關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 營運技術
顯示分類
2025.11.03
標準與框架/營運技術
過時的風險模型和分散的應對框架可能會阻礙OT網路韌性的提升
摘要

全球關鍵基礎設施的網路安全正處於關鍵轉捩點。隨著網路威脅的數量與複雜性不斷攀升,傳統上依賴歷史假設的靜態風險模型和將資訊技術(IT)與營運技術(OT)割裂處理的零散應對框架,已成為削弱OT網路韌性的主要因素。真正的韌性不再僅僅體現在阻止攻擊的能力上,更在於遭受攻擊時,關鍵服務能持續運作的信心,以及組織從中快速恢復的能力。本研究將探討建立下一代OT網路韌性所需的典範轉移:從被動的清單式合規轉向動態風險評估、實現IT/OT的無縫協同、定義以結果為導向的衡量指標,並將威脅情報與實際營運決策深度整合。

 

關鍵基礎設施韌性面臨的挑戰與量化困境

未來十年,保護關鍵基礎設施的關鍵在於各國能否準確定義和量化這些關鍵設施的韌性,因為網路安全威脅和攻擊的數量和複雜性都在不斷增長。傳統的風險假設和零散的被動應對措施正在持續削弱營運技術(OT)網路韌性的支柱,如果沒有這些明確的衡量標準,資產所有者和營運者將面臨許多不確定性,例如網路攻擊的具體形式、關鍵設施能夠承受多大的攻擊,以及如何從網路安全攻擊中恢復這些系統。

以近期印度塔塔汽車旗下的捷豹路虎(Jaguar Land Rover)所遭受的網路攻擊為例,網路監控中心的報告估計,此次捷豹路虎網路攻擊對英國造成了19億英鎊的經濟損失,並影響了超過5,000家英國機構。但如果營運技術(OT)受到嚴重影響,或生產恢復到事件前水準出現意外延誤,損失可能更高。這項估計反映了捷豹路虎的生產製造、其多層級製造供應鏈以及包括經銷商在內的下游機構所遭受的嚴重破壞。

我們需要從依賴歷史假設的靜態風險模型,轉向能夠適應快速演變的威脅情勢的動態模型。此外,建構韌性取決於克服傳統的IT和OT響應鴻溝,數位和實體並行處理以及聯合監管使防御者能夠在事件擴散到裝配線或電網功能之前將其隔離。威脅情報需要與營運決策直接關聯,從而將網路安全作為維護、採購和調度流程中的一個即時組成部分。下一代安全基礎設施將包含自動化、人工智慧、監管審查和公眾監督,真正的營運技術 (OT) 網路韌性不僅體現在組織阻止攻擊的能力上,更體現在組織應對攻擊的速度以及在攻擊期間關鍵服務持續運作的信心上。

 

定義營運技術(OT)網路韌性的核心指標

對於關鍵基礎設施組織而言,韌性是平衡營運可靠性、法規遵循和網路安全的綜合能力。網路安全專家科思創(Covestro)的杜爾格什·卡利亞(Durgesh Kalya)指出,韌性應透過以下關鍵指標來衡量和定義:平均偵測時間(MTTD)、平均復原時間(MTTR)、關鍵營運的連續性,以及在中斷期間維持安全裕度的能力。他強調,與利益相關者溝通時,組織必須將這些技術指標轉化為商業語言,解釋基本營運和客戶服務能夠多快恢復正常。

而基礎設施專業服務公司STV的OT網路安全諮詢項目負責人丹妮爾·賈布蘭斯基(Danielle Jablanski)則提出,OT環境下的韌性是「在系統受到威脅時,儘管需要遏制和消除事件,仍能繼續運作的能力」,這與傳統上強調快速隔離和恢復的觀點有所不同。她主張風險管理應基於成果,例如確保控制系統在採購、現代化或調試前經過測試,實施整合的、即時的、數據驅動且威脅資訊充足的控制系統環境。韌性必須與持續改進掛鉤,不斷確認哪些預防性風險管理措施和安全控制正在積極發揮作用。

西門子印度研發高級專家希夫·卡塔里亞(Shiv Kataria)將關鍵基礎設施的韌性定義為「在不影響安全或營運的前提下,預測、偵測、承受並從中斷中恢復的能力」。這透過偵測成熟度、應對準備度、恢復能力和經過測試的程序來衡量。

 

從靜態到動態:風險評估模型的典範轉移

許多組織仍舊依賴靜態風險模型和清單式的合規性檢查,但面對快速演變的威脅情勢,這種方法已顯得捉襟見肘。為了使IEC 62443等框架更具動態性並與真實世界的對手行為保持一致,必須進行轉變。

卡利亞認為,IEC 62443標準如果實施得當,本身就具有動態性。關鍵在於整合持續監控、威脅建模和基於情境的演習,將框架控制與實時威脅情報和營運遙測數據對齊,而非僅僅依賴一年一度的審核或評估。

賈布蘭斯基則指出,雖然標準本身(如IEC 62443)是優良的,但由於大多數OT安全計畫的成熟度和法規要求尚未推動其全面採用,因此採用率有限。為了更具動態性,標準中需要有更多適用於持續改進計畫和指標的部分,以及針對各行業環境如何採用這些標準的具體指導。她強調,最好的做法是將像IEC 62443這樣的框架與實時威脅情報、流程感知監控和攻擊路徑驗證相結合。卡塔里亞也同意,靜態清單在OT中無效,需要的是持續、威脅驅動的評估、對手模擬以及基於流程影響而非理論控制成熟度的優先順序劃分。

 

克服IT與OT之間的應對鴻溝

真正的韌性取決於準備而非反應。主動的事件管理程序對於ICS環境至關重要,並且需要確保OT、IT、安全和緊急應變團隊之間的無縫協調。

卡利亞強調,主動事件管理計畫應在危機發生前就強調準備、溝通和協調。在ICS環境中,這意味著制定清晰的劇本,在統一的指揮結構下整合OT營運、IT安全、安全和緊急應變(例如,ICS4ICS模型)。

賈布蘭斯基認為,主動風險管理始於審核。組織在未瞭解起點的情況下,便急於購買工具以實現自動化,卻往往忽略了內部的差距分析:誰負責什麼?所選工具如何提供整體風險降低?我們是否瞭解資產、系統的相互依賴性以及單點故障?她補充說,持續改進的過程可能是漸進的,但絕非線性的。卡塔里亞總結,主動的ICS事件計畫是預防、工程防護措施和預演應對的結合,這需要資產可見性、經過測試的備份、OT專門的運行手冊以及跨團隊的聯合演練。

 

將威脅情報與營運決策深度整合

傳統上,威脅情報多集中於IT網路。然而,工業環境的韌性取決於縮小網路情報與工程認知之間的差距。卡利亞建議,這意味著將技術性威脅數據(如IOC或對手戰術)轉化為可顯示攻擊如何影響營運或安全的洞察,例如改變PLC邏輯或破壞程序數據。組織可以透過讓網路安全專家與工程師並肩工作,鼓勵相互學習,並使用以實際流程影響而非抽象網路警報來描述威脅的共享OT和IT儀表板,以強化這種聯繫。

賈布蘭斯基觀察到,由於保護每個營運點都需要具體情況的知識,OT中攻擊模式的標準化仍然具有挑戰性。資產所有者和營運者正透過繪製任何網路事件可能在其環境中產生的潛在影響圖,並努力保護這些依賴關係,從而逐步建立OT網路安全計畫。透過“皇冠珠寶分析”(crown jewel analysis)和相互依賴性來優先排序控制措施,組織能夠專注於對其流程至關重要的設備層級。

卡塔里亞提到,OT威脅情報必須轉化為工程背景:協議濫用、流程操縱路徑和不安全的遺留介面。營運商需要的情報應能為變更管理、維護程序和區域劃分決策提供資訊,而不僅僅是SOC警報。重點在於物理流程可能如何受到影響,而不是惡意軟體的名稱。

 

資源配置與永續營運可靠性的重新思考

在資產和控制措施的優先排序方面,組織最常誤配資源或投資的領域,往往是過度投入於偵測技術,卻忽略了資產可見性、分段和恢復等基本要素。專家指出,許多組織在實施複雜的解決方案之前,未能掌握最基本的資產清單和網路架構。

要重新調整工作方向以實現任務連續性,組織必須回歸基礎。這包括投資於OT環境特定的網路分段,以限制攻擊面的擴散;實施嚴格的資產管理以確保所有設備已知且受控;以及測試恢復能力,確保備份和復原計畫能在OT系統發生重大中斷時迅速生效。

 

下一代安全基礎設施的藍圖

OT網路韌性的未來藍圖,建立在從靜態、被動的合規思維向動態、主動、以成果為導向的防禦體系轉變之上。這場轉變的核心是IT與OT的融合,透過共享的流程、統一的指揮結構和共同的威脅視角,打破長期的組織隔閡。未來的安全基礎設施將廣泛利用自動化和人工智慧(AI)來應對不斷變化的威脅,並在持續的監管審查和公眾監督下運行。真正的OT網路韌性是一種長期績效的保證,它依賴於能夠在壓力下演變和恢復的系統,確保關鍵服務在攻擊期間仍能信心十足地持續運作。


資料來源:https://industrialcyber.co/features/outdated-risk-models-fragmented-response-frameworks-threaten-to-undermine-progress-toward-ot-cyber-resilience/
 
剖析傳統靜態風險模型與零碎的IT/OT應對框架如何嚴重威脅關鍵營運技術(OT)基礎設施的網路韌性