北美知名自來水公司如何利用OPSWAT MetaDefender OT & CPS平台加強網路復原能力
文/OPSWAT
從歷史上來看,與其他部門相比,OT 安全對於供水公用事業而言是較低的優先順序。然而,根據AWWA(美國自來水協會)的報導,政府情報最近證實自來水和廢水產業已成為外國政府入侵活動、犯罪份子和其他威脅團體的主要目標。
為了保護飲用水,美國 EPA(環境保護局)於 2024 年 5 月發出執行警示,通知社區供水系統需要處理的網路安全漏洞。主要關注事項包括:
- 網路可視性有限,因此難以偵測泵浦、閥門和化學處理程序的異常。
- OT 與 IT 環境之間的分界薄弱,增加了網路敵人橫向移動的風險。
- 不安全的第三方存取,使關鍵系統容易受到外洩外部裝置的威脅。
- 需要網路安全解決方案來保證不中斷的安全作業,而不會造成停機。
傳統系統的網路安全缺口
公用事業最大的挑戰之一是其過時的系統。傳統 OT 系統的漏洞尚未修補,造成嚴重的安全漏洞,讓惡意使用者有機可乘。這些漏洞不僅會造成系統停機的風險,還可能導致關鍵系統受到實體損害。該電力公司意識到,實施網路分割和強大的存取控制是降低這些風險,同時確保持續運作的關鍵。
處理內部威脅和確保能控制存取權
內部威脅透過意外的錯誤設定、誤用或蓄意的系統修改,造成另一項重大風險。可以存取 OT 環境的員工和承包商可能會在無意間擾亂作業,或在極少數情況下惡意更改關鍵系統。
同時,內部人員和外部協力廠商都必須執行安全存取。未經授權的存取——無論是來自洩露的憑證、過高的管理員權限,或是未經管理的遠端會話——都會讓關鍵基礎架構變得脆弱。
檔案安全與合規性存在極大漏洞
我們的客戶是一家位於北美中西部地區的市政自來水公司,為該地區 250 多萬居民提供服務。最近駭客試圖入侵該公司的 SCADA 系統和 PLC,竄改重要的處理參數,例如加氯量或解除安全聯鎖。安全專家警告,若是駭客成功入侵會導致不安全的供水狀況、設備損壞或持續數天或數週的完全服務中斷。
我們現場評估後發現,該公司已安裝的現場設備相關的檔案記錄存在嚴重缺陷,構成重大的合規風險。其中最大的問題是缺乏精確的資產清單及分類,許多組織仍依賴手動、過時的記錄方法。如果沒有結構化的資產管理系統,就很難追蹤設備、評估網路風險和強制執行安全控制 – 這會危及 NERC CIP、IEC 62443 和 NIST 800-82 的合規性。
除了資產管理之外,網路風險評估、存取控制政策和事件回應計畫不是不完整就是不存在。這些缺口讓安全團隊在管理威脅、限制未經授權的存取,或以標準化、合規的方式回應安全事故時,缺乏明確的指導方針。
除了這些挑戰之外,竣工網路圖的不準確也妨礙了映射目前網路拓樸(Network topology)和驗證安全組態的能力,增加了錯誤配置和安全漏洞的風險。
使用MetaDefender OT & CPS 平台確保水務作業安全
當我們的客戶遭遇一系列以 SCADA 系統為目標的網路事件時,他們的 CISO 知道他們需要一個更強大的方法來保護他們的水利基礎設施。
在評估多個工業網路安全解決方案後,該公用事業公司選擇了OPSWAT 的MetaDefender for OT & CPS Protection,包括MetaDefender OT Security、MetaDefender Industrial Firewall、MetaDefender OT Access 和MetaDefender Optical Diode,因為這些解決方案能夠滿足水利產業的特定需求。
MetaDefender for OT & CPS 有幫助:
- 偵測與修補程式:MetaDefender OT Security 持續掃描 OT 網路,以偵測未經授權的裝置、異常活動和潛在威脅。此外,它還能評估 OT 資產的修補狀態,找出過時的韌體和未修補的漏洞,確保關鍵系統保持最新狀態,並能夠抵禦網路威脅。
- 預防:MetaDefender Industrial Firewall 強制執行嚴格的網路分割,封鎖未經授權的流量並隔離關鍵系統以防止威脅。針對主要的水資源 SCADA 通訊協定(如 Modbus、DNP3 和 IEC 104)提供特定的通訊協定過濾功能,確保只有有效的流量才能存取作業系統。
- 存取控制:MetaDefender OT Access 了有時間限制、政策強制的遠端存取,並提供每個存取階段的完整稽核追蹤,以進行全面監督和快速的事件回應。
- 安全閘道:MetaDefender Optical Diode 可確保單向資料流 – 即資料只能單向傳輸,從一個網路傳輸至另一個網路,而不允許反向通訊。它基本上就像是兩個系統之間的「資料守門員」,將網路分隔開來,而不會讓較脆弱的 OT 系統暴露在外部威脅之下。
我們的前線 OT 解決方案提供全面的通訊協定支援,包括 DNP3 (分散式網路協定 3),可確保處理及配電系統的無縫保護。公用事業公司也能全面掌握所有抽水站和現場設備(如處理廠)的狀況,並能精確分割區域和管道,以進行細粒通訊控制。
此外,OPSWAT 為供應商存取提供安全通道,讓維護活動得以進行,而不會讓關鍵基礎設施暴露於未經授權的存取或潛在的網路威脅之下。我們的實施團隊與電廠操作人員密切合作,在不中斷關鍵作業的情況下部署解決方案,並建立安全架構,同時保護舊有系統和較新的數位基礎架構。這個分階段的方法讓公用事業得以加強防禦,並維持對社區不中斷的供水服務。
超越安全性:營運效益與節能
雖然網路安全是主要動機,但公用事業公司也發現了額外的營運效益。控制系統的全面可視性有助於發現抽水作業中的低效率問題,從而在整個配電網路中節省了約 14% 的能源。
符合法規要求
由於聯邦與州政府對於水資源安全的規定持續演進,選擇MetaDefender 讓縣內的水資源公司不需過多作業就能符合規定。
成果:強化安全性與作業連續性
透過採用OPSWAT的解決方案,該公用事業取得了幾項重要成果:
- 具成本效益的保護與可擴充的定價:傳統的點解決方案需要針對每項安全需求進行成本高昂的個別定價,OPSWAT的平台則不同,可提供企業級的防護與可擴充的定價。
- 廣泛的通訊協定支援,實現無縫整合:許多網路安全解決方案與工業通訊協定的相容性有限,迫使公用事業必須依賴第三方整合。相比之下,MetaDefender for OT & CPS Protection 支援所有主要的 OT 通訊協定,包括 Modbus、DNP3 和 IEC 104,可確保在公用事業的多樣化基礎架構中無縫實施安全性。
- 使用者友善、以 OT 為重點的設計:傳統的 IT 安全工具在 OT 環境中往往缺乏可用性,使操作團隊難以有效管理。MetaDefender OT 解決方案專為 OT 使用者設計,具有直覺的控制和自動化功能,讓工程師、工廠操作員和網路安全團隊能夠輕易地監控和保護其關鍵基礎設施。
更強大的安全性、零作業中斷
- 完整的 OT 資產可視性:安全團隊可全面即時洞察所有連線裝置和網路活動。
- 主動式威脅偵測:發現並防範了承包商筆記型電腦嘗試入侵的行為,避免了潛在的服務中斷。
- 自動化安全管理:先進的報告和監控功能可減少人工操作,同時提高法規遵循性。
- 面向未來的網路安全:公用事業現在有能力對抗不斷演化的網路威脅,同時維持持續、安全的供水作業。
