OT中以週邊為主的資安限制
以週邊為主的資安就像一顆M&M巧克力。駭客破解外殼後,就可以立即攔截系統的關鍵資料或元件。以下是攻擊如何滲透週邊的幾個例子:
- 網路釣魚: 某名員工收到一封看似合法供應商的電子郵件,為其OT設備提供重要軟體更新。如果員工點擊這封電子郵件,就會在無意間將惡意軟體安裝到其裝置上,讓攻擊者可以存取OT網路。
- 供應鏈攻擊: 一間製造廠向遭到入侵的供應商採購工業控制系統和可程式邏輯控制器。結果惡意韌體就此入侵其系統。
- 內部威脅: 一家污水處理廠的工程師在瀏覽個人網站時,意外將惡意軟體下載到其工作電腦上,無意間將惡意軟體引入OT網路。
端點管理和週邊安全
不幸的是,事實上許多企業組織尚未採用強大的網路安全方法來管理OT環境中的端點。反之,他們優先考慮週邊或網路型的資安策略,這些策略注重交易但完全忽略端點配置,導致端點容易受到攻擊。
這就是分層安全是關鍵的原因。多層次的防護可以讓攻擊者難以獲取貴組織的關鍵資料,以及存取貴組織的關鍵基礎設施。
監控工具和端點安全
許多公司急著為OT安全採用被動式異常偵測工具,因為這些工具能夠透過監聽營運資產間的日常流量來監控網路內部。這種方法仰賴看見和聽到風險造成的端點行為。屆時通常為時已晚,因為您的網路上已經發生某些危險事件。監控工具無法為最需要改善安全性的端點降低風險。
好消息是,OT安全端點管理解決方案可以大幅減少您的攻擊面,而且有助於保護遭到惡意軟體、駭客,以及其他網路相關風險鎖定的目標。不過,若要從中獲益,我們必須改變我們的思維。
OT 安全管理:更全面的方法
OT安全管理可以提供貴組織OT資產、系統,以及網路的整體視圖。全方位的OT安全策略需要採用多層次的方法來保護基礎設施。讓我們深入了解構成整體的其他層次:
- 網路分區隔離 可以隔離關鍵系統和網路,透過防火牆、虛擬區域網路(VLAN)和實體隔離來限制潛在網路攻擊的影響。
- 弱點管理可以透過滲透測試等評估來識別威脅,以及透過修補和軟體更新來減少這些威脅。
- 安全政策 概述企業組織在最佳實務、可接受使用和存取控制方面的OT安全工作。
- 事件回應規劃 概述透過遏制、根除和恢復等策略進行偵測和回應的程序,可以引導組織有效處理網路攻擊。
端點安全是OT安全管理不可或缺的一部分,因為端點安全可以防止工業控制系統和可程式邏輯控制器受到惡意軟體和其他網路威脅影響。端點安全解決威脅的方法,包括防毒軟體、入侵偵測系統(IDS)和防火牆。
端點安全對OT安全管理非常重要的原因
端點防護是OT安全管理的基石。保護您OT環境中的個別裝置,可以大幅減少攻擊面並改善整體防護機制。
端點保護可以透過幾種方式來減少攻擊面:
- 定期修補: 及時套用安全性更新和修補程式,可以消除惡意軟體利用的已知漏洞。
- 應用程式允許清單: 限制未經授權的軟體執行有助於防止惡意程式碼的引入。
- 裝置控制: 控制卸除式媒體(USB隨身碟等)和其他外部裝置的存取權限,可以將惡意軟體引入的風險降到最低。
- 強化系統設定: 執行安全的預設設定並關閉不必要的服務,可以減少遭到入侵的可能性。
減少OT環境中的攻擊面
太多OT擁有者和運營商不願意在端點上使用代理程式。但原因在於我們可以透過直接連線到這些端點進行修補和調整(無法修補的部分)的方式,大幅降低我們的風險概況,並且可以廣泛追蹤和管理這些端點。
採用這種強大的端點管理解決方案,OT安全從業人員即可大幅降低風險,以及節省可觀的時間和金錢。事實上,最近的專案後分析顯示,一家大型製藥公司預計其安全工作可以節省超過60萬美元的人力費用,同時將其安全成熟度的有效性提高一倍。
這種方法的前景在於我們願意擴展現狀,將代理程式和無代理程式的分析納入目標資產。我們必須採用資產庫存自動化,並且在未修補的情況下發揮創意套用補償控制。我們也必須利用企業總部,或甚至是租用雲端的可見性,將稀缺的技術資源擴展到範圍更廣的工業資產。採用這種以資產為主的方法,即可將OT環境納入我們的日常決策中,並將我們的風險降低工作準確引導至最需要的資產。
以下是減少OT環境中攻擊面的一些建議最佳實務:
- 落實多層式防護策略: 將端點防護和防火牆、入侵偵測系統,以及網路分區隔離等安全措施結合。
- 定期進行資安評估: 持續評估您端點安全措施的有效性,以及找出需要改進的部分。.
- 隨時了解最新威脅: 隨時了解攻擊媒介和弱點,以協助維持您防護機制的有效性。
優先考慮端點防護並採用全方位的OT安全方法,企業組織可以大幅降低其網路攻擊的風險,並維持其營運的安全性和可靠性。
OT 端點安全的應用:成功案例
端點安全的現實情境範例,是一家製藥公司優先考慮端點管理,藉此大幅改善其網路安全態勢。透過獲得特定資產的可見性和控制,他們發現可能導致重大網路攻擊的重大弱點。
端點管理協助他們:
- 發現數百個未修補NotPetya和WannaCry等重大弱點的資產。
- 找出100多個PLC使用內含已知弱點的韌體版本。
- 在兩週內將整體網路風險減半。
- 將實際風險(重大弱點對高影響資產的影響)降低達到接近三分之二。
透過優先考慮端點管理的方式,該公司在這些關鍵風險遭到利用之前就將其找出並加以解決。這種主動的方法大幅提高其安全性,並有助於防止潛在的破壞性網路事件。
範例:頂尖的能源公司
北美的五大石油和天然氣生產商向我們尋求協助,以保護其廣泛的ICS和DCS供應商系統。資深主管意識到這些系統有多脆弱,需要一個供應商通用的解決方案來協助他們:
- 深入了解其OT環境
- 管理其多樣化的供應商系統
- 以有限的人力實施政策和程序
透過全方位的360度評估和「放眼全球,立足當地」的方法,該能源公司從端點安全中獲益匪淺:
- 深入了解其OT環境
- 找出並減少弱點
- 實行對威脅的快速回應
這種更高的可見性和自動補救功能改善其整體資安態勢、降低營運風險,以及強化對網路攻擊的防護。
在OT環境中開始使用端點防護
OT安全防護員的工作是要徹底減少干擾的頻率、持續時間和影響,而做到這點的唯一方法,就是徹底減少您資產的攻擊面。
簡而言之,您必須將您的OT系統鎖定在最低權限、盡可能頻繁修補、新增防毒和允許清單等同級最佳的網路安全工具,以及納入備份計畫。
您的這些行動應該和標準安全流程(例如,使用者/帳戶管理、監控和偵測)配合。這五個步驟將引導您完成初步評估到持續管理。
- 建立資產庫存並找出弱點和安全性漏洞。
- 制定優先考慮關鍵系統的防護策略。
- 將策略部署到這些環境。分階段完成這些策略以盡量減少干擾。
- 持續管理這些關鍵資產有助於將您的防護機制保持在最新狀態且有效。
- 對您的員工和人員進行最佳實務訓練,如此他們可以發現可疑活動。
修補和強化OT端點
新技術確實令人興奮和感興趣,但我們必須實際了解,OT網路世界背負著龐大的技術原罪,原因在於多年來未能修補和強化端點。
充分保護我們資產的唯一方法,就是直接介入處理。直接管理端點可以提供將其鎖定在系統層級最小權限,以及移除不想要或非必要軟體的相關詳細資料報告,如此可以將您防護最薄弱的環節大幅強化。您越是以這種方式保護OT資產,發生重大中斷或影響的可能性就越小。
結論
端點安全是整體OT安全管理計畫的關鍵要素。透過保護您OT環境中個別裝置的方式,可以大幅減少攻擊面並改善整體防護機制。
全面評估您目前的端點安全態勢、找出弱點,以及實施適當的對策,即可強化您的防護機制。