2020 年 7 大工業網路安全預測

我們預期 2020 年會出現新的攻擊媒介，OT/IT 之間的互動會越來越密切，雲端則會助長此趨勢。 以下是我們對工業網路安全的七大預測以及企業今年該做好準備的建議。 

隨著工業物聯網 (IIoT) 的採用，資訊技術 (IT) 與操作技術 (OT) 都在快速變遷與融合中。隨著它們的演變，駭客也在尋找新的攻擊媒介和新的攻擊破綻下手。 

那麼，這一切對公司以及 2020 年的工業網路安全意味著什麼？ 

以下是我們對這個產業的七大重要預測，其中道出我們認為這個產業今年必須面臨的問題，同時建議公司該如何做好準備。 不過首先，讓我們來看看產業變遷對我們的預測有何影響。

背景觀點

過去，實體隔離就足以保護網路與裝置。現在卻出現一個不容忽視的事實：公司的重大與工業處理流程容易受到外來侵入的影響並導致中斷。 

2010 年的 Stuxnet 蠕蟲就是以實體隔離的系統為攻擊目標使其中斷，這是將近十年前發生的事，自此之後 IT 與 OT 攻擊就越來越層出不窮。 

Ponemon Institute 與 Tenable 在 2019 年進行的一項研究發現，90% 從事 OT 基礎設施行業的受訪者表示，他們在過去兩年間曾遭到至少一個破壞性的 IT 或 OT 網路攻擊。 有三分之二的受訪者遭到攻擊者攻擊至少兩次。 

由於這些攻擊與日俱增，多數工業與重大基礎設施企業除了本身的 IT 基礎架構外，也都投入研發更多的方式來保障其 OT 基礎設施。 

我們目睹這個領域出現日益艱鉅的難題，工業控制系統 (ICS) 安全性很快地成為絕大多數執行重大基礎設施與工業設施 (無論其大小、地點或領域) 的企業大勢所趨。

我們對於 2020 年工業網路安全 (ICS) 環境的預測是根據我們在市場中的所見所聞，以及我們與負責防禦公司系統的專業人員頻繁往來的心得。 以下列出我們對 2020 年工業網路安全的七大預測，並建議公司該如何做好準備：

1. 技術融合將會開放新的攻擊媒介

IT、OT 的融合與物聯網 (IoT) 的使用在 2020 年將會以前所未見的速度飛快前進。 它們彼此之間的界線將會變得越來越模糊難辨。 這種新的態勢會產生新的攻擊破綻與攻擊媒介，公司的團隊必須嚴加監控及防禦。 

即使 OT 系統 (主要特徵是其擁有各式各樣的傳統、自有的非標準通訊協定與介面) 變得越來越難防護，公司仍縱容大量攻擊途徑的存在。 

建議：無論您是否要對工業控制系統進行實體隔離，OT 型的攻擊都是真實存在的危害。 「設定好就一勞永逸」這種座右銘並不足以拿來管理 OT 環境。若要及早偵測出 OT 威脅，無論是網路還是裝置都必須一直擁有專門的 ICS 監控能力。 

2. 攻擊從 OT 蔓延到 IT 將成實際情況

過去 24 個月間有大量報導顯示橫向攻擊不僅已在 IT 領域穩定成形，還進而蔓延至 OT 網路，2020 年我們更將目睹從 OT 橫向移動到 IT 的攻擊。 

例如，我們可以預見攻擊者會刻意針對 OT 網路中的 ICS 裝置展開攻擊，以獲得 IT 網路及資產 (如客戶資料庫) 的存取權。 

攻擊者會將目標對準 OT 環境，因為這種環境在傳統上具備的防禦能力不像 IT 系統那麼好。這讓攻擊者在意圖攻擊 IT 資料庫時不會受到激烈的抵抗。

建議：在 IT 與 OT 安全團隊之間建立信任與互助合作的生態體系，提倡雙方資訊共享，以此偵測這些攻擊。 此外，充分運用裝置完整性來找出裝置的問題所在，在網路攻擊蔓延開來之前加以遏阻。

3. 這些攻擊會曝露有 OT 安全弱點的連結

如果攻擊者希望不會受到激烈抵抗，自然而然就會瞄準如大企業的分公司或偏遠據點等 OT 基礎設施。 

以能源供應業者而言，這些偏遠/小型據點往往會與較大型的 OT 網路與區域電網連線。 他們的防禦能力通常最低，也最容易遭到攻擊。 因此，攻擊者會試圖攻擊遠端據點，或甚至是小型的能源供應商，意在引發連鎖效應。

建議：為避免重大營運中斷及橫向收集 IT 資料的侵入行為，分公司及遠端據點所實施的 OT 基礎設施監控與防護措施最好能與您的主要據點一樣。攻擊者可能會利用這些遠端據點對總公司或合作夥伴的據點發動回程網路攻擊。

4. 重大基礎設施的範圍將會擴大

重大基礎設施的傳統觀念在 2020 年將有大舉突破，不再只是能源輸送網，還包括更多非傳統目標。 

我們可以預期重大基礎設施的主流意識將會包含大樓管理系統、運輸物流、重型建築設備、餐飲供應鏈與其他行業。

預期美國國土安全部 (U.S. Department of Homeland Security) 所定的 16 大關鍵基礎設施產業將受到更廣泛的重視。而且，因為 2020 年是美國總統大選年，選舉系統的安全性將會格外受到矚目。

建議：過去被歸類為非重大、太小或過於孤立的基礎設施 (亦即在傳統上不容易被視為攻擊目標的基礎設施)，現在也都需要防護與監控。 部署在任何地方的所有可設定式邏輯控制器 (PLC)、分散式控制系統 (DCS) 或智慧型電子裝置 (IED)，無論其大小、安裝位置或與外界的連結性為何，都必須妥善考量其 OT 安全性。  

5. 雲端型工業控制系統即服務 (ICS-as-a-Service) 將會獲得更高的接受度 

企業認為就實體部署難以實現或不可行的地點而言，雲端是提供 OT 安全性的可靠工具。 

透過雲端提供的 OT 安全性在反對/贊成歷程方面與其他技術基礎設施建構區塊並無不同，像是：內部部署 CRM 與軟體即服務 (Software-as-a-Service) 雲端型工具 (如 Salesforce)、本機與線上防毒以及近來出現的主機與雲端型端點偵測與回應 (EDR)。  

建議：目前因缺乏控管措施而考慮雲端提供的 OT 安全性替代方案的遠端或分散式地點，在實施這些方案時，嚴密程度必須與總公司一樣。

6. IT 人員將對協作安全性享有更高的主控權 

在 2020 年，絕大多數的工業企業都會將安全性視為是 OT 與 IT 團隊必須共同承擔的責任。 

未來無論是內部或外部安全威脅意識，都將日益水漲船高，在過去 24 個月中，IT 與 OT 團隊之間的攜手合作已隨著此趨勢穩定提升。 雖然 OT 團隊過去對於 IT 在 ICS 網路方面的干預不以為然，但我們預期 2020 年能看到 IT 團隊充分運用他們數十年的老練經驗來主導 OT 安全性。 

我們預期 IT 團隊將會集結眾人之力，藉助 OT 團隊的大力支持及重要建議，設立 OT 安全專案的準則。

建議：由於 IT 安全性與 OT 安全性在優先排序方面截然不同，所面臨的難題也大不相同，因此企業需要將這兩種方式加以融合。 同時採用 IT 與 OT 安全通訊協定的最佳做法，才能研擬出能發揮最佳能見度、安全性與掌控度的新一代架構。

7. 網路技術的落差將禍延 OT

(ISC)2 預計在 2022 年將會出現 180 萬個 OT 安全職位的職缺，高居目前全球 IT 安全職缺 (400 多萬個職缺) 之冠。 

今年我們預測 OT-IT 融合式技術的落差將會造就新的風險產生：企業現有的人員可能缺乏必要的 IT 與 OT 跨領域技能，符合新職務資格的應徵者也將會很有限。 

建議：對應既有的落差。然後對公司的 OT SCADA 團隊及與其合作的 IT 資安同事進行嚴格的技能評估。 以消彌此落差為宗旨，著手開辦跨領域訓練課程。 另外，藉此機會招募應屆畢業生或缺乏經驗的應徵者，從頭開始訓練他們，使他們具備 IT/OT 融合式技能，能解決所有相關軟硬體的安全問題。

深入瞭解

觀看隨選網路研討會，Tenable 與 Indegy：首創 IT 與 OT 安全性統一風險型平台。