華梵大學特聘教授-朱惠中

以水領域為例，早期攻擊者只針對某家自來水公司，但現在因多個公共事業公司都擁有相似軟體系統，若未做好資安防護，則可能導致連鎖攻擊事件發生。

OT與IT融合後之工作重點

　　隨著網際網路普及，使得營運技術(Operation Technology, OT)場域與資訊技術(Information Technology, IT)場域之間的界線越來越模糊，造成IT場域的資安風險，蔓延到OT場域。此一現象已使得關鍵基礎設施(Critical Infrastructure，下稱CI，例如能源、金融、交通等)所在的網路環境頻遭網路攻擊，進而破壞工業控制系統(Industrial Control System, ICS)，或是監控與資料擷取系統(Supervisory Control And Data Acquisition, SCADA)的正常運作，故網路環境的安全性是OT/ICS防護的重點。

　　組織資安長(Chief Information Security Officer, CISO)的首要工作即在強化OT與IT融合後的網路安全，以降低組織OT/ICS環境遭網路攻擊的衝擊。經綜整國外(美國、英國與加拿大)多位具實務經驗專家的意見後，歸納出資安長的工作重點如下，提供相關作業人員參考。

一、利用縱深防禦的方法來規劃ICS安全。
二、盤點影響ICS安全的關鍵項目。
三、身分識別、盤點資產及事件應變與復原。
四、降低攻擊途徑之數量。
五、控制與監視整體網路流量。

利用縱深防禦來規劃ICS安全

　　為保護CI安全，首要工作為採用縱深防禦策略(Defense in Depth)來建置多層次的防禦機制。瑞士奶酪理論(Swiss Cheese Model)是一個簡單控制風險的重要理論，利用增加防護的層數(乳酪層數)及減少疏忽(孔洞)的發生，就能提高意外事件被阻擋下來的機率。控制系統通常需要多個組件一起工作才能執行功能，該控制系統中的每個設備都可能對整個系統功能產生至關重要的安全影響，特別是當網路系統組態改變時，都會採取NIST CSF資安架構為依據，以避免「步步錯，最後引發不幸」的例子，因為只要任何一個環節做對，錯誤事件就不會發生。

　　根據上述理論，美國紐澤西州Public Service Enterprise Group(PSEG)公司經理James Shank 建議可採取下列步驟，以降低網路被攻擊時所產生的衝擊：
一、檢視OT網路與IT網路的連接─特別是當允許資訊能雙向流通時，一定需要仔細評估輸入和輸出數據，以及瞭解環境中所有ICS設備配置及其通訊協議。

二、控制與ICS網路連接的所有可攜式媒體和設備─這項技術在OT網路上尤其重要，因為OT網路很少具有拒絕使用者存取個人媒體設備(如USB)的能力。

三、多層次防禦與威脅情資結合─將二者結合，將能強化監控功能，並可持續優化潛在攻擊的防禦能力。

盤點影響ICS安全的關鍵項目

　　美國Exelon公司網路安全顧問ScottSaunders認為，影響ICS安全的項目，在於知道自己擁有什麼、知道自己想做什麼與在做什麼，故需盤點影響ICS安全的關鍵項目，其核心工作如下：

一、瞭解OT與IT網路及其系統、可使用元件以及如何管理基準配置。

二、考慮如何存取OT與IT網路上的遠端設備。

三、務必瞭解存取設備之控制方式，例如使用者如何遙控及操作設備。因很多ICS都是自動化，現場甚至沒有操作員，故必須準確地瞭解這些設備如何被存取，以及由誰來操作這些設備。

四、要特別注意評估舊有設備的安全指標。儘管許多工廠已是自動化，但其中仍可能存在一些舊機電混和系統是不能自動化的，故須提醒操作員注意某些警報；當訊號出現，代表現場可能發生異常情況，亦表示可能面臨安全威脅。

五、確保舊有設備及系統的知識未存有技術落差(Technical Gap)。

身分識別、盤點資產及事件應變與復原

　　英國Shell公司工程師Robin Familara認為，雖然許多ICS已現代化，但仍有許多老舊設備和系統無法直接與程序控制域連接，這些設備系統將會是系統弱點。

Familara建議可採取以下步驟，以降低ICS受網路攻擊之衝擊：
一、確保正確的身分識別─使用者的身分識別與管理是第一步工作，不論是區域網路或是廣域網路，身分識別與管理都必須有適當保護。
二、定期更新組織的資產清單─組織資產清單蒐集過程須可利用手動及遠端蒐集方式進行，以達成資產清單為最新版本與完整之要求。
三、確保組織在遭受攻擊後能落實緊急應變處置─亦即需建立事件應變與復原之機制與能力。此項工作透過蒐集網路的事件日誌、系統日誌及緊急應變處置(Incident Response)等數據方可達成。

降低攻擊途徑的數量

　　所謂攻擊途徑(Attack Vector)是駭客用來攻擊系統漏洞的管道，包括人為因素、電子郵件附件、網頁、彈出視窗、即時訊息與聊天室等；其攻擊的方式，不外乎透過virus、worm、Trojan horse或是port scan、sniffing等來進行。

　　所謂攻擊面(Attack Surface)是指，未經授權的使用者(攻擊者)可以嘗試向目標網路輸入數據或從目標網路中存取數據等各種不同途徑(Attack Vector)的總成，且由於網路技術蓬勃發展，相關新系統又非常依賴網路，因此造成了一個可擴大的攻擊面。

　　以水領域為例，早期攻擊者可能只會針對自來水公司的計費系統，但現在則可透過遠端操作攻擊不同面向的系統，且一旦多個公用事業公司擁有相似的軟體管理系統，則可能導致供應鏈攻擊連鎖效應。

根據加拿大SaskEnergy公司分析師的經驗，建議可採以下步驟來降低攻擊途徑之數量：

一、應用程序白名單(Application Whitelisting,AWL)-AWL僅允許執行受信任的已知文件，定期審核以識別未經授權的存取，另可檢測並阻止惡意軟體執行。

二、適當的組態與修補管理─此程序將可減少駭客的攻擊面，並有助於使控制系統更安全，為達此目的，必須擁有完整的資產清冊及蒐集所有關鍵資產(critical asset)的配置，此亦是調查風險緩解活動並確定其優先等級的必要步驟。

三、分析及找出潛在的攻擊─沒有人能做到天衣無縫，因為OT與IT網路永遠都會有新弱點被發現。其具體作法如次：

1.將ICS網路與任何不受信任的網路(尤其是Internet)隔離。

2.鎖定所有未使用的埠(Ports)，並關閉所有未使用的服務。因內部與外部網路的連通性增加，故網路進行分段變成非常重要，特別是將其分成多個邏輯區域並限制主機通信(host-to-communications)的路徑，同時另需設置防火牆和入侵檢測系統，才能降低或阻絕在網路邊界遭到破壞時可能遇到的損害。

控制與監視整體網路流量

　　最後，從戰略角度來看，美國新墨西哥州PNM Resources公司安全主管Spencer Wilcox認為控制和監視網路流量是提高ICS安全性的關鍵：我們需要掌控資產以及網路中正在發生變化的資訊。通過可見性，將能夠看到系統詳細資訊、所有進出流量、所有節點及其補丁程序級別，以及正在發生的通訊類型，最終目標是形塑類似Security Operation Center(SOC，集中式即時掌控組織資訊安全狀態的單位)的服務。Wilcox建議可採取以下措施，來使網路環境更加安全：

一、策略上不能僅依賴設備來控制和監視網路流量，而是要對網路流量進行絕對控制-一般而言，不論TCP/IP或傳統的Modbus、DNP3等通訊協議都無法支援網路流量之可視性，故Wilcox建議不要使用虛擬私有網路(VPN)，而是引導用戶通過跳轉服務器(Jump Server)進行操作，因跳轉服務器對遠端存取活動會進行監視，故管理者可以知道誰在執行這些操作及起源。

二、儘可能限制遠端存取─由於大部分供應商都希望擁有遠端存取權限以支持其服務及產品，所以全面禁止遠端存取是個理想但卻難以落實的策略。

結語

CISO處理網路安全原則，可歸納為以下五點：
一、「安全」為最優先考量項目。
二、「安全認知」是ICS網路安全的關鍵。
三、OT網路必須有標準的操作程序。
四、OT安全植基於關鍵安全組件的技術標準(ISO/IEC 62443)。
五、CI之數位資產需有安全保護策略。





---本文轉自法務部調查局清流月刊--