將IT和OT兩個不同領域之間的端對端(end-to-end)資安措施加以融合,勢在必行。但現今的技術與不同領域文化差異,卻可能讓它們分道揚鑣。 本文將為您介紹拉近兩者之間差距的好方法。
文/Stacy Collett 譯/兩三松
法國施耐德電機公司(Schneider Electric)深刻地體會到,將200多個配銷中心與生產中心連接起來,並與IT系統融合之後,能夠為該公司帶來巨大的商業價值。目前已有愈來愈多的工業環境,透過感測器和致動器(actuator)進行連接,產生能夠讓企業形塑出主觀洞察與服務的資料。施耐德電機全球資安長 Christophe Blassiau 即表示:「工業物聯網(IIoT)正逐步形成一種新的常態。」
對於想要提高系統可靠性,獲得競爭優勢,或促使企業營運更為敏捷並具有彈性的企業組織而言,設法讓OT與IT的運作合而為一,已成為企業的當務之急。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
Blassiau當然清楚地體認到這項風險。他補充道:「IT擅長處理大規模迅速地感染或清除OT的環境,就像類似WannaCry和NotPetya這些勒索軟體。OT和IT的專家們需要共同合作,以保護工廠和企業關鍵基礎架構。」
如今,施耐德電機正在施行網路資訊安全計畫,對全球範圍內的工業網路進行細部畫分與監看;而這項措施讓施耐德電機在許多擁有OT環境企業中的名聲遙遙領先。麻省理工學院製造與生產力實驗室執行總監暨研究科學家 Abel Sanchez 博士說:「長久以來,由於機器設備沒有連接上網,因此其資訊安全問題並沒有引起太多關注,但現在資安問題已迫在眉睫。IT領域擁有自己的資訊安全體系和完善的實作經驗;但如切換到OT和IIoT領域裡,情勢就變得大不相同。對於許多公司來說,這是一種全新的觀念。」
IDC的報告指出,在2018年企業已有78%的營運資產連接上網路,高於2016年的60%。預計在2020年,這項數據將會再度攀升。
[CIO都在讀: 10個數位轉型成功案例 ]
無論是在遠距變電所或油田中部署無線感測器,還是企業想要深入了解工廠現場運行狀況、生產線的生產率,或是即時安全狀態等,所有源自於營運環境的資訊,都必須傳送到IT環境進行分析。在此同時,企業環境亦將相關指示發送回生產環境,以協助營運執行進行對應的更動。
毫不令人意外的是,在許多舊式環境還未做好準備之前,潛在威脅的產生者,正在搜尋這些連接當中的可能縫隙與裂痕。原本傳統上是分開的OT和IT,兩者之間的邊界已變得愈來愈為模糊,兩邊必須協調出對應策略,並且更緊密地合作,以確保端對端的資訊安全無虞。
IT與OT的資訊安全漏洞何在?
想要解決IT與OT融合後的資訊安全問題,並不是和想像中一樣簡單,只是簡單地將OT領域融入IT資訊安全領域就能打發。這裡頭有許多技術上與不同領域文化上的差異,將兩個領域給分了開來。
對於剛切入這項議題的企業而言,對於監控與資料蒐集系統(SCADA)、製造執行系統(MES)和控制器之類的營運用系統,通常被視為來自不同供應商的獨立設備進行管理,但這會使IT很難維護這些網路資訊安全要求。
在許多OT環境中,企業組織甚至無法管控更新修正系統的方式。美商Chertoff集團資深總監 David London 認為:「有一些在營運環境中既有的舊式機器資產,必須直接以手動方式在機器內設定密碼;如果密碼不慎外洩又無法更改,亦或是在嘗試更改密碼但發生失誤時,都會造成營運上的困擾。而針對這些舊型資產的資訊安全工具和技術,目前並沒有像IT領域一樣地成熟。」
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解 ]
介於IT與OT之間的資訊安全問題,有三個主要衝突產生領域:
衝突一、在OT領域的當機期間,會帶來莫大風險
London表示,在OT環境中,想要修復資訊安全漏洞而帶來的風險,會比在一般企業環境中來的更大。IT領域的維護方式看似笨拙,像是系統無故變慢或是應用程式無法使用等等,最糟的狀況也只會帶來一些不便。London強調:「在OT領域,如果嘗試修復資訊安全漏洞而造成嚴重故障,反而可能加劇資訊安全隱憂並引發嚴重後果。」這就像是由於大規模停電或是超大洪水等因素,導致河邊抽水站無法運作的情形相同。
衝突二、不同領域的文化衝突
OT工程師和IT資訊安全專業人員之間的觀念,長久以來都有著明顯差異。IDC全球IT與OT融合策略研究實作領域研究經理 Jonathan Lang 表示:「IT人員非常關心資訊安全,而OT則是專注於生產設備的可用性。當您將兩邊人馬放在一起時,他們就會開始起爭論。」。通常生產需求的變化都很迅速,因此需要非常快速地調整生產設備。「當IT人員開始干預OT安排生產設備時,就意味著生產力下降。」
衝突三、很少有資訊安全最佳實作方法或框架
目前採行的資訊安全標準與準則是資訊安全的重要基礎,但是大多數標準和準則無法同時兼容OT與IT環境。
揭露對IT與OT的攻擊手法
根據美國系統網路安全協會(SANS Institute)在2019年對338位全球專業人士進行的OT與ICS網路資訊安全調查指出,約有42%的OT環境受訪者表示,OT與企業內部系統的連接(如連接上企業網路或系統彼此對接),對OT營運方面會形成最高風險。London說:「在OT環境裡的大多數資訊安全風險,實際上是來自於IT環境中的起始接觸點,通常像是Web應用程式、魚叉式網路釣魚攻擊(Spear Phishing)或憑證版本控制(credential subversion)等。針對這些可能產生問題的連接點,複雜的網路威脅攻擊就會設法找出切入點,破壞營運環境。」
[CIO都在讀: 網路安全真相、數據與統計 ]
還在使用舊版作業系統的OT伺服器,將會面臨最高資訊安全風險(達58%),它們通常執行的是 Windows NT 與 XP,而且例行性的系統修補頻率較低。根據SANS的報告,在這種情況下,IT人員能夠協助的就是提升例行性的系統修補頻率。SANS報告裡同時也指出,有策略地設計網路與資訊安全架構,可以在IT和OT領域的交界處附近,尤其是工業邊界網路(industrial DMZ),透過伺服器的增置與保護機制,來補強或緩解資訊安全漏洞問題。
拉近IT與OT之間的資訊安全差距
London認為,成熟的製造業企業一定能夠理解,IT與OT小組必須共同承擔起資訊安全責任與對風險的敏感度。
資訊安全責任一起扛
Lang建議企業透過能夠一體管理解決IT與OT問題的高階主管,將雙方工作人員召集起來,宣告共同承擔起資訊安全責任。
London補充說,有部分企業組織已針對IT與OT資訊安全環境的管理議題,創出了一個實質且必須承擔責任的資安長(CISO)職位。「這些企業,已在資安長與負責管理工業自動化控制系統(IACS)或SCADA系統營運權限的管理者之間,建立起對應的接洽窗口。這兩者應經常交換意見,提出網路資訊安全威脅報告,以反應對IT與OT兩種環境的資訊安全威脅及後勢分析。」Lang說。
施耐德電機則是採取了不同的方法。他們在每個工廠中建立起由200名左右網路領導者所組成的人際網路團隊,聯合支援保護、監視與檢測相關技術,並且透過網路專家對營運中心擴大資訊安全措施。更進一步的作法是,SANS報告建議全體OT人員均應被納入所有與資訊安全意識相關活動與教育計畫當中,而不僅僅是被當成一般企業員工對待。
守衛工業邊界網路
工業邊界網路是指在IT與OT系統之間的內部互相連通區域,一般建議將其作為目前流行的產業架構框架的附加資訊安全措施,像是普渡企業參考架構(Purdue Enterprise Reference Architecture, PERA,或被稱為Purdue模型)。這個特別區域通常會包含一個用來安全地遠端存取工業控制系統的跳轉用主機(jump host)。如果不打算讓企業與工廠之間直接透過網路進行資料存取,但又需要在區域之間共享資料與服務時,工業邊界網路能夠提供具備資訊安全功能的傳送資料能力,包括遠程存取伺服器與同功能備用服務(mirrored service)等。
利用獵殺連環分析和攻擊框架,讓IT與OT共同獲取資訊安全可見性
在2019年下半年,業界開始出現了新式的工業用資訊安全工具,為IT與OT的融合帶來更多的可見性和可用的資訊安全選擇。像是MITRE系統工程公司在2020年一月時,發布了針對工業控制系統的網路攻擊框架(attack framework),裡頭包含了各式網路攻擊者在攻擊工業控制系統時所可能採用的策略與技術的知識庫。
這框架採用了標準的網路威脅框架和獵殺連環分析(kill chain),包含從偵察到開始準備突破系統、持續程度與橫向轉移等這些用來實現安全威脅者最終目標的環節,並針對OT環境的每一個步驟提出一套對應行動方案。資訊安全團隊可藉此將他們手上現有的工具和技術,對應到實際的資訊安全威脅行為上。這個框架還能將企業組織的活動,對應到可能以這些活動為目標的特定網路威脅攻擊者。
London表示,這作法有助於創造一種能夠共享的獵殺連環分析方式,包括協助資訊安全團隊在報告資訊安全事件時,採用統一的標準描述語言等。
建立共同標準和產業聯盟
Lang認為:「對一個產業聯盟而言,能夠彼此分享最佳實作案例非常具有價值,在需求面能夠形成良好的循環,同時供應商也可以在要求一致的限定範圍內交付產品。」營運技術網路資訊安全聯盟(Operational Technology Cyber Security Alliance, OTCSA)是一個專注在提升網路資訊安全的新全球性聯盟,於2019年10月成立,其旨在協助企業對抗OT資訊安全挑戰,而這些資訊安全挑戰正持續對企業營運與商務經營帶來風險。
在SANS報告中接受調查的OT組織,約莫有一半已制訂或完成了讓OT與IT融合的策略,另有33%的企業則正在制訂中。Lang表示,想要讓融合策略成功的話,企業需要能夠接受更多風險。「加大IT與OT融合對風險承受度的重要性,必須優先於成熟度。這乍一聽來是一個令人擔憂的概念,但是現今的技術的確已可支援到位,而資訊安全也正受到應有的重視。」Lang補充道。
(本文授權非營利轉載,請註明出處:CIO Taiwan)