全球能源龍頭企業從傳統安全漏洞轉型至現代Industrial

涉及一系列系統性化學、物理、電氣及機械製程的Industrial 通常由傳統的舊有系統提供保護，而這些系統從未被設計用於抵禦現代的網路安全威脅。

在能源生產與煉油產業中，這些製程旨在將原料大規模轉化為能源。煉油廠中使用的各類操作技術（OT）設備，必須相互通訊，才能使工程製程順利運作。

而關鍵的漏洞正是在此處產生。

PLC、DCS 和 SCADA 等控制系統通常假設與其通訊的任何對象均為可信的。因此，這些系統可能缺乏身份驗證、加密或驗證指令的能力。

若營運技術（OT）系統與資訊技術（IT）系統（例如遠端存取工具、承包商連線或維護用筆記型電腦）位於同一網路中，這些安全性較低的區域一旦遭到入侵，攻擊便能直接滲透至控制環境。因此，始於 IT 領域的安全事件，幾乎不受阻礙地便能橫向擴散至 OT 領域。

DoS/DDoS 攻擊、軟體設定錯誤，或懷有惡意意圖的使用者，皆可能直接與控制系統進行通訊，進而可能竄改製程數值、中斷生產、損壞設備，或造成不安全的運作狀況。

營運技術（OT）環境最重視可用性與穩定性。這類系統無法迅速進行修補，這意味著漏洞可能在很長一段時間內仍可被利用。因此，在扁平化或區隔不完善的網路中，單一事件便可能迅速惡化，並波及多個資產或據點。

我們的客戶——全球規模最大的上市公司之一，專營能源與化工業務——意識到其面臨的風險，並著手透過網路分段來解決因舊系統遺留問題所導致的漏洞。

透過適當的區隔措施，網路會依據風險與功能進行分離。如此一來，關鍵的營運技術（OT）資產僅能透過嚴格管控的通道存取，而通訊則會被明確界定並加以限制，而非預設為安全。

由於傳統的 IT 防火牆在處理其獨特的通訊協定時效果不彰，該組織轉而採用OPSWAT MetaDefender Industrial Firewall 關鍵 OT 資產與安全性較低的區域之間建立安全的區隔。

作為一家歐洲主要的石油與天然氣營運商，該客戶的營運流程仰賴分布於多家煉油廠、離岸鑽井平台及管線控制中心等處的基礎設施。

這套基礎設施在很大程度上依賴於傳統的工業系統，例如可程式邏輯控制器（PLC）、SCADA 平台以及人機介面（HMI）。

這些系統最初是為了確保可靠性與可用性而設計的，而非為了網路安全。它們缺乏內建的身份驗證、加密功能以及詳細的記錄機制。

以往使用的傳統 IT 防火牆無法有效處理 OT 和 CPS 環境中採用的獨特通訊協定，導致系統面臨以下風險：

• 不必要的網路流量與橫向移動風險
• 勒索軟體與針對性網路攻擊的潛在入侵途徑
• 在工業通訊協定上實施細粒度控制所面臨的困難

對於從事能源生產與煉油產業的組織而言，這些絕非能輕易視若無睹的風險：針對能源系統的攻擊可能威脅公共安全、中斷基本服務，並削弱國家安全。

與其坐等最壞的情況發生，該客戶決定透過部署OPSWAT MetaDefender Industrial Firewall，來解決組織所面臨的險境。

透過「Firewall Industrial Firewall 」，該客戶在努力符合 IEC 62443 標準以及針對歐洲關鍵服務營運商的 NIS2 指令要求方面，也獲得了支援。

MetaDefender Industrial Firewall 作為一種補償性控制系統，用於保護在煉油廠和管線系統中相當常見的舊式或無法安裝修補程式的資產。

透過這道Firewall，客戶現在可以：

• 透過工業通訊協定檢查，防止向控制器發出意外或未經授權的指令。
• 在現場層級遏制中斷，防止中斷在相互連通的設施間跨地點擴散。
• 對異常流量和格式錯誤的封包進行速率限制，以確保控制器可用性。
• 將安全系統從標準控制網路中分離出來，以降低營運風險。
• 針對供應商及承包商，提供可稽核的存取治理執行機制。