Originally published in Brilliance Security Magazine.
對於大多數組織來說,數位轉型是保持關聯性與競爭力的一個重要進展。它開啟了收集新資訊的機會,並提供了可以快速改善決策與營運效率的見解,因而有利於成長及盈利。
在營運技術(OT)領域,數位轉型有助於改善重要指標,例如提升整體設備效率(OEE)、改善生產品質及數量、提高效能及操作可用度。
根據 IDC 估計,到了 2023 年,全球數位轉型的支出預期將達到 6.8 兆美元。然而,數位轉型往往會帶來新的風險,尤其是在網路安全成熟度的OT落後於 IT 的 OT。
這些數位轉型安全風險的本質是什麼?
- 連接能力正在擴張組織的攻擊面。OT 系統已連上以前從未連接的網路,擷取及傳輸資料以供位於於 IT 網路上的多個系統(例如 ERP 系統)進行分析。一旦 IT 與 OT 網路連接起來,若不採取應對措施,網路犯罪分子入侵 OT 的途徑可能會呈指數增加。
- 使用新的應用程式來運用資料及見解。軟體應用程式也被部署在 OT 網路環境中(基本上是在網路邊緣),以分析營運資料。許多應用程式是以雲端為基礎的,可增加靈活性,但將 OT 基礎設施暴露於網際網路及供應鏈風險。
考量到 OT 中的數位轉型安全挑戰,工業組織的轉型速度較以 IT 為核心的產業慢並不足為奇。但效益是不容否認的。例如,端對端連接讓供應鏈具有可追溯性,可更有效地管理品質,並解決品質問題或召回,幫助保護您的客戶與您的品牌。
從何著手
最好從一開始就建立適當的安全性,以展開您的數位轉型歷程。如果您已進行,並且必須強化運作中的安全方法與架構,該怎麼辦?
無論您從何著手,這些步驟都有助於關上 OT 漏洞的大門,同時為數位轉型開闢道路:速度及自動化:落實零信任策略、區隔及強化網路,並部署持續監控。
步驟1:落實零信任策略
落實零信任有助於減少及避免成功的網路攻擊。當採用利用數位資料流程優勢的新技術時,這點最為重要。
零信任涉及幾個主要原則:
- 辨識企業重要資產並確定其優先順序
- 定義保護面(它們由 DaaS 元素組成,即資料、應用程式、資產與服務)
- 對應交易流程
- 設計適當的架構,其中可能包括微分段以區隔 DaaS 元素、強化的識別與存取管理技術以及與資料及使用者或應用程式的預期行為相關的策略,以及防火牆
- 持續監控
這麼一來,零信任策略即可支援數位轉型的機制,例如安全地新增新的使用者群體、客戶參與模型及新的自動化科技,包括了物聯網(IoT)及 OT 裝置與感測器。因此,這是工業環境中數位轉型安全性的絕佳策略。
步驟2:區隔及強化網路
網路區隔透過分開業務重要資產與非重要資產,來保護業務重要資產。加強它們周圍的安全性,有助於確保網路某個部分的外洩事件不會繼續影響其他部分。
主要的網路區隔策略是工業隔離區(IDMZ)─一個將 IT 網路與 OT 環境分隔開的界限或「實體隔離 (air gap)」。IDMZ 管理業務系統與直接存取 OT 環境的區隔,協助在發生 IT 外洩事件時保護工業控制系統。
大多數工業安全標準所依賴的實體隔離技術往往與有效的數位轉型策略背道而馳。安全團隊必須決定如何將其零信任方法對應到正確的工業安全標準(例如 ISA 62443),以實現合規性要求,同時保護 OT 環境不受到快速成長及不斷演變的威脅。
請聯絡洛克威爾自動化,取得將工業安全標準對應到零信任策略的指導。
步驟3:部署持續監控
數位環境受到越來越多的網路安全威脅。企業必須透過內部分析師或第三方資安營運中心(SOC)持續監控,以發覺其環境中發生的情況。
威脅偵測軟體可提供有效的全天候網路監控。可以快速發現異常行為,並在惡意軟體在基礎設施中出現傳播機會前解決。威脅偵測軟體亦為資產庫存進行自動化,提高此重要安全步驟的頻率(例如每小時或每天),讓安全團隊可以發現網路上任何未經授權的裝置或使用者。
藉由審查內部與外部記錄,例如安全事件與資訊管理(SEIM)平台所產生的記錄,可以進一步達成持續監控。數位轉型安全風險可因此進一步降低,因為從每一次嘗試攻擊的經驗,都可以應用到組織的網路安全計畫之中。
立即展開安全數位轉型歷程
洛克威爾自動化憑藉在工業自動化與工業網路安全方面的豐富經驗,為安全數位轉型提供解決方案及專業知識。欲知更多資訊可下載我們的最新手冊:第四次工業革命:OT 中的安全數位轉型。
或者立即聯絡洛克威爾自動化,與專家討論安全數位轉型。
已發佈 2022年9月26日
