近年来世界各地频传能源、金融、国防等关键基础设施(CI)遭受攻击事件,而2022年,在疫情、俄乌战争双重挑战下,更加剧了关键基础设施面临的资安挑战。而台湾由於其地缘特殊性及在科技等产业的全球发展重要性,再加上与民生息息相关的水、电、天然气等资源的基础设施皆面临数位转型挑战,相关政府单位及社会各界也越来越重视关键基础设施的资安防御。
Palo Alto Networks指出,保护关键基础设施和营运技术 (OT) 至关重要。这些机构的领导者必须正视规划中及已运行中的基础设施所面临的风险。虽然关键基础设施和营运技术的数位转型步伐不如IT领域快速,像是改善服务正常运行时间 (uptime) 和安全,以及降低营运成本等重要商业因素驱动了这些改变,例如,过去不曾共同推动IT专案的营运、IT和资安团队,现在却必须密切合作,确保在数位转型CI/OT规划时就考量到资安要素,而不是事後再补救。
关键基础设施是具高吸引力的攻击目标
由於网攻公共事业、能源管线营运商、货运公司或制造商可能造成严重冲击,近年来针对关键基础设施和营运技术发动攻击的频率增长是个完全可以预期的趋势。威胁发动者越来越懂得如何掌握这些机构的筹码,例如网路罪犯发现,他们可从受害者处取得高额赎金,国家也可藉由展现其网路犯罪能力,更有效地霸凌对手国。不仅越来越多骇客开始针对CI/OT发动攻击,他们也进一步投资,改进攻陷这些组织的能力。我们也发现,他们开发了一些特别针对CI/OT的攻击,如Crash Override和Triton。
另一方面,在我们的关键基础设施里有许多漏洞源头,包括通常未分割的网路、开放政策以及旧型系统经常未修补或无法修补导致软体漏洞(如HMI、PLC、ICS、SCADA、DCS、MES)。IT和OT人员也不常合作,导致脆弱、不协调的资安程式,以及资金不足和低风险意识。由於许多CI攻击从IT入侵OT,我们不能忽视缺乏风险意识的危险。攻击频率增加和原本就很脆弱的CI资安安全状况,对负责保护当前关键基础设施的人员造成更大挑战。
CI/OT数位转型的潜在盲点
公平地说,过去几十年来,大家花了很多功夫处理CI资安缺囗。主要是透过翻新强化先前少有或甚至完全没有资安的领域。政府也建立了CI特定法规和标准,以保护关键基础设施,未来我们可??看到更多此类努力。此外,IT和OT团队也在学习如何有效合作,并提升机构领导者的风险意识,改善公司治理。
这些回应过去OT弱点的努力值得敬佩,但我们在回应新兴和未来OT基础设施资安需求之处看到断点。许多CI组织已开始部署CI的新延伸,作为其数位转型方案如工业4.0、Smart Grids、和Digital Oilfields的一部分。这些智慧基础设施可??完全发挥新世代工业自动化技术 - 如IoT感测器和机器人、云端、数位双生、5G和SD-WAN - 的优势,并进一步整合供应链。
营运单位经常在没有资安团队叁与的前提下,很快就建构前导专案甚至生产部署。当然,组织有快速推动这些技术,好让投资回本的强大诱因,但导入这些新技术并增加到云端和第三方机构的连结,如果管理不当也可能导入新漏洞,过去建构OT时曾因未考量资安而发生一些错误,现在极有可能因此再度发生。
关键基础设施数位转型需要资安转型
当务之急是组织绝不能让CI转型计画与网安脱节。不防治这些新攻击的风险太高,资安转型的一大重点是需要改变IT、OT、和资安团队如何一起讨论推动合作计画的架构。从另一个角度来看,企业可能觉得IT/资安部门威胁到核心营运,也不支援提供服务和/或提升营收的核心任务。或许企业领导者出自好意,但不受控地部署这些先进技术风险实在太高,因此转型必须包括组织如何合作,确保现代化CI/OT的活动要纳入RACI利益相关方,特别是资安和IT部门。
CI/OT进行资安转型的另一关键点是心态。许多机构认为OT是IT围成的花园,在墙内的任何事物都可信任。或许他们也认为,任何已经成功确认自己身分,能使用OT的用户都是可信任的。但许多攻击事件已经证明信任模型的缺失,组织必须开始抱持零信任心态,对信任层级不做任何预设,而是透过收集网路流量的额外脉络,根据该资讯决定容许还是拒绝。零信任虽然源自IT,也可以运用在CI/OT上,提升可见度并减少如工厂和控制中心等基础设施的网路风险,带来重大效益。
除此之外,CI/OT资安转型必须透过平台式的作法来改善资安作业的效能和效率。我们需要新能力来保护现代化工厂,它可能装备物联网 (IoT)、机器人、透过5G与SD-WAN连线到云端应用。我们也需要新的资安堆叠来保护这些新基础设施的功能。组织不应该只是替资安堆叠添加单点解决方案,而是必须考量资安平台的做法,由防火墙平台将资安功能视为服务提供,该防火墙能跨越整个延展CI,提供网路防护。
组织追求的平台应该要能运用网路资安智慧,并建立它和云端和端点数据的关系,这样就能运用机器学习,将侦测与补救流程自动化。最理想的状况是该平台跨IT和OT无所不在地部署。这样资安作法就有一致性,可分享资安智慧和全企业营运效率。反之,若使用支离破碎的单点式解决方案,资讯各自独立并需手动处理,这样的作法不足以应付随着攻击者开始运用云端、AI和自动化日益先进的攻击手法。