工業組織如何使用風險導向的方法來協助保護OT端點和縮小安全性漏洞。

如今許多工業組織內部均有大量仍未追蹤和監控的端點裝置。

這些裝置大多數是在數十年的生產運營中部署。因此許多工業組織對資訊技術（IT）和營運技術（OT）作業仍是一知半解，而且那些有可能暴露的端點資產仍很容易遭到網路攻擊。再加上OT作業的連線能力持續增加，以及技能/資源持續短缺，這些因素導致工業部門的風險持續增加。

圖一 : 許多工業組織對IT和OT作業仍是一知半解，而且那些有可能暴露的端點資產仍很容易遭到網路攻擊。

雖然不可能修補每一個OT安全性漏洞，但您可以使用風險導向的資訊安全方法，根據貴組織最關鍵的安全性漏洞協助快速保護端點。我們的四步驟端點安全檢查清單可以協助建立風險導向的安全計畫，該計畫經過量身訂製，能有助於強化貴組織的網路安全防護。

【步驟 1】獲得涵蓋連線到網路所有端點的可見性

因為每個網路安全從業人員都清楚知道，您無法保護您看不到的東西。如果您是工業網路安全的新進人員，縮小可見性的差距是強而有力的第一個基礎步驟。

在此步驟中，您應該根據貴組織的獨特需求量身訂製防護措施，可能必須：

‧ 將網路資產探索自動化：自動化平台可以對網路區段內的任何裝置進行深入的即時盤點，不僅包括傳統的IP型裝置，也包括較低階的ICS資產。

‧ 盡可能減少干擾：尋找能夠執行深度資產探索，而不會影響網路可用性或營運正常運作時間的解決方案。

‧ 檢視您的網路架構：雖然安全產品可以改善您目前狀態的安全態勢，但擁有適當的網路架構才是可以讓這些工具以最佳狀態執行的基礎整合方案。

‧ 部署用於端點的集中式儀表板：儀表板將會提供最重要的資料，例如非常重要的未修補端點。

‧ 取得可疑活動的即時警示：如果某個端點正在存取不應存取的內容，您必須立即知道。

‧ 配合人員調整見解：管理執行高層會想要高階資料，而工程師可能必須深入了解更多脈絡。

‧ 保持不偏重供應商：不偏重供應商的端點管理系統可以針對您的風險概況提供統一的脈絡。.

‧ 通盤思考：努力涵蓋所有系統-而不僅是端點、頂層控制，以及對外連線網際網路的裝置。全方位的端點安全著重於環境的各個環節，甚至是最低的IO層級，而且應考慮其他因素，例如生命週期狀態、備用零件的可用性、保固和前置時間。

【步驟 2】利用風險導向的方法優先處理漏洞

圖二 : 在現今的威脅環境中，無可避免會發生入侵事件。請準備災難復原計畫，其中包括資料備份，並定期測試該計畫。

風險評估可以協助您以哪些風險會對貴組織造成最大影響為根據，來辨識和優先考慮風險。您可以採取評估和降低風險的一些關鍵措施包括：

‧ 判斷每個端點的「良好」狀況：擷取端點存取、經常存取的程式/檔案、使用者帳戶，以及修補程式狀態等資料，來建立衡量基準。

‧ 執行持續性的即時監控：持續監控端點是否偏離正常行為，以快速找出威脅。

‧ 微調安全警示以符合作業規範：根據您獨特環境中的正常行為模式，持續調整您的系統，以避免警示疲勞。

‧ 符合核心法規標準：確保您的端點緩解計畫符合產業需求和政府規定。

‧ 根據您最大的風險優先處理安全性漏洞：只因為某樣裝置容易遭到攻擊，不代表您的OT環境也是如此。使用風險評估來引導您的端點安全優先處理順序和降低整體風險，同時將對資源的影響降到最低。

【步驟 3】部署額外的網路及端點防護

強化您的OT環境可以新增更多有助於保護端點的防護層，同時能夠提升您的整體安全態勢。部分選項包括：

‧ 執行零信任原則引擎：在裝置可以存取網路之前，從內部和外部以持續和動態的方式驗證這些裝置。

‧ 分割您的網路：如果威脅者滲透您的環境，網路區隔可限制其可以採取的行動。

‧ 部署防火牆：防火牆可以保護外部網路周邊，防止未經授權的流量進出。

‧ 為關鍵資料建立安全隔離區：在您的關鍵資產和您的區域網路（LAN）間新增防火牆，可以減少威脅者取得存取權限時的攻擊面。

‧ 建立非軍事隔離區 （DMZ）：DMZ中需要和外界通訊的主機應用程式，例如雲端型端點偵測與回應（EDR）平台，有助於防止惡意存取。

‧ 將防火牆和DMZ搭配使用：如果威脅者滲透到DMZ，這種作法可以建立額外的防護。

‧ 要求USB安全檢查站：在將USB裝置連接到您的環境之前，請在專用終端掃描是否存在威脅。

‧ 制定災難復原計畫：在現今的威脅環境中，無可避免會發生入侵事件。請準備災難復原計畫，其中包括資料備份，並定期測試該計畫。

【步驟 4】建立持續性端點安全處理流程

您的基礎系統和處理流程是否完備？接下來請專注改善和發展您的策略。請考慮下列額外的精進措施：

‧ 更頻繁盤點資產：攻擊的速度和威脅的發展持續以飛快的速度增加。每季甚至每個月的資產盤點可能不足以應付。

‧ 將修補程式管理自動化：讓您的SecOps團隊擺脫這項繁瑣耗時的工作以提升效率。

‧ 全年無休監控威脅：威脅者永遠不會罷休，您也不應停下腳步。利用EDR等平台全天候監控威脅，協助您快速採取行動。

‧ 執行事件回應計畫：您最不想做的事情，就是在事件發生時弄清楚如何應對事件。事件回應計畫可以提前建立逐步處理流程。如果您的內部資源有限，可以交由洛克威爾自動化等防護型事件回應供應商處理。

‧ 提高安全意識的有效性：培養SecOps和製造團隊間的合作方法。這麼做將可改善您的安全文化，並賦予工廠區域的團隊更大的安全所有權。

對OT環境而言，僅執行傳統的IT安全措施並不足夠。OT系統有獨特的需求、限制，以及必須透過特定方法才能解決的風險。雖然利用IT安全最佳實務可能有所助益，但採用針對您OT基礎設施特定需求量身訂製的全方位安全策略非常重要。

若要保護工業控制系統（ICS）、監管控制和資料擷取（SCADA）系統，以及其他關鍵營運資產等OT端點，就必須深入了解營運環境、潛在攻擊媒介，以及安全措施對系統可用性和效能的影響。

除了部署適當的安全工具和技術以外，也必須針對OT環境建立符合工業標準和監管要求的有力政策、程序和治理架構；其中包括執行網路區隔、安全遠端存取、修補程式管理，以及事件回應計畫等措施。

在此過程中，和經驗豐富、專精工業控制系統的OT網路安全公司合作非常難能可貴。合作夥伴可以提供開發和執行全方位OT網路安全計畫的專家指南，解決在營運環境的獨特挑戰和風險因素。透過專業知識可以協助彌平IT和OT安全之間的差距，確認您的重要系統獲得充分保護，而不會影響營運完整性和韌性。

（本文作者Matt Cameron為洛克威爾自動化網路安全服務全球產品經理、Steven Taylor為自動化網路安全服務資深全球產品經理）