DHS-TSA 2021-1 管線指令的意涵

隨著近來網路威脅事件頻傳，國土安全部已向石油和天然氣產業發出重要指示。 以下列出中斷企業 OT 基礎設施攻擊路徑的三大實用方式。 

石油與天然氣產業重度仰賴各種自動化作業。 探勘、開採、精煉、混合、協作並最終供應石油與天然氣所需的一系列協同作業，完全仰賴操作技術 (OT) 基礎設施。

近來 OT 環境重大基礎設施因攻擊而中斷營運 (包括 Colonial Pipeline 事端) 的事件頻傳，一再凸顯重大基礎設施容易因網路安全弱點、威脅和可能的營運中斷而受到影響。 

石油和天然氣產業遭到的其他攻擊包括：

• 2020 年 2 月 - 一處天然氣設施遭到網路攻擊，此攻擊同時加密 IT 與 OT 網路，並鎖定人機介面 (HMI)、資料歷史記錄和輪詢伺服器的存取權限。 管線被迫關閉兩天。
• 2018 年 12 月 - 一家義大利石油與天然氣承包業者成為網路攻擊的受害者，其位於中東、印度、蘇格蘭和義大利的伺服器都遭到攻擊。

• 2018 年 4 月 - 共享資料網路遭到網路攻擊，迫使美國四家天然氣管線業者暫時關閉與客戶之間的電腦通訊。

• 2017 年 8 月 - 因 Xenotime 駭客團體入侵，沙烏地阿拉伯關閉了一處石油與天然氣設施。


DHS- TSA 2021-1 管線指令

2021 年 5 月 28 日，美國 國土安全部 (DHS) - 運輸安全管理局 (TSA) 針對管線營運特別發出 2021-1 安全指令。 雖然過去曾頒布過其他石油和天然氣產業標準 (參閱下表)，但這項指令是專門針對美國管線業者不斷發生的安全威脅而制定。 它是保障重大基礎設施環境安全並消除其風險的重要轉折點。

2021-1 管線安全指令主要為管線營運商提供以下三方面的指南：

1. 管線操作的負責人和營運商都必須向美國網路安全及基礎設施安全局 (CISA) 通報資安事端。
2. 他們必須指定能提供 24 小時全天候服務的網路安全協調員，由其協調安全措施、遵行指令中所規定的特定要求，並在資安事端發生時加以應變。

3. 石油和天然氣設施必須根據運輸安全管理局 (TSA) 的 2018 年管線安全準則來評估其現行的網路安全措施與活動來因應網路風險、確定其現行網路安全和準則規定之間的落差，然後研擬可彌平這些落差的修復計劃。 


和石油與天然氣產業相關的重要標準

美國國家標準暨技術研究院 (NIST) Cybersecurity Framework (CSF)： 所有產業公司採用的卓越架構。 越來越多的天然氣與石油公司都以 NIST CSF 為重心實施整個企業的計畫。


國際電工技術委員會 (IEC) 62443。 工業控制系統 (ICS) 安全性的標準系列。 廣為天然氣與石油製造業採用。 適用於所有類型的天然氣與石油 ICS。


API 1164 標準： NIST CSF 與 IEC 62443 未涵蓋的管線專用標準。


能源部門網路安全功能成熟度模型： 使用業界認可的最佳做法衡量企業網路安全功能成熟度並強化營運的自發性流程。


國際標準化組織 (ISO) 27000： 首要標準提供了資訊安全管理系統 (ISMS) 所需滿足的要求。


降低風險的三大主要 OT 安全最佳做法

雖然 DHS-TSA 2021-1 指令強調石油和天然氣營運商的主要相關要求，但絕大多數企業的最大挑戰仍在於如何執行此指令的三大關鍵要素：

• 辨識風險； 

• 杜絕安全措施的缺失；以及

• 在資安事端發生時採取緩解措施。 


以下列出我們認為當務之急應徹底實行的三大關鍵 OT 安全措施的最佳做法，這些做法可以保障運輸管線的操作，使其穩定安全。

1. 獲得能見度與深度見解。 石油與天然氣產業整個基礎架構之間的作業必須同步，而廣大且異質化對象的憑證存取也需要妥善管理。 Active Directory (AD) 在這一方面扮演著重要角色，在 Colonial Pipeline 案例中，勒索軟體便是利用這一攻擊媒介展開攻擊。 使用 AD 的人可能包括員工、合作夥伴、代理商和下包商。存取要求範疇可能不只包括實際的廠房，還有公司外部與全球各地的偏遠和遠端鑽井據點或管線。 因此，無論這些設施有多麼偏遠或分散，絕對有必要維護從主設施到所有據點的存取與組態控制。 OT 安全解決方案必須使所有營運據點一律具備智慧功能，包括 (但不限於) 可設定式邏輯控制器 (PLC)、HMI 控制器、工程站、網路設備、閘道及維持網路正常運作不可或缺的所有其他裝置。 深入瞭解 (並掌握) 所有類型的裝置、修補程式層級、韌體版本和底層資訊勢在必行。 這一點對於並未透過網路定時通訊的休眠裝置而言也非常重要。
2. 辨識威脅。 過去，石油與天然氣供應商的 OT 作業彼此獨立，現在則與 IT 連線，可隨時隨地存取。 這種融合所造就的環境會影響石油探勘、開採、精煉和供應的完整性。 實體隔離的消失使得惡意的攻擊發動者能從 IT 端或 OT 端滲透作業環境的各個部分。 為了分辨各種可疑行為，必須充分運用三種偵測引擎：

   • 除了原本就不應該相互通訊的裝置之外，流量對應與流量視覺化呈現還能分辨試圖從外部來源進行通訊的行為並提出警示。

   • 找出非正常網路作業流量模式的異常偵測功能。
   • 以特徵為基礎的偵測功能可分辨出攻擊者所利用的已知威脅。

3. 加速修補弱點。 絕大多數的石油與天然氣環境中往往會有 IT 環境不存在的各種老舊裝置。 各種裝置類型都有不同的修補程式層級，維持時時更新的修補程式管理方案可說是困難重重。 由於石油和天然氣產業環境的維護頻率不夠高或維護期間不夠長，可能造成已知弱點長期未修補的情況。 深入瞭解企業所有裝置的實際情況和特性極為重要。 包括必須能夠準確匹配裝置的特定狀況與有相應攻擊程式的可用弱點知識庫。 由於石油和天然氣環境有著不斷變動的特性，知識庫的內容必須能隨時反映最新發現的弱點。 例如，Tenable 的弱點優先順序評分 (VPR) 可以根據常見弱點評分系統 (CVSS) 的評分、弱點嚴重性和可利用性等各種因素，將弱點從最嚴重到最輕微的程度予以分級。 


總結

OT 網路安全目前已是確保民生所需的重大基礎設施穩定、安全有效率的公認核心要素。 您需要完整的能見度、安全性和掌控度，才能全盤掌握所有的營運資產。 無論是為了遵守現行標準或新頒布的 DHS 指令，擁有 OT 安全措施的同級最佳技術都顯得無比重要，同時這也是保護地方安全不可或缺的一環，企業責無旁貸。 針對不斷變動的威脅態勢，企業必須即時瞭解網路和裝置層面的實際情況。 為了瞭解實際情況，企業掌握的資訊必須定期更新並且能反映最近搜尋到的弱點、威脅和落差。 企業必須即時得知任何的偏差並記錄下來。 無論是完整的書面追蹤記錄或察覺環境的一切變動，都缺一不可。 掌握與維護此類詳細資訊有助於加速資安事端回應、重視新發現的弱點並將其列為首要之務，積極促進內部合規性，同時遵循主管機構的法規要求。

深入瞭解：

• 閱讀部落格： Colonial Pipeline 勒索軟體攻擊： 如何降低 OT 環境的風險
• 造訪解決方案頁面：保障石油與天然氣作業的工業網路安全 

• 下載白皮書：重大基礎設施的網路安全