根據資安公司 SixMap 發布的一項名為「能源部門曝險評估」（Energy Sector Exposure Assessment）的最新研究報告，美國能源產業正處於嚴峻的網路安全風險之中，並且尚未為日益複雜的網路威脅做好準備。這項研究評估了 21 個能源組織，揭示了近 60,000 個暴露在網際網路上的服務，並指出傳統安全工具存在關鍵盲點，使得重要系統面臨高風險。

報告中最令人擔憂的發現之一是，許多暴露的服務運行在非標準埠（non-standard ports）和 IPv6 資產上。傳統的安全掃描工具和監控系統通常只專注於標準埠和 IPv4 網路空間，因此未能偵測到這些資產，形成了嚴重的「盲點」。根據研究，平均而言，約 7% 的服務運行在非標準埠上，而約 9% 的 IP 位址屬於 IPv6 空間。這些被忽略的資產如同未上鎖的後門，隨時可能被惡意攻擊者利用。

SixMap 的研究還識別出了 5,756 個已知的漏洞，其中 377 個是正在被積極利用的漏洞。這個數字凸顯了美國能源部門所面臨的系統性風險。這些漏洞不僅存在於資訊技術（IT）系統中，也存在於關鍵的營運技術（OT）系統中，這些系統控制著發電廠、配電網和水處理設施等重要基礎設施。一旦這些漏洞被利用，可能導致大規模的停電、供水中斷，甚至對國家安全造成威脅。

研究指出，問題的根源並非在於資安團隊的疏忽，而是在於他們所使用的工具的局限性。許多能源組織依賴的傳統資安工具和漏洞掃描器，其設計和功能已無法跟上現代網路環境的快速變化。這些工具缺乏對整個外部攻擊面（external attack surface）的全面可見性，特別是在處理非標準配置和新興網路協定方面。SixMap 的解決方案，其技術能夠檢查所有 65,535 個埠以及 IPv4 和 IPv6 兩個位址空間，旨在克服這些限制，為企業提供更完整的數位資產概覽。

攻擊者不會只攻擊標準埠，他們會尋找任何可能的入口點。這項研究證明，傳統的資安工具無法提供一個真實且完整的外部攻擊面視圖，這使得許多組織在不知情的情況下暴露於風險之中。呼籲能源企業應緊急採取措施，重新評估其資安策略，並投資於能夠提供更廣泛可見性的新技術，以確保其關鍵資產得到充分保護。

此外，還揭示了在雲端服務配置中存在的常見錯誤，這些錯誤可能導致敏感資料外洩或系統被未經授權的存取。隨著能源產業越來越多地採用雲端技術，這些新的風險點必須得到妥善管理。資安團隊需要具備跨越 IT 和 OT 系統、以及公有雲和私有雲環境的綜合管理能力，以應對不斷變化的威脅格局。

總體而言，這份報告向美國能源部門敲響了警鐘，提醒他們必須正視其資安防護的不足之處。在面對不斷進化的網路威脅、國家資助的駭客組織以及勒索軟體攻擊的威脅下，能源企業不能再依賴過時的工具和思維。提升對數位資產的全面可見性，彌補傳統資安工具的盲點，並實施全面的資安管理策略，是確保國家關鍵基礎設施安全的當務之急。

資料來源：https://industrialcyber.co/utilities-energy-power-water-waste/sixmap-study-us-energy-sector-unprepared-for-rising-cyber-threats-critical-blind-spots-leave-systems-exposed/