瞭解資產： 保障工業環境安全的第一步

隨著操作技術系統面臨新型網路風險的威脅，資安主管們可以透過滴水不漏的資產盤點，發揮其重大工業環境防禦措施的最高功效。

操作技術 (OT) 並不是新的技術。它跟同出一系但一般人較熟悉的 IT 存在的時間一樣久遠，但後來的發展卻大相逕庭。 

由於個人電腦與網路連線功能的問世和普及，IT 的成熟發展總是較引人矚目。IT 著重的是資安三要素「CIA」，也就是資料與網路的機密性 (confidentiality)、完整性 (integrity) 和可用性 (availability)。基於這些要求，運轉率、備援和安全等成為了重要核心，IT 管理員總會定期汰舊換新以確保滿足資安三要素 CIA 的需求。 

OT 的重要性向來都不下於 IT，但由於其執行後端系統的特性，總是無法得到廣泛關注。沒有資料傳入或傳出，是獨立運作的封閉系統。OT 總是獨自發展，人們對它的概念是「一旦設定好，就可以一勞永逸」。它著重的是穩定性與安全性。不像那些經常汰舊換新的系統，OT 設備有時會數十年如一日地運作而不更新。直到今天，使用初創時期老舊操作設備的 OT 廠房仍所在多有。

OT 系統已經今非昔比

由於 OT 系統從未出現過任何網路風險，因此除了基本的保養維護工作，也不需要花其他功夫和心思。基於 OT 系統幕後運作的性質，穩定性是它們的致命傷。時至今日，無論是 OT 資歷豐富的從業人員還是新進人員，都在重新檢討它的定位，並且認為防護這些許久以前設立後被遺忘的系統越來越重要。 

隨著近期 OT 基礎設施與 IT 網路融合的現象，現在這兩者之間的資料傳輸已較從前容易。即使在 OT 系統中仍存在所謂的「實體隔離」，但 IT 裝置常以人機介面 (HMI)、隨身碟等形式與 OT 環境互動。這種混合式環境為「意外融合」和橫向移動的安全威脅大開方便之門，使 OT 系統在多數情況下的曝險程度甚至比傳統的 IT 系統還高。

全面掌握企業 OT 基礎設施的資產庫

對環境套用安全措施，必須先知道環境中有哪些資產。這個第一步對 OT 環境而言格外重要，因為其中所含的資產可能已經使用多年，甚至數十年。很多時候原來建立 OT 環境的團隊都已經離職，因此多數老舊的資產可能無人負責。而且，有些深入資訊 (如哪些資產彼此相互通訊、韌體版本管理、底層資訊和終端使用者存取控制等) 可能並沒有詳實地記錄下來或沒有持續更新。除了簡單的資產庫外，進行這類深入的情況分析是根據 OT 環境實況套用所需資安措施不可或缺的重要步驟。簡而言之，看不到的敵人最可怕。

找出我們最容易遭到攻擊之處

一旦我們獲知正確的 OT 態勢格局，就必須持續不斷地修補我們環境中的弱點，盡可能縮小攻擊破綻。新弱點不斷問世，光是 2020 年就發現了 18,358 個弱點，即使是實力最堅強的資安團隊都應接不暇。我們可以從不斷更新的資產庫深入瞭解企業的所有資產，然後將全副心力放在已有相關攻擊程式且為環境中某些資產特有的弱點上。這樣一來可將弱點大幅減少到在企業控管能力內的幾百個弱點。 

進一步充分運用弱點優先順序評分 (VPR) ，也就是 Tenable Predictive Prioritization 處理流程的輸出結果，我們就能利用關鍵指標排定維護期間針對每個攻擊程式修補的優先順序。排定企業環境中各個弱點的優先順序，資安團隊就能確保優先修復最嚴重的曝險、使用現有的資安資源降低最大量的風險。 

建立互相信任的生態體系

建置 OT 安全系統時需考量許多因素和功能。其中包括對異常行為、違反原則、使用者存取與變更管理等發出通知和警示。最明顯但往往最不受重視的 OT 安全最佳做法，是確保 OT 安全系統「與其他工具搭配得當」。過去所部署的安全措施 (如新一代防火牆 (NGFW)、安全事件和事件管理 (SEIM) 工具等) 都可以在取得 OT 資安解決方案可提供的關鍵資訊和剖析時，擷取關鍵 OT 資料並進行深度防禦。

總結

資訊安全是一條漫長的旅程，並非終點。事實上，現在 OT 和 IT 都是資安的重心，我們必須時時警惕並在權衡兩方輕重後採行合理比重的資安措施。使用正確的資安措施不僅有助於加速採行新型和創新技術，同時也不會降低安全性或讓企業曝險達到無法承受的程度。

深入瞭解

• 歡迎觀看我們近期的 OT 網路研討會 (現已隨選提供)：
• 處於風險中的重大基礎設施 - 剖析 OT 安全缺口
• OT 威脅搜尋：制敵機先