關鍵基礎設施的網路安全基礎

發展中的關鍵基礎設施威脅

過去兩年來，對於如Colonial Pipeline、Florida水處理設施和以色列水資源與廢水處理設施等關鍵基礎設施(CI)供應商發動的攻擊，顯示出關鍵基礎設施領域存在日益明顯的漏洞。這些並非零星個案；根據2021年對179間CI組織所做的調查，有83%回報在過去36個月發生OT網路安全漏洞。這些網路攻擊帶來的後果遠超過費用成本和運作中斷。Gartner預測至2025年，網路安全攻擊者會將OT武器化，並對人們造成傷害。

CI安全領導者應有的知識

• 根據研究型出版商Cybernews.com所做調查，駭客可輕易存取許多的ICS系統。
• 帶來威脅的現況持續發展中。Gartner認為即便OT系統不斷革新，威脅發動者的戰略和技術也會日新月異。
• 一項對480位網路安全從業人員所做的SANS調查發現，駭客仍是ICS網路入侵的首要來源。
• 世界經濟論壇(World Economic Forum)發表的此文章提到，安全協定疲弱與欠缺標準化導致了關鍵基礎設施領域中的IoT攻擊。

衝擊關鍵基礎設施的首要威脅

• 惡意軟體。英國國家網路安全中心闡明了惡意軟體的運作方式，並提供範例及防禦策略。
• 進階持續性威脅(APT)。獲取來自CISA的技術細節，以及來自NSA有關減災策略的建議。
• 內部威脅。美國國家反情報與安全中心提供適用於關鍵基礎設施實體的指引，以及CISA提供推動關鍵基礎設施內部威脅計畫的指南。
• 民族國家攻擊。檢視此CISA文章中有關起源自中國的威脅範例。
• 勒索軟體。觀看CISA執行總監與McCrary Institute總監有關網路與關鍵基礎設施安全的線上討論會，以及閱讀CISA適用於IT專業人員的勒索軟體指南概要。

網路安全基礎與最佳實務

政府機關、產業特定組織和專業網路安全服務公司，紛紛提供建立與推動合適網路安全計畫的準則。底下幾篇文章和網站列舉出進行關鍵基礎設施防禦的最佳實務。

其中一個廣為全球認可的核心網路安全框架來自美國國家標準暨技術研究院(NIST)。NIST的SP 800-82「工業控制系統(ICS)安全指南」內含有對ICS的概覽，囊括諸如風險管理與評估、安全架構和應用IT控制至ICS，以及安全事件應對與復原步驟等安全基礎。

這些資源提供最佳實務的「一覽表」：

• 控制系統網路安全的技巧和戰略：內含有速學技巧和基礎步驟可供遵循的NIST資訊圖表
• 工業控制系統的網路安全實務：來自CISA與美國能源部(DOE)的高階但全面性概覽(兩頁)
• 對於管理高層的ICS網路安全：一份兩頁指南，輔助促成與管理高層和其他利益相關者進行網路安全會談

若要深入了解當前的威脅現況與如何展開網路安全規劃，請閱讀CISA的「關鍵基礎設施安全與復原指南」。另外在WaterISAC詳盡的「水資源與廢水處理公用事業的15項網路安全基礎」中，探討在整個關鍵基礎設施領域可通用的最佳實務，包含：

• 實施資產庫存
• 落實使用者存取控制
• 打造網路安全文化
• 鞏固供應鏈
• 推動威脅偵測和監控

網路安全框架

網路安全框架提供了管理關鍵基礎設施風險與推動降低風險策略的藍圖。儘管有多種工業框架可以搭配關鍵基礎設施使用，洛克威爾自動化建議採取NIST網路安全框架(CSF)，其包含有以下列五項核心功能為基礎的周延網路安全保護最佳實務：識別、保護、偵測、回應與復原。此框架賦予您彈性，可依照個別需求和環境量身制定活動。

建立之初係特別針對關鍵基礎設施的NIST CSF，現已成為標準的跨產業用途。自從2017年以來，美國聯邦政府機關都必須對聯邦資訊系統套用此框架。必須要參照如NIST 800-53等特定要求的政府承包商，也可對應至NIST CSF來展現其合規性。

輔助推動NIST CSF的資源：

• NIST Interagency Report 8170說明聯邦政府機關實施CSF的方針。雖然這份報告的目標受眾是聯邦政府使用者，NIST預期使用CSF的私人企業也可從中受惠。
• 可廣泛應用至關鍵基礎設施的領域專屬推動指南包括來自DOE的能源指南、來自國土安全部的運輸系統指南，以及來自CISA的水壩指南。

其他框架與模型

• IIoT協會的安全成熟度模型。此模型專為IoT系統持有者、整合商、決策者及其他利益關係者所設計(請參閱從業人員指南的其他洞見)。
• MITRE ATT&CK。MITRE係由聯邦政府資助進行之研究，由安全從業人員廣為使用。ATT&CK是一個矩陣報表和匯集的知識庫，內含有依據現實世界觀察所得到的假想敵戰略與技術；近期更新增專用於工業控制系統的章節，有助於安全團隊的戰略執行。CISA也在其某些威脅公告上使用ATT&CK - 範例如2021年十月的水資源與廢水處理系統營運者警示。
• ISO 27000與IEC 62443。由國際標準化組織(ISO)與國際電工技術委員會(IEC)制定的一系列標準，可作為風險管理及安全性的指南。許多企業尋求ISO/IEC認證以證明其遵守安全實務。相較於受限在資產持有者層級，IEC 62443可以讓組織擁有更充裕彈性以審視整個供應鏈的網路安全和風險。
• 英國網路評估框架(CAF)。CAF由英國國家網路安全中心(NCSC)為鞏固關鍵基礎設施領域的安全而制定，共有14項原則涵蓋如資產管理、供應鏈、人員意識和訓練，以及應對與復原規劃等項目。
• 網路安全成熟度能力模型(C2M2)。能源部模型的建立係與私領域部門合作，以處理IT/OT網路安全實務且適用於關鍵基礎設施所有垂直產業。C2M2包含超過300項網路安全實務，區分為10個範疇，例如威脅與漏洞管理、風險評估、人力管理和網路安全架構。

法規考量

由於威脅發動者愈加將矛頭對準關鍵基礎設施供應商與設施，政府單位明文規定必須提升安全與復原力。美國政府在此一層面尤為積極主動，持續加嚴法規管制。舉例而言，2021年七月提升CIS網路安全總統備忘錄旨在促進聯邦政府與私領域部門之間的合作，以提高防禦力。

儘管此創始計畫本身為自願性質，但關於風險和安全管理的新標準將由此而生。關鍵基礎設施組織領導者應密切關注發展情勢，以掌握這些脈動會如何影響未來的法規遵循性。

法規資源

• CISA概述。檢視CISA與NIST將因此備忘錄而著重的目標和九大範疇。
• NIST更新。NIST將更新其SP 800-82 (工業控制系統安全指南)；此更新係因應該備忘錄而生。
  
• 專家洞見。閱讀法律事務所對其意涵的評論。
• 網路與資訊系統(NIS)指令。歐盟對監管關鍵產業之指令。關於對指令之關鍵基礎設施領域具備何種意涵所做的分析，以及如何對應至如NIST和ATT&CK等其他標準，請閱讀SANS白皮書「NIS指令內ICS應賦予ATT&CK®框架」。

設計安全的OT架構

CISA九項前述重點範疇之一即為架構與設計。諸如像網路分割、防火牆與非戰區(IDMZ)分隔等網路安全特性整合進入架構當中，可減少攻擊面、提高入侵難度以及改善偵測和應對。

零信任是眾多可獲致更佳網路安全架構的方針之一，以不自動信任使用者、連線或請求之概念為基礎，除非經過持續性與動態化驗證及授權。為因應總統對於提升關鍵基礎設施網路安全的強制規定，如今CISA已將零信任視為一項加強目標。

網路安全架構資源

• 安全架構設計。來自於CISA帶有ICS組成各項定義與記錄的互動式頁面，涵蓋範圍從無線存取點以至網頁應用伺服器。
• 設計原則與營運技術。NCSC對於設計安全OT系統的建議。
• 安全架構反模式。一份適用於OT的設計模式迴避NCSC白皮書。
• 零信任成熟度模型。一份CISA初稿文件，旨在輔助聯邦政府機關推動零信任方針。(點選此處查看更新)。
• CNI系統設計：安全遠端存取。一份內容詳盡，在疫情營運期間極為重要的關鍵基礎設施領域NCSC文章。
• NIST 刊物 800-207。關於零信任策略與多種部署變體的詳盡討論。
• 洛克威爾自動化與John Kindervag暢談OT零信任。聆聽來自洛克威爾自動化與零信任方針創始者John Kindervag對於有關OT零信任的最新洞見。

美國政府基礎設施法案的網路安全計畫

美國國會於2021年11月頒訂了一項影響深遠的基礎設施開支法案 - 基礎設施投資與就業法案(H.R. 3684, Infrastructure Investment and Job Act)。(有關值得注意的網路安全內容，請見第40121-40127、50113條以及第VI編第70611-70612條)。

按照本法案內容，DHS將對具有關鍵基礎設施的機構提供改善網路安全的補助金。諸如像水資源/廢水處理與電力公用事業、石油與天然氣加工裝置、運輸和醫療設施等公眾服務，以及在CISA所指明16大產業中的私營組織，屬於可符合補助資源的對象。

補助將涵蓋哪些內容？

預計指引會在2022年發佈，但補助很可能涵蓋識別、保護、偵測、回應與復原五大NIST類別關於強化IT、OT與ICS安全防禦的大範圍投資。

組織現在即可開始界定與記錄自身的網路安全需求，俾利尚無規劃者加速計畫的擬定和送件。洛克威爾自動化已制定免費的網路安全計畫範本與檢核清單可供下載，以作為建立正規網路安全計畫的第一步，用於DHS補助金的送件申請。

NIST網路安全框架當中的更多工具與技巧

底下提供多種實用資源，可探究NIST的識別、保護、偵測、回應與復原等類別。

識別

此範疇係關於明瞭自身的網路安全風險，包括事業脈絡及可用資源。

• OT網路安全快速評估。此工具由洛克威爾自動化開發，可供快速讀取網路安全的完備度和缺口，並按照各產業、規模和區域提供來自同儕組織的資料評比。
• IIoT/IoT掃描工具 — 表列出三個可公開取得以發現網路對向ICS裝置的工具，以及使用這些工具的技巧；CISA也在此處提供這些工具各自的詳細資訊。
• 網路安全評估工具(CSET)。CISA提供的免費桌面軟體，可評估控制系統網路的安全性
• 風險評估執行指南。NIST刊物800-30因應聯邦資訊系統而生，但也適用於私領域部門。
• 內部風險評估。來自於CISA自我評估套組(可供下載)。

對於需要更周詳服務的組織，洛克威爾自動化網路資產識別與掃描，以及持續不中斷的庫存監控，以協助不間斷地辨別出安全風險。了解更多。

保護

此範疇著重在發展和推動安全防護措施，例如像資料安全、身分管理與存取控制、權利架構、產品安全等，包含如人員意識與教育訓練等需求。

• ISC-CERT公告。表列出多種廠商的公共漏洞與暴露(CVE)；亦請參見來自NIST與MITRE額外的CVE儲存庫。
• 身分與存取管理 (IAM)。此NCSC提出的IAM簡介包含有一個OT章節。
• 防衛軟體供應鏈攻擊。由CISA向軟體開發商與其客戶提出之白皮書。
• 保護網路對向服務。NCSC所提出之針對關鍵基礎設施操作者的文章。
• 關鍵基礎設施實體的視訊會議安全。來自CISA所建議之實務。

偵測

此一功能能夠持續監控流程，以偵測網路安全事件。

• 網路安全衛生評估。表列出由CISA提供給關鍵基礎設施組織的免費服務，例如漏洞掃描、網路釣魚檢測以及滲透測試。
• 縱深防禦概覽。儘管此資訊圖表係由CISA為核能產業所制定，但其具備適用於所有領域的快速洞見。
• SOC購買者指南。此NCSC指南適用於考慮將自身安全營運中心外包的組織，可提供深入的SOC概覽與技術。

對於有意願尋求更全面的服務的組織，洛克威爾自動化可以提供異常與威脅偵測支援，以及與Claroty和Cisco等全球供應商之間的策略夥伴關係。了解更多。

回應與復原

NIST CSF最後的兩個範疇側重在網路安全事件期間展開行動，以阻止漏洞入侵的意圖不致得逞與擴散，並在接下來將營運回復至正常等級。下述類別利用攻擊意圖來提升洞察力與復原力。

• 事件溝通範本。來自SANS有多種可供下載的表格。
• 兵棋推演。來自CISA用於網路安全應對情境的套組。
• 事件應對手冊。雖然所設定的目標是公用電力實體，此DOE手冊可調整適用於任何關鍵基礎設施垂直產業。
• 事件應對規劃。來自NCSC的逐步指南。除此之外，亦參閱有關打造一個事件應對團隊的實用指南。
• 對網路安全事件預做準備。來自美國特勤局網路調查小組依據NIST CSF提出的導引指南。
• 現實情境範例。關於美國紐奧良市的重要文章，該市遵循自有的事件應對計畫來輔助阻止勒索軟體攻擊。

產業級資源

以下的產業專屬資源包含有用的信息和建議，可提供任一關鍵基礎設施組織化為己用。以下是部分範例：

• 輸送管道網路風險減災。來自CISA的快速概覽。
• 水資源產業最佳實務。表列出來自EPA的網路安全資源。
• 事件應對檢核清單。由EPA針對水資源產業所擬定。
• IoT安全最佳實務。歐盟網路安全局(ENISA)探討智慧製造的工業IoT詳細指南。
• 水資源產業的網路安全風險。來自美國水務協會的白皮書。

採取行動並提高警覺

關鍵基礎設施網路安全的技術革新迅速。若要比威脅更佔得先機，安全領導者需要持續不斷監看新興的趨勢、法規發展以及產業變革。最後要介紹的實用資源為CISA電郵名單，可選擇不間斷接收快訊、警報、技巧等。

洛克威爾自動化的工業網路安全服務

若您正在尋求工業安全方面的專家與準則來協助鞏固您的關鍵基礎設施，洛克威爾自動化可為您提供協助。我們能夠評估、設計、推動與管理眾多不同的專案型或持續託管服務的解決方案。奠基於涵蓋全球的佈局與深耕支援位居產業核心之組織超過100年，我們務實耕耘的網路安全團隊與厚植產業實力的SOC能力，將可確保您的生產營運獲得絕佳保障。

了解更多，您可立即聯絡我們安排專家諮詢。