近年来世界各地频传能源、金融、国防等关键基础设施(CI)遭受攻击事件,而2022年在疫情、俄乌战争双重挑战下,更加剧了关键基础设施面临的安全挑战。而台湾由于其地缘特殊性及在科技等产业的全球发展重要性,再加上与民生息息相关的水、电、天然气等资源的基础设施皆面临数字转型挑战,相关政府单位及社会各界也越来越重视关键基础设施的安全防御。
网络安全品牌Palo Alto Networks指出,保护关键基础设施和运营技术(OT)至关重要。这些机构的领导者必须正视规划中及已运行中的基础设施所面临的风险。虽然关键基础设施和运营技术的数字转型步伐不如IT领域快速,像是改善服务正常运行时间(uptime)和安全,以及降低运营成本等重要商业因素驱动了这些改变,例如,过去不曾共同推动IT项目的运营、IT和安全团队,现在却必须密切合作,确保在数字转型CI/OT规划时就考虑到安全要素,而不是事后再补救。
Palo Alto Networks表示,由于网攻公共业务、能源管线运营商、货运公司或制造商可能造成严重冲击,近年来针对关键基础设施和运营技术发动攻击的频率增长是个完全可以预期的趋势。威胁发动者越来越懂得如何掌握这些机构的筹码,例如网络罪犯发现,他们可从受害者处取得高额赎金,国家也可借由展现其网络犯罪能力,更有效地霸凌对手国。不仅越来越多黑客开始针对CI/OT发动攻击,他们也进一步投资,改进攻陷这些组织的能力。
Palo Alto Networks也发现,威胁发动者开发了一些特别针对CI/OT的攻击,如Crash Override和Triton。
另一方面,关键基础设施里有许多漏洞源头,包括通常未分割的网络、开放政策、以及旧型系统经常未修补或无法修补导致软件漏洞(如HMI、PLC、ICS、SCADA、DCS、MES)。IT和OT人员也不常合作,导致脆弱、不协调的安全程序,以及资金不足和低风险意识。由于许多CI攻击从IT入侵OT,不能忽视缺乏风险意识的危险。攻击频率增加和原本就很脆弱的CI安全安全状况,对负责保护当前关键基础设施的人员造成更大挑战。
过去几十年来,大家花了很多功夫处理CI安全缺口,主要是通过翻新强化先前少有或甚至完全没有安全的领域。政府也创建了CI特定法规和标准,以保护关键基础设施,未来有望看到更多此类努力。此外,IT和OT团队也在学习如何有效合作,并提升机构领导者的风险意识,改善公司治理。
许多CI组织已开始部署CI的新延伸,作为其数字转型方案如工业4.0、Smart Grids、和Digital Oilfields的一部分。这些智能基础设施有望完全发挥新时代工业自动化技术,如IoT传感器和机器人、云计算、数字双生、5G和SD-WAN的优势,并进一步集成供应链。
运营单位经常在没有安全团队参与的前提下,很快就构建前导项目甚至生产部署。当然,组织有快速推动这些技术,好让投资回本的强大诱因,但导入这些新技术并增加到云计算和第三方机构的连接,如果管理不当也可能导入新漏洞,过去构建OT时曾因未考量安全而发生一些错误,现在极有可能因此再度发生。
Palo Alto Networks认为,当务之急是组织绝不能让CI转型计划与网安脱节。不防治这些新攻击的风险太高,安全转型的一大重点是需要改变IT、OT和安全团队如何一起讨论推动合作计划的架构。
从另一个角度来看,企业可能觉得IT/安全部门威胁到核心运营,也不支持提供服务和/或提升营收的核心任务。或许企业领导者出自好意,但不受控地部署这些先进技术风险实在太高,因此转型必须包括组织如何合作,确保现代化CI/OT的活动要纳入RACI利益相关方,特别是安全和IT部门。
CI/OT进行安全转型的另一关键点是心态。许多机构认为OT是IT围成的花园,在墙内的任何事物都可信任。或许他们也认为,任何已经成功确认自己身份,能使用OT的用户都是可信任的。但许多攻击事件已经证明信任模型的缺失,组织必须开始抱持零信任心态,对信任层级不做任何默认,而是通过收集网络流量的额外脉络,根据该资讯决定容许还是拒绝。零信任虽然源自IT,也可以运用在CI/OT上,提升可见度并减少如工厂和控制中心等基础设施的网络风险,带来重大效益。
除此之外,CI/OT安全转型必须通过平台式的做法来改善安全作业的性能和效率。需要新能力来保护现代化工厂,它可能装备物联网、机器人、通过5G与SD-WAN连接到云计算应用。也需要新的安全堆栈来保护这些新基础设施的功能。
组织不应该只是替安全堆栈添加单点解决方案,而是必须考量安全平台的做法,由防火墙平台将安全功能视为服务提供,该防火墙能跨越整个延展CI,提供网络防护。组织追求的平台应该要能运用网络安全智能,并创建它和云计算和端点数据的关系,这样就能运用机器学习,将侦测与补救流程自动化。
最理想的状况是该平台跨IT和OT无所不当地部署。这样安全做法就有一致性,可分享安全智能和全企业运营效率。反之,若使用支离破碎的单点式解决方案,资讯各自独立并需手动处理,这样的做法不足以应对随着攻击者开始运用云计算、AI和自动化日益先进的攻击手法。
(首图来源:shutterstock)