IT/OT 安全密不可分，做好網路分割強化工控資安，Akamai 四段資安技術，從 IT 端捍衛工控資安

作者：Bill Lee ／MetaAge 邁達特雲端技術顧問

工業控制系統 (ICS) 在當代工業中不可或缺，這些系統遍布於發電廠、化工廠和水壩等國家關鍵基礎設施中。然而，隨著數位化和網際網路的發展，工控系統也面臨著越來越多的資安挑戰，尤其地緣政治不穩之際，工控資安更成了攻防焦點，因為這些關鍵基礎設施一旦遭駭，將對社會運作產生重大影響。

IT/OT 架構逐漸融合

在 IT/OT 邊界日漸融合的趨勢下，IT 遭受攻擊而導致 OT 間接或直接受到影響的情況日益增加。Deloitte 在 2021年 發布的網路資安報告曾指出，工控系統遭受的攻擊事件在過去一年中大幅增加，約有 60% 的組織至少遭受一次工控系統攻擊。

美國 Colonial Pipeline 的油管遭駭事件，便是因為 VPN 漏洞造成駭客侵入IT系統後，該公司擔心影響到 OT 系統造成更大的災難，進而主動關閉 OT 系統，造成美國天然氣輸送中斷數日，也引起美國白宮的高度關注。如何在 IT/OT 系統間築起有效的防護隔離網，並在災難發生時有效地控制損害範圍，成為當今工控資安上相當重要的議題。

工控網安從微分段做起

工控系統通常由不同的網路組成，包括網路營運、控制網路和監控網路。然而，這些網路之間的連接可能成為攻擊者入侵系統的入口。一旦攻擊者入侵了一個網路，他們可能能夠擴展其攻擊範圍，對整個工控系統造成嚴重影響。

因此，網路分割和隔離，是保衛工控資安的第一步。以 IT 智能化解決方案供應商邁達特 (MetaAge) 代理的資安品牌 Akamai 為例，Akamai Guardicore 可為工控系統實現更精確細微的存取控管和安全隔離，減少攻擊者入侵系統的可能性，同時保護系統中的關鍵資源和數據。

微分段隔離技術可將不同工控設備之間的連接限制，降到最低。上述的解決方案以單台設備本身的網路流量作為管制點，並且在應用層級 (L7) 進行流量的監控。這種方式可以大幅減少攻擊者在系統內部移動的能力，進而降低工控系統受到攻擊後擴散的風險。

強化身份認證，杜絕未授權連線

另外，身份認證和存取權限的控管，是工控系統資安的主要弱點之一。攻擊者只要竊取合法用戶的身分，就能執行惡意操作。傳統使用 VPN 連線進入企業內網環境的做法，因開放權限過大與公開 IP，讓可受攻擊的面積放大、也形成了更多漏洞。

而經強化身份認證和存取控管技術，則如 Akamai EAA，可加強對用戶身分的驗證和存取權限的控管。透過反向代理連線的方式，讓企業可以在無需公開 IP 的情況下，讓使用者連線進入內網環境。並以應用程式等級進行存取權限的管理，防止未授權的用戶進入系統。同時限制合法用戶的存取範圍，減少攻擊者盜用合法身分進行攻擊的可能性。

妥善管理弱點管理

底層系統老舊、年代久遠無法更新，是工控系統的常見處境，因而潛藏各種弱點和漏洞。而這些漏洞可能被攻擊者利用，並對系統造成危害。因此，對工控系統中的弱點進行及時的管理，並進行漏洞掃描變得至關重要。

具備弱點管理和漏洞掃描技術的產品，可幫助組織識別和管理工控系統中的弱點。運用 OSQuery 可以定期對系統進行漏洞掃描，及時發現並修補可能存在的安全漏洞，進而降低系統被攻擊的風險。同時，它還可以提供更好的安全監控和風險管理，確保系統持續運作，並降低潛在的經濟損失。

善用事件監控和入侵檢測系統

如前所述，工控系統因具備十足的重要性，所以經常成為受攻擊的目標。有效的事件監控和入侵檢測系統，則可以用來及時識別和應對潛在的攻擊。透過採用事件監控和入侵檢測系統，可以幫助建置即時監控工控系統中的活動，及時檢測和識別潛在的入侵行為，提供即時的警告和反應，幫助 SecOps 人員迅速應對資安威脅。同時，有效的資安解決方案還可以提供有關入侵行為的詳細資訊，有助組織進行事後調查和風險評估。

搶救 IT/OT 環境案例

以 Akamai Guardicore 在美國的製造業使用案例而言，某家製造商在被惡意軟體攻擊後，透過與IT服務商合作，不但恢復系統運作，更提升了其 IT/OT 環境的安全性。該製造商受到的攻擊從員工的筆電發起，不但滲透至公司的備份伺服器，還迅速蔓延並影響了大多數的營運地點。

該公司最初的遏制方法，是使用跨網段的防火牆網路存取限制。然而，遏制迅速惡化的違規行為的速度很慢，因為其 IT 環境的複雜性，以及網路分布的規模不小，使防火牆的實施和執行限制規則，成為一種緩慢且無效的措施。

採用了資安解決方案後，該公司獲得了「快速部署」、「快速制定政策」、「恢復過程中防止橫向移動」三項有力幫助。在三小時內，該製造業便為 3,000 多台公司伺服器配置了資安產品，而且在幾分鐘內就建立有效限制所有伺服器 (包括舊機器) 的網路連線策略。

ISO 27001 建立國際資訊安全管理標準

網路分割和隔離、強化身分認證和存取控管、弱點管理和漏洞掃描、以及事件監控和入侵檢測系統，這些都是保衛工控資安和IT/OT 環境的解決方案。在法規上，IEC 62443 是目前國際上常用的工控安全標準，包含了一系列針對工控系統的安全要求和控制措施，而 ISO/IEC 27001 則是一項國際資訊安全管理標準，該標準提供了建立、實施、維護和持續改進資訊安全管理系統的指導方針。該標準可以作為組織確保資訊安全的參考。

上述兩者皆為針對資訊系統與網路安全的法規，目前我國的資通安全法參考的標準為 ISO 27001，因此相關產業可依 ISO 27001 作為初次導入的規範，並尋求專業的資訊服務合作夥伴，協助規畫與建置相關解決方案。如欲了解如何選擇適合企業的資安防禦解決方案，歡迎立即透過  線上填寫表單 與我們聯繫，將有專人提供您更詳細的產品說明。