全球高效能网路安全厂商Fortinet指出,重要基础设施机构所发生的产业安全事件,有将近80%都是由非蓄意的内在问题所造成,例如人为因素的软体组态错误,或是失效的网路协定所导致。重要基础设施的产业有其特殊性,例如水电瓦斯等公共事业、运输业和天然资源的生产商,他们与所服务的社区和经济体息息相关。发生网路攻击事件时,共同面对的不仅仅是直接造成的损害,也因其营业规模而必须处理更为庞大复杂的事件后果。
|
80%的产业安全事件,都是由非蓄意的内在问题所造成。 Fortinet提出如何防范重要基础设施机构的营运科技漏洞。 |
根据市调公司ABI Research的预估,亚太地区在网路安全架构的支出,将在2020年达到220亿美元。 Fortinet台湾区技术总监刘乙指出,「各个产业的企业组织,现今都面临着不断演变的威胁情势和日益增加的压力,迫使他们必须为长期的永续性重新思考安全防护的策略。一个更为全面的防护方法是必要的,如此才能因应蓄意的目标式攻击,以及内部的人为错误。要解决工业控制系统(ICS; industrial control systems)的安全问题,需要一个解决方案能统合目前营运科技(OT; operational technology) 最佳的网路安全功能,而且充份理解ICS的流程和协定。
用来管理和运行水力发电大坝、石油和天然气公司的设备与科技,传统上并未设计和远端或公共网路相连接。这些系统基本上是封闭的,而且实体的存取也受到限制,因此资讯安全并不是最优先的考量。
刘乙进一步解释,「然而,随着工业4.0趋势的兴起,这些系统现在必须成为互相连通的环境。开放标准的迅速普及和现成软、硬体的采用,同时也增加了它们本身的脆弱性。这意味着工业控制系统现在有更广的面向可能遭受攻击。」
由于企业组织无法预测每一个安全威胁,因此必须专注在他们可控制的范畴。 Fortinet日前提出了10大原则,能协助企业评估他们在营运科技上的安全风险。 (编辑部陈复霞整理)
企业营运科技的安全风险评估10大原则
1. 最重要的第一步是:找出需要立即保护的部份。
2. 定义管理许可或存取控制的协定─大多数的系统之前都是封闭的,而现在资讯科技(IT)和营运科技已经相互连通,他们必须有最佳的方法让营运科技具备安全性。此外,决定授权使用者适当的权限,和封阻未授权使用者的存取权一样重要。
3. 定期更新操作系统的软、硬体─有些软、硬体系统推出的时间,远在网路安全不断发展之前,企业组织必须确保它们拥有现代化标准的防御能力,例如防毒软体或威胁扫瞄技术。
4. 执行企业定期常态的更新和修补档案─尽管大多数此类的操作,都无法承受修补档案时造成停机与相关成本的耗费,然而延迟更新却可能带来更多的安全漏洞。
5. 找出不安全的IP遥测装置,例如感应器和压力表─在这些装置上的数据可以被操纵,进而影响整个系统的安全和稳定性。
6. 采用最佳的现代化程式撰写方法─使用嵌入式和常见的客制化撰写软体,却未留意采用建议的安全技术,往往让营运科技系统的门户大开遭受攻击。
7. 坚守标准程序记录事件─企业组织若能建立一套程序来记录和报告系统事件,就能经常使用这些资料来侦测违法行为,并采取安全措施。
8. 管理元件制造商和供应链─如果没有适当的监督和管理,设备可能会受影响,即使是尚未安装使用。
9. 实施网路分区─许多企业组织仍然尚未将网路划分为功能性的区段(仍旧全部互通)。没有适当的分区,受感染的资料和应用程式会一再地从一个区段影响至另一个区段,突破外围防御的攻击者则可轻易地在网路中移动而不会被发现。
10. 准备好营运回复计划─若不幸遭遇灾难事件,每个企业组织都需要一个文件化的程序,用以评估损害,修复系统和机器,并且尽快恢复运作。定期的安全演习也能协助操作人员在最需要的时候,快速有效地执行回复程序。