什麼是贏運營技術？工程師終極指南

不只是縮時，還有粉塵、噪音、位移偵測

INDUSTRIAL DEFENDER

馬蒂亞斯·梅西奇

隨著數為化轉型將資訊科技（IT）與運營技術（OT）融合在一起，網路安全團隊實施最佳實踐以保護 OT 系統免受網路攻擊已變得至關重要。

‍

什麼是營運技術（OT）網路安全？

OT 網路安全是指目的在減輕和防止，網路實體系統和工業控制系統（ICS）的利用的一套程式和最佳實踐。工業控制系統是用於各種行業和服務的數位網路，用於自動化生產過程。從能源電網到製造廠，工業控制系統用於各種業務和關鍵基礎設施領域。

ICS 安全的重要性取決於與營運技術操作相關的獨特風險。工廠和工廠級員工經常面臨安全風險。全球供應網路依賴於港口，和其他航運節點內工業控制系統的一致可用性。公眾需要關鍵基礎設施，如水和能源系統，才能全天候執行。整個廣泛網路的任何中斷都會產生深遠的影響，使營運技術的可用性和彈性成為公共福祉的關鍵。

‍

IT 與 OT 網路安全

資訊和營運技術服務於不同的目的。IT 網路安全涉及用於管理資料的企業級裝置。OT 網路安全涉及用於管理實體產品的生產級裝置。這些差異導致了獨特的安全環境。IT 安全營運業者必須跟上快速發展的裝置、平台和應用。高變化率意味著模組化網路和例行更新。此外，IT 的價值通常與儲存在網路中的資料和智慧財產權相關聯。因此，IT 安全的主要關注點是資料的機密性。另一方面，由於裝置更換成本高昂和系統要求變化緩慢，OT 網路安全營運業者使用遺留裝置維護系統。這意味著工業控制系統通常包含已知的漏洞。然而，操作技術的價值與裝置的持續和一致執行最直接相關。因此，系統停機、更新和裝置更換的機會更少。因此，OT 網路安全的主要責任是工業控制系統的可用性。

傳統的 OT 網路架構：普渡模式

使用營運技術的組織技術架構，可以分為五個不同的層次。在行業內，這被稱為普渡模型，為理解組織各級技術的不同功能提供了一種方法。

普渡模式

企業級別（4-5）網路的企業網路和業務規劃元素，分別構成了第 5 級和第 4 級。總的來說，這些是公司辦公室的等級。路由器、伺服器、個人電腦和印表機都可能是這些層中的裝置。

生產水準（1-3）3 級到 1 級構成給定網路的生產環境。3 級，或警譽控制，通常容納資料儲存裝置（歷史學家）和中央管理系統（可能是一個工程工作站）。在這裡，全廠資訊同時被訪問和倉庫。2 級或區域控制，包含更具體的控制資訊。這可能是裝置子元件的監督控制和資料採集（SCADA）介面，甚至是單個裝置的特定人機介面（HMI）。1 級或基本控制是指驅動操作過程的實際分散式控制系統（DCS）或可程式邏輯控制（PLC）。

普渡模式有助於理解現代技術架構的複雜性，但也因工業物聯網（IIoT）的持續崛起而變得複雜。隨著資訊越來越多地告知生產過程，每一層都變得更加交織在一起。因此，即使普渡模式可能無法反映網路架構的邏輯類型，但它確實提供了此類系統的功能圖。

高調 OT 網路攻擊

高調的 OT 網路攻擊顯示，網路漏洞存在於網路架構的每個等級。2010 年發現的 Stuxnet 蠕蟲是 SCADA 的一項開發，目的在摧毀伊朗境內的核精煉廠。蠕蟲透過可移動媒介裝置注入封閉網路 —— 可能是 USB 驅動器。一旦進入企業層，程式就能夠利用安裝許可權自動執行惡意軟體。在這種情況下，惡意軟體降低了網路架構的完整性，導致特定 PLC 將不正確的資訊報告回區域控制工作站。這種風險可以透過以下方式來解決：

追蹤可移動媒介
管理安裝許可權
積極監控網路異常移動

2021 年，一名駭客試圖透過利用特定水電廠的過時作業系統，來汙染佛羅裡達州的公共供水。攻擊始於網路內的個人電腦訪問不安全的網址。因此，駭客能夠透過遠端管理應用，和薄弱的密碼安全性來獲得網路訪問。此後，汙染供水的命令很容易做出 —— 儘管值得慶幸的是，工廠人員觀察到並顛覆了。然而，如果安全操作員：

密切管理的軟體更新
增強密碼安全性和身份驗證流程

Colonial Pipeline 是 2021 年目標勒索軟體攻擊的受害者，該攻擊是由失敗的虛擬專用網路促成的。駭客小組使用未退休憑證訪問遺留的虛擬專用網路（VPN）。管道一直不知道 VPN 的持續存在，因此沒有將其納入其安全考慮。然而，從這個漏洞中，駭客集團能夠加密公司系統，這直接導致了系統停機。如果他們有以下條件，這種無障礙性的喪失是可以避免的：

完整的資產可見性
更密切的管理和退休使用者訪問
增加密碼和身份驗證流程

關鍵 OT 網路安全攻擊摘要

2010 Stuxnet 蠕蟲

目標

SCADA 和 PLC 系統，控制和監控工業機電過程

它是如何工作的

MS Windows 蠕蟲通常透過 USB 快閃記憶體驅動器引入，修改 PLC 程式並給 PLC 意外命令

2013 Havex/Dragonfly

目標

SCADA OPC（流程控制的物件連結和嵌入）伺服器

它是如何工作的

工業協議掃描器在特定 PLC 供應商使用的 TCP 埠上查詢裝置，並安裝後門安裝程式檔案

2015 BlackEnergy和KillDisk（烏克蘭電網）

目標

遠端關閉變電站的 SCADA 系統

它是如何工作的

魚叉式網路釣魚來種植惡意軟體，禁用/銷燬 UPS、調變解調器、RTU 等，並銷燬伺服器和工作站上的檔案

2016 Shamoon 2（Disttrack）

目標

破壞和損害——針對海灣合作委員會能源公司

它是如何工作的

使用被盜憑證、工廠惡意軟體和透過計劃服務（流程）在電腦上隱蔽地進行遠端訪問 —— 然後擦除資料

2017 ClearEnergy

目標

在 SCADA 和 ICS 系統中發現的某些 PLC 模型

它是如何工作的

利用韌體漏洞漏洞 - 擦除梯子邏輯圖

2017 WannyCry 勒索軟體

目標

透過網際網路向所有人全球廣播

它是如何工作的

利用不受支援（未修補）的 MS Windows 作業系統，植入作為服務執行的檔案，加密使用者檔案

2017 Industroyer（CrashOverride）

目標

配電網變電站開關和斷路器

它是如何工作的

連線到遠端伺服器，對映網路，向特定裝置發出命令

2020 SolarWinds

目標

影響 18,000 家企業的大型「供應鏈」攻擊。

它是如何工作的

獵戶座軟體更新上安裝了惡意程式。

2021 佛羅來納州奧爾德馬爾市

目標

Oldsmar水處理設施

它是如何工作的

遠端訪問軟體允許駭客操作向供水新增lye的配方。

2021 殖民地管道

目標

殖民地管道

它是如何工作的

來自身份不明的遺留 VPN 的勒索軟體攻擊導致了執行停機時間。

捍衛 OT 免受國家網路攻擊

隨著高調網路攻擊數量和複雜性的增加，今天的私人公司必須做好準備，抵禦日益強大的對手，甚至民族國家的攻擊。系統地瞭解網路架構和過去攻擊的經驗教訓，可以最好地完成這項艱鉅的任務非營利組織 MITRE 公司為此目的釋出了 MITRE ATT&CK for ICS 框架。

MITRE ATT&CK for ICS 框架透過描述 11 個類別來充當常見的行業詞典，這些類別對瞭解對手如何進入、探索和利用你的網路很重要。對手透過初始訪問、規避、持久性和抑制反應進入和停留在網路中。對手透過 ICS 環境中的發現、收集和橫向移動，來收集有關受損網路的資訊。在獲得訪問和資訊後，對手能夠執行程式，操作命令和控制功能，並損害流程控制，以便對整個工業控制系統產生負面影響。

適用於 ICS TTP 的 MITRE ATT&CK

‍

為 OT 網路安全提供商業案例

瞭解不斷變化的安全格局現在是健全的商業實踐的必要條件。如果沒有強有力的工業安全措施，公司將對其安全、盈利能力和聲譽構成重大風險。除其他外，由於意外的生產停機時間、法律成本和保險成本的增加，盈利能力可能會降低。我們的 OT 風險計算器可以提供每個因素的定製估計，以顯示網路攻擊可能真正使您的公司付出什麼損失。

此外，網路事件會迅速動搖信心，導致品牌和聲譽損害，從而導致客戶群減少。因此，安全專業人員學習如何有效地要求適當的 OT 網路安全預算越來越重要。向管理層解釋這些風險，並請求擴大 OT 安全計劃，最終將在整個業務中帶來收益。

‍

OT/ICS 的網路安全框架

在確定在哪裡進一步投資安全時，有許多標準可以有所幫助。其中之一是 NIST 網路安全框架（CSF），它可以提供一種簡單的方法，來確定有哪些機會來最佳化你的安全流程。NIST CSF 是一套自願的指導方針，目的在幫助制訂業務安全策略。該框架圍繞一個安全週期組織：辨識、保護、檢測、響應、恢復。每個階段都需要瞭解 OT 網路的不同元素，以及有效的人員、流程和技術。

NIST 網路安全框架

用於設計 OT/ICS 安全程式的另一個流行標準，是 ISA/IEC 62443 標準。ISA/IEC 62443 系列標準提供了一個靈活的安全控制框架，定義了 ICS 安全技術、流程和程式，以幫助組織緩解和降低 ICS 安全漏洞的風險。組織可以採用和執行安全控制，這些控制基於這個單一的協同框架，跨裝置、網路和基礎設施可靠地工作。

OT/ICS 的最佳實踐建議

在 OT 環境中，可以採用特定的最佳實踐來最大限度地提高安全性。第一個要求是強大的資產管理。充分瞭解網路後，就有可能建立具有有效監控技術的集中管理。集中監控隨後將使安全營運業者，能夠實現自動漏洞和異常檢測能力。這些步驟和最佳實踐中的每一個都從根本上，有助於確保正確的資料，掌握在你的 OT 捍衛者手中。瞭解你的系統並知道如何向 OT 安全供應商提出正確的問題是實現這一目標的第一步。