聯邦調查局（FBI）與美國網路安全與基礎設施安全局（CISA）發布聯合警示，針對國家支持的組織對外連網可程式邏輯控制器（PLC）的攻擊行為

對 OT 環境而言，真正的首要風險在於暴露的控制路徑，而非未修補的漏洞。以識別漏洞、修補系統及監控惡意行為為核心的傳統策略固然依然重要，但最新的安全通報已明確指出：一旦攻擊者能夠侵入您的 OT 環境，他們便能在其中自由活動。

在多起已觀察到的案例中，攻擊者能夠透過44818、2222、102 和 502 等標準工業通訊埠，直接連線至對外連網的 PLC。他們利用市面上常見的工程軟體，與這些裝置建立有效的連線，並以授權操作員的身分與其進行互動。

「可觸及」與「易受攻擊」之間的區別，標誌著一場根本性的轉變。問題不再僅僅在於系統是否易受攻擊，而在於它是否可被觸及。如果一個控制系統能透過網路被存取，它就能被操控；而一旦能被操控，它便可能遭到破壞。

該安全通報中所述的攻擊模式，其路徑相當直接：

• 初始存取：可程式邏輯控制器（PLC）或營運技術（OT）系統直接或透過遠端存取路徑（例如虛擬私人網路（VPN）或中繼主機）暴露於外部網路
• 透過合法途徑進行互動：接著，攻擊者會利用Studio 5000 Logix Designer等合法工程工具，向裝置發起連線。使用工程工作站、廠商工具或原生通訊協定（例如 Modbus、EtherNet/IP）
• 執行：
  • 控制邏輯的修改
  • 專案檔案的上傳/下載
  • 向物理進程發出指令
• 影響：營運中斷、安全風險及潛在財務損失

這種方法之所以有效，在於它繞過了許多傳統的安全控制措施。在協定或工具層面上，並無任何本質上的「惡意」行為會觸發偵測機制。

當今大多數 OT 環境皆仰賴防火牆、VPN、網路分段策略及遠端存取控制的組合。儘管這些措施不可或缺，但它們仍存在固有的限制：

• 防火牆的運作仰賴正確的設定與規則管理；此外，其設計上亦允許必要的通訊協定通過。

• VPN 和遠端存取仰賴憑證的完整性

• 偵測／監控系統會在連線建立後才開始運作

在 CISA 所強調的案例中，攻擊者並不需要以傳統方式繞過這些防護措施。他們只是利用了原本就存在的存取權限。

正因如此，該建議書特別強調應消除不必要的風險暴露，並加強網路分段。

分群向來被視為最佳實踐，但並非所有分群方式都具有同等效果。

透過軟體和政策實施的邏輯分段，雖能降低風險，但無法完全消除風險。設定錯誤、憑證遭竊或間接存取路徑，仍可能在 IT 與 OT 環境之間建立非預期的連通性。

在高風險環境中，所需的是確定性隔離。

CISA 的緩解措施指引強調三項核心行動：

• 將 OT 資產從直接連網的環境中移除

• 加強 IT 與 OT 網路之間的隔離

• 限制與管控遠端存取

單向通訊架構透過確保關鍵控制系統無法被存取——即使上游網路遭到入侵——從而以更高的保障等級落實這些建議。

諮詢文件 AA26-097A 指出，防禦假設必須隨著其所應對的威脅而演進。若攻擊者不再需要利用漏洞，那麼僅專注於偵測與防範便不足夠。優先順序必須轉向能夠消除整類風險的架構性控制措施。使營運技術（OT）系統無法從外部網路存取，便是此類控制措施之一。