隨著工業環境中互聯互通程度的不斷提高，傳統觀念中「可信任用戶、設備和網路本質上是安全的」這一概念正受到當前網路威脅和攻擊浪潮的挑戰。一些PLC、感測器和工業控制器仍然使用共享憑證、弱身份驗證和系統間的隱式信任，而其他一些OT資產則無法支援現代身份管理方式，使用不受支援的韌體，或者已經脫離了供應商的軟體生命週期。

安全專業人員普遍認識到，在OT環境中實現零信任不應從嚴格的強制執行策略入手，而應從可見性、資產發現、分段以及對工業運營和系統通信方式的深入了解開始。 Forrester指出，可見性、隔離和控制是保護互聯OT和IoT環境的基礎概念。這些概念可以被視為分階段實現資產管理、分段和識別方法的基石。

人們越來越重視持續發現資產、最小權限原則、安全的供應商或承包商存取，以及在憑證被盜後加強對橫向移動的監控。第三方存取在此尤為突出，因為它是營運技術 (OT) 中風險最高的身份存取面之一，供應商憑證往往廣泛可用、很少更改，並且授予的權限過於寬鬆，幾乎可以執行任何操作。顯然，越來越多的公司意識到，現代攻擊者可以使用合法憑證來取得存取權限。

雖然技術知識的匱乏已不再是問題所在。一方面，儘管 NIST、IEC 62443、NERC CIP 和 NIS2 指令架構有助於重新定義 OT 安全的方法，但並不能保證合規性能轉化為更高的營運彈性。這或許令人驚訝，但早在 2022 年 9 月，世界經濟論壇就指出，儘管針對工業系統的攻擊日益增多，OT 零信任的採用仍然落後於 IT 環境。

營運阻力仍然是一大障礙。負責工廠正常運作的團隊通常將安全控制視為對安全、可靠性和正常運作時間的潛在威脅，而資訊科技安全專業知識與營運技術工程知識之間長期存在的技能差距，以及組織層面運作技術安全責任歸屬的模糊不清，都加劇了這種緊張關係。

因此，各組織機構正日益將網路安全重新定義為一門與可用性和復原指標直接相關的維運工程學科，而非抽象的風險降低。這使得零信任投資不再被視為安全成本，而是可衡量的減少非計劃性停機時間、恢復時間和第三方責任風險的措施。

1. 核心挑戰：為什麼現代 OT 環境不能再沿用舊思維？

• 傳統隱式信任的失效：工業環境互聯互通提高，過去認為「可信任用戶、設備和網路本質上安全」的觀念已無法應對現在的威脅。許多 PLC、感測器和控制器仍使用共享憑證、弱身分驗證，或使用已脫離軟體生命週期的韌體。
• 核心痛點：工業設備設計初衷是為了可靠且重複地執行特定功能數十年，而非進行「自我認證（如出示證書或 MFA）」。
• 落後的現況：儘管攻擊日益增多，但世界經濟論壇指出，OT 零信任的採用仍然落後於 IT 環境。技術知識匱乏已不是問題，主要的阻礙在於營運阻力（工廠團隊擔心安全控制會威脅到正常運作與可用性）。

2. 專家觀點：如何為無法自我認證的 OT 設備建立「身分」？

報導中四位產業專家針對「OT 身分與存取控制」提出了具體且務實的看法：

• Andrew McPhee（思科工業網路安全解決方案經理）

重塑 OT 身分定義：不能強行將 IT 式的驗證模型套用在工業設備上，應改用上下文信號（Contextual Signals）和預期行為來建構身分。身分的三層保障：

―          實體安全：假定接入網路的設備是由受信任員工在受控環境中物理連接。

―          位置資訊：提供上下文（例如：位於噴漆車間的設備就該表現得像噴漆車間的設備）。

―          資產可視化工具：補充技術屬性（如：它是 PLC 還是工作站？運行何種韌體？使用哪些協議？）。

―          信任來自持續監控：身分驗證不是一次性檢查。如果一個 PLC 突然開始掃描網路或與異常目標通信，無論最初如何接入，它都破壞了自身的信任。

• Chris Rose（Arcova 董事總經理）

―          被動指紋識別（Passive Fingerprinting）：現場級資產需要從外部透過韌體版本、協議行為、MAC-OUI 數據、網路位置和行為基線來建立身分。

―          面對現實的更新週期：由於現有設備大多缺乏 TPM（信賴平台模組）、安全元件和 IEEE 802.1AR DevID 等基礎功能，這種技術差距只能透過多年的資產更新週期來解決，無法單靠購買軟體搞定。

• Yoann Delomier（WALLIX OT 業務策略負責人）

―          利用特權存取管理（PAM）作為守門人：在設備層面原生實現零信任成本太高且困難。務實的做法是將控制權轉移到存取層，使用 PAM 驗證用戶身分、強制執行策略、隔離關鍵系統並記錄所有活動。

―          消除隱性信任：不能僅因為某人在網路內或透過 VPN 連線就授予存取權限。使用者只能在有限時間內獲得最低權限，且活動需被監控。

• Agnidipta Sarkar（ColorTokens 首席佈道官）

行為基線的建立：每個 PLC 都有獨特的行為模式（例如控制馬達的 PLC 會以相同頻率、協議向相同位址發送同類命令）。可利用 Claroty 和 Nozomi 等工具在網路中建立這些行為基線。

3. 實務建議：落實 OT 零信任的具體前進路徑

綜合專家的建議，組織在推行零信任時應遵循以下步驟與框架：

• 奠定實際基礎與切入點

―          採用區域和管道模型（IEC 62443）：麥克菲建議摒棄「對每個單一資產進行獨立驗證和微隔離」的 IT 錯誤思維，應按功能劃分區域。確保一旦發生故障，爆炸半徑（Blast Radius）被限制在該功能區域內（如烤箱故障，影響僅限於烤箱本身，不波及整個流程）。

―          從高風險且易採取的措施著手：德洛米爾指出，零信任應始於控制特權存取、管理身分以及保護遠端連接（如供應商和承包商存取），因為這是風險最高也最容易見效的地方。

―          部署跳轉主機架構：羅斯建議在身份與非軍事區（IDMZ）邊界部署帶有 PAM 和 MFA 的跳轉主機。

• 當憑證外洩時的應變（重新思考信任）

―          縮小權限範圍：透過微隔離，限制有效憑證能存取的系統。例如：維護供應商的帳戶只能存取暖通空調（HVAC）系統，而無法存取歷史資料庫或安全儀表系統（SIS）。

―          基於彈性的架構（MVDE）：薩卡爾建議定義「最小可行數位企業」（MVDE），即在任何情況下都必須保持正常的核心部分。此方法可確保 80% 的數位化營運在網路攻擊期間仍能繼續進行，其餘則由業務連續性計畫涵蓋。

• 如何正確解讀合規框架與審計

―          統一架構映射：NIST SP 800-82、IEC 62443、NERC CIP 和 NIS2 的核心目標（了解資產、劃分環境、控制、監控）高度一致。企業應設計一個統一的安全架構，再映射到各個框架，而非為四個框架開發四個獨立程序。

―          避免「勾選方塊（Check-box）」模式：不要以乾淨的審計報告來衡量成功，而應以能經受住真正壓力的工程決策為準。正確的邏輯是：先問自己「什麼能降低實際風險」，以此構建架構，再向審計人員展示它如何滿足框架要求。

• 克服營運阻力的三大協同原則

當營運團隊將安全控制視為正常運作時間的威脅時，組織推動零信任的關鍵原則：

―          設計尊重流程的安全機制：安全機制應阻止不該存在的網路活動（如控制器嘗試存取網際網路），而不是干預維持工廠運作的必要通訊（如控制器與 HMI 之間的毫秒級通信）。

―          成為推動者（Enablement），而非阻礙者：當營運團隊需要遠端監控、預測性維護或供應商診斷時，安全部門若一味說「否」，只會導致危險的影子連接（Shadow Connections）。安全團隊應主動幫忙建立安全可控的防護路徑。

資料來源：https://industrialcyber.co/features/zero-trust-in-ot-moves-beyond-identity-as-industrial-operators-prioritize-visibility-segmentation-operational-resilience/