工業控制系統資安入門:從 IT 到 OT 的思維轉換
深入探討 IT 與 OT 資安的根本差異,以及為何傳統 IT 安全方案無法直接套用在工業環境中。了解 OT 資安的三大核心原則:可用性優先、安全性至上、即時性要求。
什麼是 OT 安全?
運營技術(Operational Technology, OT) 是指用於監控和控制物理設備、流程和事件的硬體與軟體系統。這包括了工業控制系統(ICS)、SCADA 系統、分散式控制系統(DCS)、可程式邏輯控制器(PLC)等。
與 IT 環境不同,OT 環境直接控制著實體世界的運作 — 從發電廠的渦輪機到工廠的生產線,從水處理設施到石油管線。這意味著 OT 安全不僅關乎資料保護,更直接影響人身安全與環境安全。
IT vs OT:根本性的差異
優先順序不同
| 面向 | IT 環境 | OT 環境 |
|---|---|---|
| 最高優先 | 機密性(Confidentiality) | 可用性(Availability) |
| 次要優先 | 完整性(Integrity) | 安全性(Safety) |
| 第三優先 | 可用性(Availability) | 完整性(Integrity) |
在 IT 世界中,我們習慣以 CIA 三元組(機密性、完整性、可用性)來思考安全。但在 OT 環境中,這個優先順序完全翻轉。
可用性永遠是第一位的。 一條生產線停機一小時可能造成數百萬的損失;一座發電廠的控制系統中斷可能導致大規模停電。因此,任何安全措施都不能以犧牲可用性為代價。
生命週期差異
IT 設備的生命週期通常為 3-5 年,但 OT 設備可能運作 15-20 年甚至更久。這意味著:
- 許多 OT 設備運行著已停止支援的作業系統(如 Windows XP)
- 韌體更新困難,甚至不被允許
- 傳統的「定期修補」策略在 OT 環境中往往不可行
即時性要求
OT 系統通常有嚴格的即時性要求。例如:
- PLC 的掃描週期可能僅有幾毫秒
- 安全儀表系統(SIS)的回應時間要求更為嚴苛
- 網路延遲的增加可能導致控制迴路失效
這就是為什麼直接在 OT 網路上部署傳統 IT 安全設備(如全功能防火牆或入侵偵測系統)可能帶來嚴重問題。
常見的 OT 安全威脅
1. 針對性攻擊(APT)
國家級駭客組織越來越多地將目標轉向關鍵基礎設施。知名案例包括:
- Stuxnet(2010):針對伊朗核設施的首個已知工控惡意軟體
- TRITON/TRISIS(2017):專門攻擊安全儀表系統的惡意軟體
- Industroyer/CrashOverride(2016/2022):針對電力系統的攻擊工具
2. 勒索軟體
製造業已成為勒索軟體攻擊的首要目標。攻擊者了解到,生產線停擺帶來的壓力會迫使受害者更快支付贖金。
3. 供應鏈攻擊
透過受感染的軟體更新、被入侵的設備供應商,攻擊者可以間接滲透到 OT 環境中。
建立 OT 安全的第一步
1. 資產盤點
你無法保護你不知道的東西。第一步是建立完整的 OT 資產清冊,包括:
- 所有連網的 OT 設備
- 通訊協定與資料流
- 設備的韌體版本與已知弱點
2. 網路分段
實施基於 Purdue Model 的網路分段策略,將 OT 網路劃分為不同的安全區域,限制跨區域的通訊。
3. 持續監控
部署被動式網路監控系統,即時監控 OT 網路流量,偵測異常行為。注意:被動式監控不會影響 OT 網路的正常運作。
4. 制定應變計劃
針對 OT 環境的特殊性,制定專門的資安事件應變計劃,確保在發生安全事件時能夠快速回應,將影響降到最低。
結語
OT 安全不是將 IT 安全方案簡單移植到工業環境中。它需要深入理解工業流程、設備特性與安全需求,在保護系統安全的同時確保生產營運的持續性。
如果你正在開始規劃組織的 OT 安全策略,CyberOT Lab 的專家團隊隨時為你提供協助。聯繫我們了解更多。