市場今天不會獎勵明智的資安決策,但它明天肯定會懲罰糟糕的資安決策。高層如今對 IT 安全性覺得還算滿意,則正是時候推動 OT 的資安準則的好時機。
文/J.M. Porup‧譯/Nica
營運科技(OT)是 Gartner 對製造業與水處理設備及電網這類公用事業中,普遍存在網路連結工業設備的廣泛用字,內容包括工業控制系統(ICS)和監控與資料擷取(SCADA)。
OT 方面的網路攻擊可能深具毀滅性。NotPetya 偽勒索軟體攻擊航空巨擘 Maersk,讓該公司損失三億美元,狀況還可能更糟。Maersk 不過是俄羅斯與烏克蘭間駭客戰的附帶損害。類似意外事件未來幾乎必定在其他企業組織重演。
保障企業組織免於資料外洩是棘手問題,但保障製造設備免於網路安全威脅更難。可能導致的負面後果,從延長停機時間失去生產力,到工廠樓層間的機械爆炸都有可能。
資安長如何為高層(更別說董事會)瓦解這些風險?以下是五大 OT 資安要點:
OT 資安遠遠落後 IT 資安
OT 操作人員首先是工業工程師,多半來自電氣工程或重機設備背景,不在伺服器這塊也未經歷資料中心。對 OT 資安弱點的警覺與日俱增,讓人們注意到 OT 資安遠落後傳統 IT 資安許多。說 OT 資安落後十年也不誇張。
雪上加霜的是,矽谷陰影下的 OT 工程師所得遠低於 IT 資安同仁許多,而資源不足的公用事業或小型製造商很難招聘、訓練與留住優秀的 OT 資安員工。優先考慮 OT 資安員工,是緩解企業 OT 資安疑慮的關鍵。
一、OT 與 IT 資安的反向思維
IT 資安同事擔心資料外洩、OT 資安同仁則擔心東西爆炸。對重機設備來說安全是第一順位,接著才是運作時間。這點與傳統 IT 資安呈現鮮明對比,後者是資料為王。確保攻擊者無法竊取機敏資料是 IT 首要任務,OT 則不然。
資安三大要素(C-I-A) ─ 機密性(Confidentiality)、完整性(Integrity)與可用性(Availability)從 OT 角度來看,其金三角順序顛倒。安全性與可用性第一優先,接著是完整性,再來才是機密性。許多 OT 資安消息來源都提到,他們寧可操作受惡意軟體感染的 ICS 設備好幾個月,也不要在非預定停機時間清除與更新機器。
OT 系統生產數字曝光的資料外洩可能很糟,但停機或怠工破壞操作命令完整性更糟。配置這種對立世界觀的人員,通常需要經驗豐富的 IT 資安同仁施展本領,提升 OT 背景下的技能。
二、OT 資安涉及的風險比 IT 資安多
「人們感覺電腦資安沒有問題。」資安專家 Bruce Schneier 談及《點這裡殺掉所有人》(Click Here to Kill Everybody)這本書時提到。「改變的是電腦位置。試算表故障毀損遺失資料,與撞車失去生命兩者有極大差異。」
對 OT 資安來說也是如此,故障模式不同但更極端。意即 OT 裡的最壞狀況遠比 IT 還糟。當價值數百萬的零件製造機因惡意軟體而成了沒用的磚塊時,更換成本會相當昂貴,更別說停機時間。這甚至還不算最糟狀況。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
散播 OT 資安風險的恐懼心態會適得其反,但這些風險真的存在。若企業組織仰賴重要的 ICS/OT 系統,不保護它們就會讓企業面臨災難性風險。給其他高層與董事會成員一本 Schneier 的新書溝通這些想法,也不算太糟的做法。
三、OT 與 IT 資安趨於一致
IT 與 OT 正在融合,無論好壞。IT 系統弱點會影響現實世界 ICS 設備效能與安全。從企業安全架構與人員配置觀點來看,這代表 IT/OT 孤島的終結。
IT 與 OT 有史以來就是兩個不同世界,之間有著不同文化與技術隔閡。交叉訓練 IT 與 OT 員工,讓彼此更加瞭解也能更有效率。當企業 SIEM 出現 OT 資安警告,收到警告的 IT 資安高手更瞭解警告意涵,就會知道該做什麼。
「隨著設備相互連結日益加深,IT 與 ICS 基礎架構無法個別考量。」一份 Forescourt 針對 OT 資安的報告做出這樣的總結。「必須保障關鍵 OT 資產安全,使其遠離全世界對手只要點擊應用啟動以 IT 為目標的惡意軟體攻擊。」
同樣地,OT 資安人員可以從 IT 資安同仁身上學到很多,後者思考資安議題與處理已行之有年。交叉訓練意即想法與與對保護任務有完整概念資安同仁的相互融合。(也代表想留住他們必須提高薪資:暗示再暗示)。
四、OT 系統必須持續監控
由於 OT 網路通常使用設計不安全的通訊協定(在建置時未曾考量網際網路),因此持續密切留意非常重要。這麼做可以抓到小問題,也可會在對手四處窺探時發出危險信號,還能讓 OT 資安同仁深入瞭解「地下 IT」(shadow IT)。
設備總在未經許可下隨時接入 OT 網路。有時是本來就該在的額外工業設備、有時是顧問的筆記型電腦或手機。讓這些裝置遠離 OT 網路非常重要,還要確保 OT 環境佈署的工作用筆記型電腦,執行最低限度的必要軟體。
Dominion Energy 退休的首席控制工程師 Hank Sierk,在網路研討會上則表示,「製造廠裡筆記型電腦生長的軟體,就像航行船隻底部蔓延的藤壺一樣。」最好是移除工作用筆記型電腦的無線網卡,並切割不信任、非 OT 網路的所有無線網路封包。
五、OT 資安舉措需要高層支持
即便是最優秀的資安長,也無法在沒有 CEO 與董事會後援下解決 OT 資安問題。老闆承擔責任,若他未明確表達期望企業全面支持資安舉措,這些舉措就會夭折。
解釋 OT 資安問題對任何企業獲利能力的潛在災難性風險非常重要,有些情況下甚至是持續存在的風險。這表示要雇用聰明的 IT 與 OT 資安人員,對他們交叉訓練,並支付值得的報酬。因為優秀的 OT 資安工程師總是可遇而不可求。
將短期利益置於長期風險之前要看時機。這樣操弄 ICS 設備安全性就像走鋼索一樣危險。董事會裡的資安專業成員不會坐視這種狀況,只會有越來越多失望的資安同仁另謀他職。
讓 OT/ICS 設備安全性置於企業組織首要地位,否則就準備面臨比資料外洩更嚴重的狀況:設備爆炸、工作人員受傷或死亡,以及停機損失。市場今天不會獎勵明智的資安決策,但它明天肯定會懲罰糟糕的資安決策。
(本文授權非營利轉載,請註明出處:CIO Taiwan)