關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 營運技術
顯示分類
2026.02.02
標準與框架/營運技術
為什麼OT網路安全難以證明其價值

多年來,我親眼見證了 OT 網路安全在解決一些最棘手的問題方面取得了多大的進展。並非因為缺乏有能力的供應商或富有遠見的工程師,恰恰相反。許多技術基礎模組早已存在,而且往往就在我們眼前。缺失的並非創新,而是欠缺一種領導階層能夠辨識、捍衛並採取行動的價值衡量方法。

在多個職位上,我參與了該學科的發展演變,並見證了關鍵要素幾乎完美融合的時刻。最近的例子是配置完整性和網路可見性,兩者都揭示了重要但並不完整的真相。而它們結合起來,則預示著一種更強大的能力:即了解工業系統是否在安全、已知且受控的範圍內運作。

當時,這種綜合分析在商業上難以站得住腳。並非因為它缺乏價值,而是因為我們當時評估網路安全主要還是以威脅為中心,忽略了其在營運和商業方面的價值。該行業並不缺乏數據或能力,而是缺乏一種衡量網路安全價值的方法,以便領導層能夠從這個角度出發,捍衛並投資於網路安全。

問題從來不在於數據匱乏

回想起那些時刻,有一點很明確:這個行業從來不缺乏工程嚴謹性和數據。它所缺乏的是對哪些數據重要、數據之間如何相互關聯、數據應該如何解釋以及如何將數據結合起來以提供減少後果的證據的共同理解。

當我們把「安全相關資料」局限於控制系統和看似威脅的資訊時,我們無意中忽略了OT環境中一些最豐富的真實資訊來源。這些資訊來源在預防不良後果方面,比傳統的安全訊號本身更為有效。需要澄清的是,我從未說過目前的OT安全實踐是錯誤的,只是認為它們不夠完善。 ICS安全固然重要,但它只是整體安全性和彈性的組成部分之一。這就是結果導向思維所暴露出的缺陷。

已被忽視的真理來源其實早已存在

基於結果的視角,例如CIE-CORE中正式提出並透過CDPV實現的視角,其核心並非引入全新的遙測技術,而是將現有但各自獨立的數據重新連接起來。隨著CIE-CORE在預期流程中上下移動,各種機會將會湧現。
  1. 預期狀態(工程真理)
  • 控制系統設定檔
  • PLC和DCS邏輯
  • 安全系統設定點和跳脫閾值
  • 已批准的基準和變更歷史記錄
這些定義了系統應該做什麼。
  1. 觀測狀態(操作真理)
  • 過程遙測和歷史數據
  • 模式變更、覆蓋和警報
  • 控制迴路行為和穩定性
這些揭示了系統實際上在做什麼。
  1. 資產狀況和可靠性(故障真相)
  • 維護工作單和積壓
  • 故障模式及糾正措施
  • 延遲維護和資產老化
這些跡象顯示風險正在悄悄累積。
  1. 人際互動(依賴性真理)
  • 操作員介入和確認
  • 手動覆蓋和程序變通方法
  • 培訓資格和角色資格
這揭示了韌性取決於人而不是設計。
  1. 治理與決策記錄(權威真理)
  • 變更審核和例外情況
  • 風險接受決策
  • 臨時補償控制
這些描述了某些風險存在的原因以及誰應該承擔這些風險。
  1. 網路遙測(訊號真相)
  • 東西方交流模式
  • 遠端存取使用情況
  • 身份驗證和會話行為
這些訊號可以作為參考,但本身很少能得出結論。
為什麼這些數據從未被視為“安全數據”
單獨來看,這些資料來源都沒有失效。總的來說,它們從未在共同的安全框架下合併。每個資料來源的收集都出於特定的營運目的,並在各自的孤島中進行管理,其價值也以特定領域的術語來定義。由於我們的安全評估系統問的是「這是否構成威脅?」,而不是「這是否會造成不可接受的後果?」,因此這些資料來源從未被解讀為與安全相關的證據。這就像我們過倫敦街頭時只看左邊一樣。它們被視為營運責任和消耗品,而不是安全決策的輸入。因此:
  • 它們的總價值是看不見的
  • 投資難以證明其合理性
  • 編排看起來像是成本而不是槓桿作用
將安全性重新定義為結果保證
當我們從第0層和第1層的不良結果倒推時,就會出現不同的情況。安全不再是靠修補程式更新或漏洞統計來勉強維持的,而是成為系統的一種自然屬性,這些系統具備以下特點:
  • 在既定範圍內運作
  • 持續根據實際情況進行驗證
  • 由明確的權威和問責制進行管理
實現這一目標的進展是可以衡量的,一旦進展可以衡量,就能夠獲得資金支持。
是鬆餅,不是吐司 (The Waffle, Not the Toast)
我經常使用簡單的類比。你不能像在吐司上抹黃油那樣均勻地分配預算,而應該像在鬆餅上抹黃油那樣,重點塗抹在有孔的地方。
這些漏洞早已存在,並非技術層面,而是我們衡量工業安全體系價值的方式有問題。揭示這些漏洞的數據也早已存在。我們所缺乏的是一種將這些資訊整合起來,形成領導階層可以信賴的、連貫一致的後果評估方法。
這將導致什麼?
這不僅是安全工具之間的協調,而是工程、維運、維護和治理等各環節的協調。當這些真理來源最終不再僅基於威脅,而是基於後果進行評估時,網路安全就不再是一項支出,而是一項投資。如果這些真理來源已經存在,如果我們最終以不同的方式衡量它們,會發生什麼變化?。
本文作者:愛德華·J·利比格是一位在工業網路安全領域的資深主管、顧問和教育家,擁有二十餘年保護安全關鍵型和任務關鍵型系統的經驗。他的背景涵蓋關鍵基礎設施和大型企業環境中的IT、網路安全和工業控制系統。在這些環境中,網路安全決策會直接影響實體、營運和財務後果。愛德華是Yoink Industries和OT SOC Options的創始人;OT SOC Options是一個由技術和行業領導者組成的聯盟,專注於以後果為導向的OT彈性和營運完整性。他目前擔任聖路易斯華盛頓大學的兼職教授,教授影響高階主管決策的網路安全營運課程。他的工作重點在於將工程現實、營運風險和治理相結合,使工業網路安全可衡量、可操作。

資料來源:https://industrialcyber.co/expert/why-ot-cybersecurity-struggles-to-prove-its-value/
 
分析為何傳統以威脅為中心的衡量指標已不適用,並提出如何透過整合工程事實、運營真理與後果導向思維,將資安支出轉化為具備商業價值的長期投資。