OPSWAT 關鍵基礎設施,但其保護範圍不僅限於政府所定義的「關鍵基礎設施」,更涵蓋您所認為的關鍵設施。
該基礎設施的核心在於關鍵資料——這些資料確保了運作的安全、穩定與持續。
Industrial (ICS)及營運技術(OT)環境中,這些數據反映了企業的核心功能與流程。然而,一旦發生網路安全事件,首要任務之一便是實施隔離措施。
「封鎖」的兩難
遏制攻擊的第一步,是隔離受影響的系統,並切斷可能導致攻擊擴散的連線路徑。例如,美國網路安全與基礎設施安全局(CISA)關於勒索軟體應對的指引中,便明確要求立即隔離受影響的系統,並在可行時切斷裝置連線(1)。這雖是明智的建議——但在工業環境中,卻可能引發營運上的兩難困境:
| 安全需要分離 | 營運需要透明度 |
|---|---|
| 停止橫向移動 | 系統是否仍能安全運作? |
| 終止命令與控制模式 | 系統是否穩定,還是正趨向超出容差範圍? |
| 防止傳播 | 我們該停機,還是能繼續運作而不發生任何意外? |
光電二極體徹底消除任何疑慮
光學資料二極體使組織能夠關閉雙向通道(例如防火牆、VPN、遠端存取及信任關係),同時仍允許關鍵的遙測資料向外傳輸。此方法提供了一種機制,有助於掌握流程狀況、提升安全性,並透過即時資料做出更佳的決策。
Core
即使在隔離期間您「關閉」了 IT 與 OT 之間的通道,仍可保留一個「信件投遞口」,讓唯讀的製程資料能從 OT 環境傳出——同時完全不提供任何回傳至 IT 環境的網路通道。
作為事件應變(IR)的一部分,隔離措施符合 NIST 長期以來的 OT 安全指引。NIST 指出,防火牆的替代方案是單向閘道器/資料二極體,此類裝置僅允許經過授權且已設定的單向通訊(2)。
當一切陷入黑暗時會發生什麼
若缺乏自動化與基礎設施,製造業該如何運作?「透過斷開連接來遏制」的經典案例,便是挪威氫電公司(Norsk Hydro)於 2019 年遭遇的勒索軟體事件。當時該公司切斷網路連線以防止病毒擴散,並在一段時間內改由人工流程運作。 LockerGoga 勒索軟體對該公司部分鋁加工廠的影響最為嚴重,造成的財務損失預計將高達 7,100 萬美元。熟悉舊有紙本系統的退休廠區人員自願重返工廠,以維持生產運作(3)。
這個案例值得深入理解,因為它生動地說明了在應對事件(IR)過程中,若自動流程失去數位連線能力及集中式可視性,將會造成哪些營運與財務成本。這是一個正確的決定。
透過封裝實現決策級別的可視性
在許多工業組織中,製程可視性取決於來自營運技術(OT)來源的數據流,例如:
- OPC UA 伺服器(即時值、警報、情境化資料)
- 歷史記錄功能(時間序列 + 事件 + 資產框架背景)深受歷史學家青睞
在隔離期間,通常會停用防火牆及相關規則,或封鎖遠端存取,以防止營運技術(OT)的遙測資料連接到企業工具。二極體架構則改變了這種故障模式:
- 您可以關閉防火牆/伺服器路由,以防範入站風險。
- 您仍可傳送單向遙測數據,以維持情勢感知能力,並加速事件的即時分流處理。
- 如果您正在使用其他依賴網路流量可視性來偵測威脅的工具,您可以讓該數據透過二極體持續傳輸
範例情境
事件
勒索軟體在企業網路中爆發。事件應變小組將 IT 與 OT 之間的流量隔離並停用,以防止 OT 基礎設施受到感染。
問題
中央團隊將無法存取 OT 儀表板和歷史資料檢視功能,而這些功能原本能提供「是否安全?是否穩定?」等環境可視性。
透過二極體,營運技術(OT)系統會持續將唯讀的遙測資料傳送至接收器網路,讓系統營運中心(SOC)及營運主管能查看關鍵趨勢、警報及安全數據點——同時完全不會將任何控制通訊傳回營運技術環境。
雖然二極體無法「解決勒索軟體問題」(請參考MetaDefender Core 中的預防性技術),但它能透過阻止來自高風險區域的入站網路存取,同時維持最低限度的運作可視性,從而降低事件的影響範圍。
需傳送的實用資料
為維持運作效能,請在應變計畫的規劃階段定義一套「危機可視化資料集」。其中應包含以下資料:
- 安全關鍵製程參數(壓力、溫度、液位、互鎖)
- 模式/狀態指示燈(自動/手動、許可狀態、跳脫)
- 警報摘要(計數 + 主要警報)
- 網路狀態遙測(關鍵交換機/路由器、裝置/埠口上線/下線狀態、Historian 狀態資料)
- 最低限度的背景資訊(資產名稱/單位,以便團隊能快速理解)
引用
1. CISA。https://www.cisa.gov/ransomware-response-checklist;CISA。[線上]
2. NIST . SP800-82r3. NIST. [線上]https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r3.pdf.
3. 布里格斯,比爾。《駭客對挪威水電公司發動勒索軟體攻擊,該公司以透明態度回應》。Microsoft.com。[線上] 2019年12月16日。https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/。
