析、實現效能和部署考慮後，NIST 選擇了 FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign 和 UOV 這九種演算法進行進一步審查。

資料來源：https://industrialcyber.co/nist/nist-publishes-sp-1800-41-draft-to-focus-on-ransomware-response-operational-recovery-in-manufacturing-networks/