智慧製造技術的應用迅速在業界普及。乘著人工智慧、機器學習和工業物聯網等新科技的浪潮推進,製造業者現身處在過往無可比擬的環境。互聯網能力的提升,也使得網路風險更甚以往。資安威脅發動者不斷竄起,其滲透至 OT 網絡的技術也推陳出新;根據洛克威爾自動化的智慧製造現況報告,所有對工業組織發動的勒索軟體攻擊其中,有 71% 以製造業為下手目標。
有鑑於威脅情勢愈演愈烈,工業組織勢必要實施穩健的資安保護措施,經由周詳萬全的評估衡量內外部環境。在推動任何評估以前,都必須先認清評估內容為何、現有哪幾種可用的評估類型、這些評估類型各自的優勢為何,以及實施這些評估後帶來的價值與成效。
您無法保護您看不到的東西。欠缺視覺化呈現對於所有產業而言都是一大考驗;這在製造業更是如此,原因是多重區段分割的 OT 網絡彼此間充斥著固有設備。藉由評估可幫助組織在製造程序、互聯資產以及各自引發的相對網路風險等方面,獲取關鍵洞見。網絡架構的視覺化呈現,可為有效維護 OT 網路資安奠定基礎,從而輔助工業組織維持正常運作時間、風險減災及安全營運。
何謂網路安全評估?
網路安全評估的流程,係在衡量各種資安維護的控管措施,從而審視組織整體的資安態勢。評估內容可包含各種戰略作法,例如對於未知弱點、攻擊媒介等的事先預防做確效,由此協助追蹤系統、應用和網絡的缺陷,以及採行防禦管控和確保各項政策隨時更新。網路安全評估的總體目標,係要幫助組織確實認清所處製造空間內的資產,以及相伴隨的資安漏洞。網路評估能為企業整體建立視覺化概覽,樹立起 OT 資安發展的穩固基礎。
網路安全評估的涉及範圍,取決於組織設立之目標、規模以及遵規標準。預先定義評估標的與要求規定,有助於慎選出適合組織的評估作法,以及規劃符合所需的網路維安藍圖,將獨有的隱患優先處理及找出解決方案。
不論屬於何種評估(初階或全面),都能衡量網絡、資產與相關漏洞的現況。進行評估時,也將分析遵規性、識別出攻擊面、衡量網路復原彈性、找出對資產潛在的威脅,以及掌握組織本身的使用行為與風險承受度。儘管內部自己也能辦得到網路安全評估,但與洛克威爾自動化等協力廠商合作,俾利於製造業者從已佔有一席之地的工業自動化組織學習專業技術。協力廠商的服務範疇極廣,按照各種不同產業別、規範、需求和要求,以個別訂製的企業方針來協助穩固營運。
不同類型的網路安全評估
- 漏洞評估 – 面對互聯資產時瞭解其所伴隨漏洞的第一步。漏洞評估是具備成本效益的自動化流程,只需要限定範疇即可辨識出資產現存的資安異狀/弱點。以此項評估為根基,可開展出維護 OT 網絡安全的立即行動。
- 風險評估 – 一項藉由滲透測試與漏洞評估所識別的漏洞問題,從而描繪出風險與威脅的程序。風險評估係找出人員、流程與程序在 IEC62443 和 NIST 網路安全框架下的風險。這項評估可幫助驗證資安措施,防止內外部環境遭受威脅。風險評估能協助組織規劃新增措施,提升總體資安評比。
- 協力廠商風險評估 – 這類評估係當製造業者的協力廠商落實設備和解決方案之際,用於量化估算可能衍生的伴隨風險。
- 滲透測試 – 滲透測試係從攻擊者的觀點出發,深入運用漏洞測試以及組織資安態勢的一項作法。這是主動出擊的策略,識別出缺口以及輔助達成遵規與規範要求。認清資安缺口,製造業者才得以規劃和執行補救措施,並採行新的資安管控。
- 攻擊團隊評估 – 這是一項滲透測試之外的步驟,涵蓋所有層面的攻擊,以模擬發動者對 OT 環境所做的網路攻擊。進行此評估可供製造業者即時稽核其防禦能力。
- 事件應對就緒評估 – 評估目的為瞭解組織對網路攻擊應戰與減損的準備程度。事件應對就緒評估由協力廠商執行,可評估組織的準備狀況與資安措施。
- 沙盤推演 (TTX) – 此為一項理論性網路評估,用以評量組織內不同人員的應對,更具體而言即資安團隊面臨網路攻擊時的處理方式。TTX 運用多種不同的現實場景模擬風險與資安事件,組織可據以擬定或編修事件應對的計畫和培訓需求。
不論組織處於OT網路安全發展的哪一階段,進行評估都有助製造業者採取行動維護營運安全,或參考最新安全威脅對既有措施進行確效。洛克威爾自動化擁有工具和專業技術,可因應各獨有的風險承受度和預算,找出所需的網路安全評估做法並付諸實行。洛克威爾自動化網路安全團隊擁有充分資源,可達成委託組織的請託,支援以上全套的評估組合。關於 OT 網路安全評估事宜,以及如何從中挑選最適切的做法,請向網路安全專員諮詢相關資訊。
