上個月的新聞版面非常熱鬧,去年赫赫有名的勒索病毒導致世界晶圓代工龍頭損失76億、報廢上萬片晶圓 。以上季財測,第3季營收介於2577億~2607億元,相當於76~79億元,報廢晶圓數量超過一萬片。而造成這樣聚合的損失起因,竟然是人為的設定疏失與內網的聯通性,讓該勒索軟體大肆的感染其生產環境。難道OT工業設備的資訊安全就沒有更有效的方式加以維護嗎?
OT工業設施環境的內部威脅
辦公環境的IT的將會影響OT工業設施環境,只是一個時間問題。
今日的OT工業設施環境更背負著一個無可避免的原罪,就是產線7×24不停工。
這是一種持續不斷的安全威脅,風險已經大到任何時候都可能造成小小錯誤導致企業登上明日新聞頭條。
IT和OT之間界限的模糊事實上已經使工業組織處於資安事件的十字路口,而問題來源是大家往往忽略的地方—來自於企業內部。
“來自內部的威脅”
根據Indegy Labs最近的一項研究發現,86%的企業受訪者認為內部人員是組織中的最大安全威脅來源。
細數動機和與造成威脅起因,可以包括:
惡意意圖 – 通常是一個心懷不滿的員工或內部人員,刻意的洩露信息或故意破壞。
人為錯誤 – 當員工通過對工業流程/設備進行不正確的操作或不小心洩露公司機密信息,而無意中造成損壞或使生產環境停擺。
帳戶被竊取 – 這類似於人為錯誤,其中員工無意中導致帳戶被竊取。通常,通過社交工程的外部人員想辦法竊取關鍵的個人帳戶資訊。
社交工程攻擊可能來自於釣魚電子郵件,或是假冒內部IT人員詢問用戶的ID和密碼等。
為了保護OT環境免受內部威脅,OT工業組織應該從IT管理風險經驗上借鏡:
執行風險評估以識別和處理漏洞,例如特權帳戶過多,未落實的最小權限,導致用戶可以存取他們不被授權的資源,以往的經驗,終端員工與外部的承包商等的孤立少被監控的帳戶是發生問題的主因。
了解並監控攻擊向量。內部攻擊有兩個主要方式:使用網路遠端執行或直接在本地端口執行。後者發生在用戶將設備插入工業控制器散佈惡意軟體,或上傳非法的程式代碼。
本地端的攻擊可以快速傳播並有效地躲至過網路的偵測機制。除非是監控網路活動和同時監控設備完整性,才能有效的偵測到這兩種類型的威脅。
統一IT和OT安全性是當務之急。
由於兩個環境往往都是相互連接的,因此源自IT網路的攻擊可以橫向移動到OT環境。通過整合的安全工具及長期的監控數據,在IT和OT網路上就能有效的建立可見性,助於檢測橫向攻擊活動。
在OT環境中實施內部威脅防禦的IT最佳實踐,並統一兩個基礎架構的控制和可見性,是保護和防範內部威脅的最佳方法。
如欲進一步了解數位資安的在OT與IT的整合解決方案,請與我們聯絡!