Security

Secure by Demand: 營運技術(OT)擁有者與營運者在選擇數位產品時的 12 項關鍵考量因素

szlin

隨著工業控制系統與關鍵基礎設施成為網路攻擊的主要目標,資安不應再是營運技術(OT)營運商的額外負擔,而應成為系統內建的基本要求,以確保營運安全與持續性。

美國 CISA(網路安全與基礎設施安全局) 聯合多國資安機構,包括 美國國家安全局(NSA)、聯邦調查局(FBI)、美國環境保護署(EPA)美國運輸安全管理局(TSA)歐洲委員會、德國資訊安全聯邦局(BSI)英國國家網路安全中心(NCSC-UK)、澳洲網路安全中心(ACSC)加拿大網路安全中心(CCCS)荷蘭網路安全中心(NCSC-NL,共同發布了 《Secure by Demand》指引,強調攻擊者通常鎖定特定 OT 產品,而非特定組織

許多 OT 產品未落實 Secure by Design(安全即設計) 原則,導致系統普遍存在以下資安風險:

  • 弱鑑別(Weak Authentication):如共用帳號、靜態密碼、簡單密碼策略。
  • 已知漏洞(Known Software Vulnerabilities):未經處理的資安弱點。
  • 記錄與日誌不足(Limited Logging):缺乏事件監控與可追溯能力。
  • 預設不安全的設定(Insecure Default Settings):如開放不必要的通訊埠、啟動不需要的程式、使用硬編碼憑證等不安全的出廠設定。
  • 不安全的傳統通訊協議(Insecure Legacy Protocols):如 Telnet、SNMPv1/2、SSL、TLS 1.0/1.1,這些過時的協議缺乏可靠的加密與安全鑑別機制,使攻擊者能輕易攔截與操控通訊。

上述資安弱點使攻擊者得以輕易橫向移動、獲取控制權限,甚至影響多個受害者的營運環境。當 OT 產品在設計階段未納入安全性,企業往往需投入大量資源補強,如加裝防火牆、強化存取控制、手動修補漏洞等。然而,這種事後補救的方式不僅成本高昂,還可能無法有效防禦新興威脅。因此,OT 產品應在設計與開發階段即納入 Secure by Design 原則,確保設備具備內建的資安機制,從根本上降低網路攻擊風險。

Secure by Demand:改變 OT 資安責任的不均衡現象

目前,工業資安的負擔大多落在 OT 擁有者與營運商身上,而非產品製造商,儘管後者具備最佳條件來提升產品安全性並降低風險。為了改變這種不均衡的現象,各國正積極推動更安全的產品開發,例如:

  • 美國 CISA 推動的 Secure by Design 計畫:確保技術產品在設計時即納入安全性,使客戶能夠信賴其資安能力,而非被迫自行補強。
  • 歐盟通過的《網路韌性法案(Cyber Resilience Act)》:強制要求軟硬體製造商在產品設計階段即納入安全性,確保設備具備最低防禦能力。

因此,CISA《Secure by Demand》指引 提出 OT 產品採購 12 項安全要素,鼓勵 OT 擁有者與營運商優先選擇具備內建安全機制的產品,以降低長期的安全風險與維運負擔

Secure by Demand:OT 產品採購 12 項資安關鍵要素

1. 組態管理(Configuration Management)
  • 產品應支援組態管理機制,可記錄並追蹤所有設定與工程邏輯變更。
  • 應提供安全的備份與還原機制,確保發生事故時能快速恢復。
  • 具備防篡改機制,防止未授權的設定變更影響系統運作。
2. 內建記錄與日誌(Logging in the Baseline Product)
  • 預設啟用 所有操作、設定變更、安全事件的記錄。
  • 採用開放標準格式(如 Syslog),確保可整合至 SIEM 或 SOC 監控系統。
3. 採用開放標準(Open Standards)
  • 產品應符合 ISA/IEC 62443 國際標準、NIST 800-82 指引,確保可互通,避免供應商綁定風險(Vendor Lock-in)。
  • 此外, 開放標準(Open Standards) 提供系統擁有者與營運者更大的彈性,使其能夠根據市場上最適合的產品選擇供應商,而非受限於系統最初建置時的供應商技術。這些標準涵蓋記錄格式(如 Sysmon)、網路通訊協議(如 OPC-UA)、程式語言(如 IEEE 61131-3)、加密通訊協定(如 TLS)等,有助於提升跨供應商的互通性(Interoperability),避免供應商綁定帶來的高昂轉換成本與長期技術支援風險。因此,在評估新功能或技術時,應優先選擇符合開放標準的解決方案,並關注供應商是否積極支持互通性,例如公開技術解析器(Parsers)或參與國際標準工作小組,以確保系統長期維護的靈活性與安全性。
4. 營運自主權(Ownership)
  • 設備擁有者應具備完整控制權,可自主維護、設定與升級,而不受供應商限制。
  • 允許 OT 營運商 自行選擇第三方資安解決方案,而不影響設備保固或合約條款。
5. 資料保護(Protection of Data)
  • 產品應確保 資料的完整性與機密性,防範未經授權的存取或變更。
  • 限制供應商存取 OT 設備上的運作資料,確保關鍵資料安全。
6. 預設安全(Secure by Default)
  • 將資安納入 OT 產品的預設設定,使其具備防範最常見威脅的能力,且不對買方產生額外成本負擔。對於現今的 OT 系統而言,「預設安全(Secure by Default)」尤為重要,因為 OT 設備具有長生命週期停機修補(Patching)條件受限,且維持持續運作為首要考量
  • 要實現「設計即安全(Secure by Design)」的 OT 產品,應達成以下核心目標:
    • 將客戶資安納入核心業務要求,而非僅視為技術功能。
    • 內建預設設定應具備防範常見威脅的安全防護機制,並全面移除預設密碼。
    • 對內部 OT 設備連接至公共網際網路實施持續性存取控管機制,以降低資安風險。
    • 確保設備內建完整的安全功能,且無需額外收費。
    • 產品應內建安全部署指引或強化設定指引(Hardening Guide),並明確說明操作人員變更預設配置可能導致的資安風險。
7. 安全通訊(Secure Communications)
  • 買方應要求安全通訊解決方案具備以下特性:
    • 易於部署與管理,即使非資安專業人員亦能正確操作。
    • 避免操作者因設定錯誤導致風險
    • 內建鑑別機制,而非事後補充,確保與 OT 營運流程緊密整合。
  • OT 環境中,證書管理並不普及,因此可考慮下列過渡性方案
    • TLS 簽章模式(Sign-only TLS):不加密但仍使用私鑰簽章,以確保訊息未遭篡改。
    • 機會式 TLS(Opportunistic TLS)模式:當證書過期時仍允許通訊,但會產生警告記錄。
  • 安全通訊應在產品開發初期即納入考量,否則可能導致難以部署或影響可用性。內建安全通訊機制 是縱深防禦(Defense in Depth)零信任網路(Zero Trust Network)的基礎。買方應尋找理解 OT 操作流程的製造商,確保安全通訊功能能夠順利融入現有工作流程。
8. 安全控制(Secure Controls)
  • OT 設備應內建 異常行為偵測機制,可識別並防範惡意指令影響系統安全。
  • 產品應對 未經授權的操作進行警告或自動阻擋,確保營運穩定性。
9. 強化鑑別(Strong Authentication)
  • 支援角色型存取控制(RBAC)與多因子鑑別(MFA),避免共用帳號與密碼外洩風險。
  • 確保安全關鍵操作(如變更控制邏輯)時,要求 額外驗證機制
10. 威脅建模(Threat Modeling)
  • 供應商應提供 完整的威脅模型,分析可能的攻擊途徑與對應防禦措施。
  • 產品應具備 定期更新的安全白皮書,幫助 OT 營運商進行風險評估。
11. 漏洞管理(Vulnerability Management)
  • 供應商應建立 漏洞揭露政策(CVD),確保漏洞修補透明化。
  • 提供免費的安全更新,確保設備維持最新安全狀態。
12. 升級與更新管理(Upgrade and Patch Tooling)
  • OT 設備應提供 可驗證的更新機制,確保更新安全性與完整性。
  • 供應商應支援 操作系統升級,避免設備因 OS 停止支援而形成資安風險。
結論:確保 OT 環境的長期安全與韌性

CISA 《Secure by Demand》指引 強調,OT 資產擁有者與營運商應將 Secure by Demand 納入決策標準,並要求供應商提供符合 ISA/IEC 62443Secure by Design 準則的 OT 產品,以確保設備具備內建資安機制,有效降低網路攻擊風險,同時減少長期維運負擔。

在未來的 OT 採購計畫中,企業應優先選擇符合 Secure by Demand 原則及 12 項安全標準的產品,以強化營運安全、提升關鍵基礎設施的資安韌性,並確保系統的長期穩定與可持續發展。

此外,這些安全原則的落實將幫助企業在未來數十年內持續強化 OT 環境的資安基礎。選擇符合 Secure by Demand 要求的製造商,不僅能確保企業符合法規,更能建立一個彈性且可擴展的資安架構,以因應未來的資安挑戰,確保企業長期的營運穩定性與競爭力。

發表迴響