Loading
《AUTOMATION TODAY季刊》第82期 | 管理層觀點

加強製造業的韌性:OT網路安全的迫切需求

為何OT網路安全在新時代不再是可有可無,而是生存的必需品。
立即訂閱
Inbavanan Rathinam, Regional Vice President, Asia Pacific, Lifecycle Services, Rockwell Automation and Dawn Cappelli, Director of OT-CERT (Operational Technology - Cyber Emergency Readiness Team) at Dragos.
第82期

近幾年來網路安全情勢發生顯著變化,複雜的勒索軟體成為製造業中最大的網路威脅之一。勒索軟體的演變也繞過資訊技術(IT)系統,入侵營運技術(OT)系統,引起製造商的擔憂,因為對這些關鍵基礎設施的攻擊可能會帶來比財務損失更嚴重的影響。

我們與洛克威爾自動化亞太地區生命週期服務副總裁Inbavanan Rathinam和Dragos OT-CERT (營運技術-網路緊急應變團隊)總監Dawn Cappelli齊聚一堂,討論勒索軟體所帶來的威脅,以及為何在當今的數位世界為製造商建立網路安全計畫已成為必要趨勢。

Inbavanan認為,如今的製造商在網路犯罪方面,面臨比以前更大的風險。當勒索軟體影響OT平台時,組織可能面臨的不僅僅是金錢損失。

"OT資產通常是關鍵基礎設施的一部分。因此除了經濟損失外,OT系統上的勒索軟體還可能危及工廠員工的安全,並造成聲譽損害。” 他表示。

Pipedream是最早鎖定OT協定的已知工業控制系統(ICS)惡意軟體之一。Pipedream會入侵數百間原始設備製造商在數千台設備上使用的五種OT協定。這是一種全方位的惡意軟體,可入侵任何部門的各類設備。無視傳統修補措施讓緩解作業變得更複雜,因此組織若想超越這種惡意軟體,唯一方法是制定全面的OT網路安全計畫。

 

跟上不斷變化的情勢

Pipedream這樣的惡意軟體只是冰山一角。

隨著技術不斷發展,網路威脅情勢也不斷演變。其中一個例子是,激進駭客團體過去常常進行簡單的DDoS攻擊,但現在正與國家犯罪者結盟,進行更複雜的攻擊。若組織不想被入侵,就必須有適當的安全措施才能防範未然。

Cappelli分享說,OT中快速變化的網路威脅環境對營運的風險和韌性有重大的影響。很多時候組織制定OT安全計畫,但卻對不斷變化的威脅環境及對風險管理策略的影響缺乏警覺性。

Risk management for cyber threats and security assessment, malware and computer virus detection.

IT-OT的融合帶來新的面向

英國數學家Clive Humbys的名言「資料是新的石油」,在這個技術驅動的世界得到印證。然而,這一切都要付出代價,正如組織可以透過資料獲得許多好處一樣,他們也勢必要承擔著更大的責任來保護這些資料,使資料不會遭到竊取或操縱,而影響營運的可靠性和安全性。

許多產業都存在一個很大的誤解,即只要他們將營運和IT系統分開,他們就可得到實體隔離並防範惡意軟體。

不幸的是,隨著技術的發展,IT和OT必然得融合。Cappelli表示:「無論是ERP系統或是使用雲端進行分析,甚至是使用先進製造來提高生產力,為了競爭,組織不可能再於平台進行實體隔離。」

Inbavanan補充說,還有更大的風險和監管合規性的問題。資料收集在過去是一個手動的流程。然而,現今公司在掌握雲端和數位系統的便利性和業務優勢的同時,也必須確保安全團隊始終能掌握雲端環境多變的威脅和漏洞。安全團隊必須不斷學習最新的安全工具和最佳實務,以降低風險並有效因應潛在的攻擊。

Cappelli 表示,有時風險是來自可信的協力廠商。例如,企業會與服務提供商和系統整合商合作進行現有和新的工廠營運。不幸的是,其中一些可信的協力廠商往往不了解OT網路安全,可能使該企業的營運面臨風險。例如,惡意軟體可能透過USB隨身碟傳入工廠,或者在使用不安全的機制遠端連接工廠時被引入。事實上,他們往往是負責遠端存取工廠的人,但卻未先確認是否可安全存取。此類事件可能會擴大網路安全的風險。

 

為何傳統的IT安全實務不適用於OT環境

更強的連接性可提高營運效率,但也為網路攻擊者開闢新的途徑來滲透OT和工業控制系統(ICS)。產業面臨挑戰,必須在日常營運可靠性和效率以及網路攻擊威脅之間取得平衡,因此若遭受網路攻擊,可能會產生毀滅性的後果。

不像IT系統會定期更新軟體和硬體以應對安全威脅,OT系統所面臨挑戰非常特別,需要使用特別的基礎設施安全方法。主要是因工廠需要持續運作、老舊設備有局限性,以及OT環境的複雜性所導致。因此,長期下來OT裝置和作業系統往往會過時,在關鍵基礎設施中產生網路犯罪分子可以利用的漏洞。

Cappelli建議組織應考慮將SANS工業控制系統五項網路安全關鍵控制,納入預防性網路安全計畫中。Cappelli表示,ICS五項控制措施對任何工業組織都至關重要:

  1. ICS特定事件回應計畫
  2. 防禦性架構
  3. ICS 網路安全監控
  4. 安全遠端存取 / MFA
  5. 風險導向的漏洞管理程式
隨著組織不斷整合AI和機器學習技術,這些控制措施變得更加重要。他們在保護關鍵基礎設施後,接下來應該要考慮部署零信任架構,進一步加強和減輕網路攻擊。

員工安全訓練技巧:

  • 舉辦目標性訓練:根據員工職能量身設計每堂課。辦公室人員和工廠人員不應接受相同的通識訓練。
  • 製作紙本安全意識的宣傳資料: 並非每個人都會透過電腦得到資訊。在組織內的公共區域留下安全意識宣傳資料可以有效傳達資訊,甚至可以在員工用餐時引起話題。
  • 建立能吸引人且有趣的內容: 用相關的例子在印刷品中加入一些有趣且及時的內容。例如,將網路安全概念融入節日購物技巧中,讓網路安全感覺更具個人化和相關性。

為長期發展投資取信高層

網路安全有賴預防措施,前期成本可能會讓利害關係人裹足不前。然而值得注意的是,每個網路安全計畫都是一個持續的過程。Inbavanan表示,企業不能只從金錢的角度看待網路安全;而是需要衡量潛在風險的成本,以找到適當平衡。

擁有技術對於確保成功也至關重要,因此與洛克威爾自動化和Dragos等合作夥伴合作,可以在應對OT網路安全的複雜性時取得改變全局的優勢。Dragos深知許多組織可能難以利用資源和專業來解決網路犯罪問題,因此開發擁有60多種免費資源的OT-CERT計畫,以幫助企業開啟網路安全之旅。這些資源也與SANS ICS五項關鍵控制一致。

網路犯罪常發生在組織沒有預料的時候,因此制定和實施網路安全措施是企業刻不容緩的工作。在此處了解更多針對OT和ICS量身定制的網路安全解決方案。

為您推薦
Loading