DIGITIMES醫療月
活動+
 

工業系統防護停看聽 4階段生命週期提升網路安全性

工廠或關鍵基礎設施的資料蒐集與監控系統(SCADA)需針對日益複雜的網路威脅加強保護。法新社

現今工廠或關鍵基礎設施的資料蒐集與監控系統(SCADA)需針對日益複雜的網路威脅加強保護。有效的安全策略不僅應確保強有力的保護,還應包含4階段生命週期(lifecycle)內的檢測、恢復和補救。而強大的硬體認證功能及支援安全啟動、軟體測量和加密的功能,是實現OT設備最小化攻擊面的關鍵。

根據IoT Tech News報導,現代工業控制系統包括IT和OT領域。安全性需從頭到尾解決,並可根據一般安全鄰域進行分析。

工業系統生命週期的第一階段是在系統部署當天就儘可能保護系統。這應基於在軟硬體中提供多層保護的縱深防禦策略,不僅要遍及啟動時間軟體,還要遍及系統的運行時間操作。

第二階段是假設有朝一日系統將被駭客攻擊,並確保在系統受危害時使用安全證明和測量技術來檢測,以監控系統的任何意外或未經授權的更改。

第三階段是當工業資產中有系統經檢測受到損害時,在系統中具有彈性以允許系統後降到安全模式或減小範圍是很重要的操作,同時要提醒操作員和維護人員它已被入侵。

而最重要的第四階段是將安全生命週期視為閉環,其中現場設備能傳達有關攻擊的詳細訊息及其正在經歷的攻擊,好透過安全更新來修復現場系統,並改善類似設定的現場系統的安全態勢。

2015年烏克蘭電力基礎設施的網路攻擊揭示了IT和OT基礎設施需如何加以適當保護。攻擊始於駭客發送包含惡意軟體感染附件的網路釣魚電子郵件。只要有一封信不小心被打開,讓駭客得以收集登錄資訊和密碼。防火牆雖將IT網路與電源控制系統分開,但駭客藉由竊取的憑證遠距登錄電力公司的SCADA系統。

駭客先藉由攻擊IT基礎設施中的弱點得以進入系統,隨後利用OT側的弱點控制網路上的設備,包括重寫PLC等控制器的韌體,以防止操作員在停電後立即重新取得控制權。

顯然,電腦操作員的警惕性、威脅意識培訓和惡意軟體檢查對於抵禦針對網路IT方面的攻擊極其重要。但保護OT側的嵌入式控制器同樣重要。有效的安全策略還須認識到IT和OT網路使用不同的協議運行,且須滿足與機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的CIA安全三元組相關的不同用戶期望。

駭客使用的軟硬體技術不斷發展,變得更強大而複雜。使用部署時可用的最佳防禦系統建構的系統的安全態勢將不可避免地隨著時間而降低。

基於4階段生命週期的完整安全解決方案有助於最大限度地減少暴露的漏洞,不僅可提供強大的保護,還能檢測未經授權的存取,限制潛在損害並促進恢復。

  •     按讚加入DIGITIMES智慧應用粉絲團