由於資訊科技（IT）、營運科技（OT）和物聯網（IoT）的疆界逐漸模糊及彼此連線的情況不斷增加，依微軟今（15）日發表第三期《Cyber Signals》網路威脅情報研究報告警示，如今關鍵基礎設施遭受攻擊與破壞的風險也隨之提升。

微軟發佈第三期《Cyber Signals》網路威脅情報研究報告，警示關鍵基礎設施遭受攻擊與破壞的風險升高。

根據微軟在客戶的OT網路中發現，目前最常使用的工業控制器約有75%存在未經修補的嚴重漏洞，已成為駭客、惡意軟體或工業間諜入侵盜取機密資訊新入口。微軟建議企業組織及基礎設施供應商，必須全面掌握連網系統的狀況，並評估資安風險及依賴性；同時以零信任架構確認OT身分識別及限制存取權，以降低遭受攻擊風險。

其中OT範疇包含各種可程式化系統或裝置的軟硬體，或者用於管理會與實體環境互動的裝置，比如建築管理系統、消防控制系統，以及大門及電梯的門禁控管機制等。但隨著IT、OT和IoT的疆界逐漸模糊，彼此連線的情況不斷增加，無論企業或個人都需要反思此種現象對於資安風險的影響和後果。

舉例來說，倘若失竊的筆記型電腦或者新型車輛上存有家中Wi-Fi密碼的快取資料，竊賊毋須經過授權便能連上家中網路。同理，製造廠的遠端連線設備或者智慧建築的監視器如果遭到入侵，也為惡意軟體或工業間諜等資安威脅攻擊者增加新的入侵途徑。

根據IDC研究顯示，現今企業及家用環境中的IoT裝置數量預計將會在2025年前達到416億個，增加率高於傳統IT設備。然而，儘管近年來IT設備的安全性有所加強，但物聯網和OT設備的安全性並沒有跟上腳步，這些智慧攝影機、智慧音箱、智慧門鎖等裝置都可能成為駭客入侵的新破口。

微軟安全、合規、身份識別和管理全球副總裁 Vasu Jakkal進一步指出：「隨著能源、交通和其他基礎設施的OT系統與IT系統的連接越來越緊密，這些過去分開的系統之間的界限變得模糊，中斷和損害發生的風險也隨之增加。對於各行各業的企業和基礎設施供應商而言，必須全面了解這些相互連接的系統，並權衡不斷變化的風險和依賴性以確保安全。」

本期《Cyber Signals》的主要發現包括：

1. 微軟在客戶的 OT 網路中發現，最常使用的工業控制器有 75% 都有未經修補的嚴重漏洞。說明即使是資源充足的企業，為了避免營運中斷，要停機更新來修補控制系統的挑戰性也相當高。

2. 從 2020 年到 2022 年，主要供應商生產的工業控制設備中被揭露為高嚴重性漏洞的數量增加了 78%。

3. 有超過 100 萬台執行 Boa 系統的連網裝置在網路上公開可見，這個過時、不再被支援的軟體，仍廣泛應用於物聯網裝置和軟體開發套件（SDK）中。

對於企業和個人而言，採用零信任架構保護物聯網，要從非特定針對物聯網的要求開始。這可以透過實施身份驗證和裝置防護，並限制存取權限來達成。這些要求包括確實驗證使用者、掌握網路中的裝置、以及即時風險偵測。