隨著 OT/IT 融合趨勢持續升溫,幾乎所有工業組織均著手強化網路安全架構,並採取各種網路安全預防措施來保護網路運作。工業組織之所以如此積極,原因之一是,關鍵基礎設施和製造設施成為了網路攻擊的首要目標。這些擔憂不是憑空想像的,近來企業頻頻受到網路攻擊,導致生產線停工一天以上的安全事件,持續攻佔新聞媒體版面。企業一旦遭受網路攻擊,不但會蒙受經濟損失,而且經媒體報導後,也會導致聲譽受損。今日,有越來越多的公司成為勒索軟體攻擊的目標。更糟的是,即便許多產業鉅子早已採取防護措施,仍然無法逃過遭受勒索軟體攻擊的厄運。由此可見,在這個緊密互連的世界中,安全風險正急速攀升,任何組織都無法幸免於難。
為扭轉局勢,CISO 和 CSO 急於取得 OT 環境的所有資訊,並了解如何在不中斷工業運作的情況下,有效地部署網路安全防護措施。然而,此舉牽一髮而動全身,在做出決策之前,他們必須審慎評估各種方法和架構。本文將探討兩種最常見的安全架構,並分享一些實用技巧,以協助工業組織在獨特的 OT 環境中順利完成部署。
縱深防禦和零信任架構
NIST 於 2020 年公布了 SP 800-207 標準文件,其中指出,零信任架構的出發點是,僅將最低的存取權限,授予需進行網路運作的特定人員。如此可避免出現下列狀況:某人有正當理由,需要存取網路,而管理員卻賦予他無限制的存取權限,使其能夠存取不相關的網路區域,導致出現安全漏洞的機率升高。
我們建議企業採用縱深防禦方法,以便透過多個安全保護層,有效強化工業運作的網路安全性。這種架構的好處是,如果第一層保護失效,您還有第二次機會保護網路。根據 IEC 62443 網路安全標準,企業的首要之務是,依照所需的保護等級,將網路劃分為不同區域。劃分後的各個區段都自成一個區域,其中所有的通訊設備都具備相同的安全等級,也就是享有相同的保護等級。如果想要進一步加強安全性,可將一個區域加入另一個區域,並採取更嚴格的安全保護措施。
藉由合併運用上面建議的兩種方法,您可透過層層保護建立固若金湯的工業運作程序。接下來,您可部署零信任機制,以便提升防護等級,讓需要存取某個網路區域的使用者,僅限存取該特定區域。即便採用了這兩種方法,大家都知道網路安全沒有所謂的萬靈丹,因此您還須從不同角度思考,以確保真正的網路安全。
部署零信任和縱深防禦網路的範例
提升網路安全意識
除了剛剛討論的零信任機制和縱深防禦網路部署外,更重要的是提高不同部門的網路安全意識,確保所有團隊成員都能養成相同的網路安全思維。企業應鼓勵員工深入了解遵循技術安全要求的好處,以提高員工遵循這些準則的意願。
然而,這需要下列條件的配合:
- 一致的安全事件應對,以及網路監控和管理
- 假設所有設備和網路都會受到威脅
- 確保已建立了穩健的恢復和應對流程
為使用者與網路設備部署強大的認證機制
工業網路中最常見的一種安全風險是,使用者憑證被盜用。如果網路未採用零信任原則,那麼惡意人士只需竊取使用者憑證,便可恣意存取網路。相較之下,在採用零信任架構的網路中,惡意人士不僅需取得設備存取控制權,同時還需具有使用者認證與授權。此外,我們建議您使用信任清單來嚴密控制網路。
藉由使用信任清單、流量控管和失敗登出等功能,網路設備僅允許來自可信任設備(具安全開機功能)的使用者進行存取,並避免攻擊者重複嘗試登入(如暴力破解攻擊)。
在使用者登入時,網路設備會驗證使用者憑證、紀錄使用者嘗試進行存取的次數,並根據使用者身分配發最低的存取權限。
如果企業希望進一步強化安全性,信任清單是控制網路流量的絕佳方法。一種常見的做法是,為 IP 位址和服務埠建立信任清單,然後利用深度封包檢測技術,以及讀寫權限等功能,滴水不漏地控管網路。
利用網路分段實現縱深防禦
遠端連接是工業控制系統的重要組成要件,必須加以有效管理。另一方面,內部威脅也是網路一大隱患。企業必須採取行動,將這兩種情況帶來的安全風險降到最低。適當的網路分段,可防止惡意人士在攔截遠端連線時,或在系統遭受內部威脅時,恣意存取整個網路。
分段式網路可阻止惡意人士在網路中橫向移動。企業通常會在 IT 和 OT 網路之間部署防火牆,以建立高階網路區段。但是,如果惡意人士盜取了使用者憑證,而網路又未經過適當分段的話,等於敞開了大門,任其存取 OT 網路中的設備和網路。企業可使用幾種方法劃分網路區段,包括部署防火牆。使用防火牆的一大優點是,可協助網管人員建立不同網路區域,並僅允許經核可的流量,從一個區域進入另一個區域。此外,管理者也可藉由制定安全政策和規則(例如限定 IP 位址和僅授權使用中的埠),將網路劃分為更小、更易於管理的區段,確保僅允許必要的流量通過網路。
動作控制器是工業控制系統的關鍵資產之一。當這些重要資產遭到破壞,生產線將因而停擺,甚至造成各種損失並危及人身安全。資產擁有者可部署工業入侵防禦系統,以遏阻特定區域內的網路攻擊,同時保護重要資產。
此外,持續監控網路使用者和設備的異常活動,有助於阻止攻擊繼續蔓延,並使得網路維運人員能更快恢復網路運作。
Moxa 網路安全解決方案助您輕鬆穿越網路安全叢林
35 年來,Moxa 一直是工業網路領域的領導者,致力於開發安全可靠的網路解決方案,以協助您主動發現並消除 OT 環境中的網路威脅。為實踐此一承諾,Moxa 嚴格遵循安全設計(secure-by-design)規範,並根據 IEC 62443-4-2 網路安全標準,開發具精密安全功能的網路設備。這些實用的安全功能可協助企業打造零信任網路。此外,Moxa 還利用分散式 OT 入侵防禦系統功能,和具 OT 深度封包檢測功能的工業級安全路由器,來落實工業網路的縱深防禦。