對於關鍵基礎架構提供的防護,有賴於穩健的威脅偵測。本文說明了如何揭穿威脅,以及如何防止安全事故衝擊您的營運環境。
如何察覺暴風雨前的寧靜?若您的團隊被賦予保護組織營運科技和工業控制系統(OT/ICS)的任務,您可能到目前為止有很不錯的構想。
在關鍵基礎架構產業中,近期有些難以忽視的警訊。收斂這些警訊包含事業IT與OT系統融合現已於雲端加速進行;資料庫驅動的勒索病毒服務(RaaS)和網路釣魚激增;以及自COVID-19疫情爆發以來,在關鍵產業中大規模鎖定遠端工作者及遠端存取漏洞。
早在Colonial Pipeline燃油管道因DarkSide勒索軟體攻擊而在2021年五月關閉前,即已有這些警訊。不過是透過此事件的契機,讓業界與政府重整旗鼓,開始強化國內的關鍵基礎架構防護。美國運輸安全管理局現在還要求管道負責人和操作人員都必須回報網路安全事件,除此之外尚有許多其他規定。
同樣的情況也適用其他關鍵基礎架構領域,例如公用事業(石油與天然氣、水處理/廢水處理、電力)、醫療照護領域、化學製造業,或食品加工廠。您的OT安全性任務要如何從此波動能中獲益?
您的OT/ICS安全啟動計畫要從何處著手?
畢竟IT/OT團隊現也需要備妥計畫,您在這方面不是孤軍奮戰。許多洛克威爾自動化客戶都抱持相同疑問:我們該從什麼地方開始著手??
大多數的專家都同意:任何一種關鍵基礎架構保護策略,都取決於穩健的網路威脅偵測計畫。下述五項列為最優先的步驟,將有助於揭穿隱藏的威脅,以及防止網路安全事故衝擊您的OT/ICS環境。
1. 評估實體安全與您OT/ICS基礎架構的資產盤點
從裝有惡意軟體的USB隨身碟遺落在停車場讓輕信上當的員工撿拾,並插入您其中一個OT端點(研究發現有48%的員工掉入騙局),以至工廠或入口區域的IP網路攝影機,實體裝置經常是安全性缺口,更容易遭受威脅發動者入侵。此外,掃描網路、搜尋有無網路攝影機連接埠不慎漏關的攻擊者,可能也虎視眈眈。
尤有甚者,罪犯同業聯盟與線上破壞行動者也對自動化鄭重以對。RaaS與網路釣魚活動充分運用複雜的資料驅動工具和漏洞攻擊包,將目光焦點集中在其目標。
您可能已掌管未經授權的資產或裝置。重要的是還要對現有用戶的資產做例行性盤點。事實上,有些關鍵基礎架構組織甚至每小時做資產盤點掃描。
不過,關鍵領域的許多IT/OT團隊面臨人力短缺、工作負荷超量,並且延後了關鍵OS與應用程式更新和修補程式以及庫存評估,或者將之遺漏。雪上加霜的是,IT與OT團隊的職位和職責並無明確分野,此模糊地帶進而使得人力技術缺口的問題負責人懸而未決。事業OT端的修補程式也可能特別複雜,經常受到輕忽。
感覺似曾相似?
是時候將您的防禦藩籬自動化了。以人工智慧為備援的IT/OT工具可執行資產盤點與自動化威脅偵測,讓您得以掌控附加至您網路的新增部分,包括工業物聯網(IIoT)裝置。現代化網路安全工具和服務擁有極高程度的自動化,為關鍵營運提供更佳防護,團隊人力得以舒緩投入關鍵任務。
2. 強化存取政策
部署現代化身分與存取方針,通常是提升網路安全方面一個相對能短期見效的做法。這也是零信任(Zero Trust)方針的基礎,當中絕不認定身分,而是連接至特定存取權與政策、使用時間等。
許多關鍵基礎架構產業的OT組織尚未採行最新標準,例如多重要素驗證(MFA)。其餘門戶大開的安全性缺口包括密碼共用,以及遠端存取而無妥善控制,此問題因疫情之故更明顯加劇。
有效率的工廠運作能與嚴密的身分和存取控制並存,因此切勿讓此問題拖慢您打造強健計畫的腳步。獲取您需要的資訊並採取行動。如同專家常見的言論,雖然駭客充滿創新想法,但大多數重大攻擊不是來自於駭客絕妙的新巧思。攻擊通常肇因於已有補救措施的安全性缺失。
3. 全天候監視
持續不中斷的監視,是偵測工業網路有無威脅的關鍵。威脅偵測、運算基礎架構、防火牆、網路,以及甚至經過IT/OT環境優化的軟體應用程式即時監視服務,首先可辨識出基準點的網路行為,接著當有不合乎預期模式的異常行動時向您發出警報 - 可支援當威脅警報解除時的應用程式復原。
工業網路安全監視工具能以即時化方式,允許在OT環境所有層面的能見度。您的安全團隊可建立警報和事件的關聯性,提出對於偵測到可疑行為的更深入洞見,以配備充分反應措施。
廠內可進行網路安全運作的人員或專業性不足?將問題交給既有且受到管理的服務供應商。恰當的合作夥伴可在此層面快速做到全面部署,運用來自豐富客戶端經驗的安全性洞見,超前於威脅發動者和新的漏洞利用者;並且具備偵測、阻斷威脅事故且於必要時從中復原等必要的實務經驗。
4. 善用網路威脅情資 (CTI)
真實情況是,大部分IT/OT安全團隊還沒準備好取得潛在攻擊的早期警示。這令人想到的是暗網論壇在聊天室中突然多次提及您的工廠,或者是地下市場拍賣的零日攻擊可影響您的工業控制系統零件。
CTI讓OT安全專業人員能超前部署,預做準備。幸運的是,您不需要斥資為內部打造威脅狩獵能力才能達成目標。洛克威爾自動化的客戶群可經由威脅情資服務獲得效益,這項服務是由洛克威爾網路安全營運中心、威脅狩獵者以及公開來源情資(OSINT)研究者與分析師共組的全球網絡提供支援。
資訊分享與分析中心以及CISO網路共享其他額外的洞見,以及同行ICS/OT安全業者與領導者的觀點。
5. 建立起資安心境
人員、程序與科技在網路衛生當中都扮演要角。 在一集Podcast中談到關於NIST框架和網路成熟度話題時,洛克威爾自動化全球網路安全商務經理Kamil Karmali分享了他對於團隊和人員的想法:
Karmali點出了首重安全這項文化對於執行者的重要性,也建言客戶應該「以團隊的方式合作,並確保職位和職責劃分明確。所有人都應明瞭自己在安全性方面扮演的角色。甚至是企業IT團隊與我們的OT團隊之間,也必須有明確分野。不可能一體適用所有情況,也沒有單一的解決方案。」
明確定義職位與職責所有者的職務分野至關重要。例如可執行例如兵棋推演或IR(安全事件應變)規劃等戰略,判定當發生勒索軟體攻擊時,將執行哪些重要步驟,以及人員決策的順序為何。
這一類的演練可列入訓練。IT/OT團隊有責任規劃安全事件應變活動,並列入優先項目,以定期且經常性的頻率做訓練以圍起充分防禦。有許多既有服務可支援安全性意識與實施的訓練,這也經常屬於託管服務計畫的一部分。
任何應對措施都有意義
發生Colonial Pipeline燃油管道攻擊事件後,電視與社群媒體剪輯片段報導了怒氣沖天的駕駛者大排長龍瘋搶擠爆加油站的畫面。
由於在公眾間的餘波盪漾,以及嚴重營運損失甚至訴訟的可能性,高階管理層對於此威脅嚴肅以對。對於名單對象進行網路威脅偵測步驟,能讓對於OT的潛伏威脅在導致組織遭受損害前無所遁形。
準備好了嗎?請聯絡工業網路安全服務團隊,以討論這類用於您工業營運的主動式安全防護方案。