防禦日益嚴重的網路安全威脅
從歷史上來看,與其他部門相比,OT 安全對於供水公用事業而言是較低的優先順序。然而,根據AWWA(美國自來水協會)的報導,政府情報最近證實自來水和廢水產業已成為外國政府入侵活動、犯罪份子和其他威脅團體的主要目標。
為了保護飲用水,美國 EPA(環境保護局)於 2024 年 5 月發出執行警示,通知社區供水系統需要處理的網路安全漏洞。主要關注事項包括
- 網路可視性有限,因此難以偵測泵浦、閥門和化學處理程序的異常。
- OT 與 IT 環境之間的分割薄弱,增加了網路敵人橫向移動的風險。
- 不安全的第三方存取,使關鍵系統容易受到外洩外部裝置的威脅。
- 需要網路安全解決方案來保證不中斷的安全作業,而不會造成停機。
傳統系統的網路安全缺口
公用事業最大的挑戰之一是其過時的系統。傳統 OT 系統的漏洞尚未修補,造成嚴重的安全漏洞,讓惡意使用者有機可乘。這些漏洞不僅會造成系統停機的風險,還可能導致關鍵系統受到實體損害。該電力公司意識到,實施網路分割和強大的存取控制是降低這些風險,同時確保持續運作的關鍵。
處理內部威脅和確保能控制存取權
內部威脅透過意外的錯誤設定、誤用或蓄意的系統修改,造成另一項重大風險。可以存取 OT 環境的員工和承包商可能會在無意間擾亂作業,或在極少數情況下惡意更改關鍵系統。
同時,內部人員和外部協力廠商都必須執行安全存取。未經授權的存取 - 無論是來自洩露的憑證、過高的管理員權限,或是未經管理的遠端會話 - 都會讓關鍵基礎架構變得脆弱。
檔案安全與合規性存在極大漏洞
我們的現場評估發現,與已安裝的現場設備相關的檔案記錄存在嚴重缺陷,構成重大的合規風險。其中最大的問題是缺乏精確的資產清單及分類,許多組織仍依賴手動、過時的記錄方法。如果沒有結構化的資產管理系統,就很難追蹤設備、評估網路風險和強制執行安全控制 - 這會危及 NERC CIP、IEC 62443 和 NIST 800-82 的合規性。
除了資產管理之外,網路風險評估、存取控制政策和事件回應計畫不是不完整就是不存在。這些缺口讓安全團隊在管理威脅、限制未經授權的存取,或以標準化、合規的方式回應安全事故時,缺乏明確的指導方針。
除了這些挑戰之外,竣工網路圖的不準確也妨礙了映射目前網路拓樸和驗證安全組態的能力,增加了錯誤配置和安全漏洞的風險。
使用MetaDefender OT & CPS 平台確保水務作業安全
當我們的客戶遭遇一系列以 SCADA 系統為目標的網路事件時,他們的 CISO 知道他們需要一個更強大的方法來保護他們的水利基礎設施。
每天晚上,我都在擔心,如果有人控制了我們的處理流程,會發生什麼事。我們的責任是為 250 多萬居民提供安全的飲用水,風險再高也不過了。
匿名資安長
在評估多個工業網路安全解決方案後,該公用事業公司選擇了OPSWAT 的MetaDefender for OT & CPS Protection,包括MetaDefender OT Security、MetaDefender Industrial Firewall、MetaDefender OT Access 和MetaDefender Optical Diode,因為這些解決方案能夠滿足水利產業的特定需求。
偵測與修補程式
MetaDefender OT Security 持續掃描 OT 網路,以偵測未經授權的裝置、異常活動和潛在威脅。此外,它還能評估 OT 資產的修補狀態,找出過時的韌體和未修補的漏洞,確保關鍵系統保持最新狀態,並能夠抵禦網路威脅。
預防
MetaDefender Industrial Firewall 強制執行嚴格的網路分割,封鎖未經授權的流量並隔離關鍵系統以防止威脅。針對主要的水資源 SCADA 通訊協定(如 Modbus、DNP3 和 IEC 104)提供特定的通訊協定過濾功能,確保只有有效的流量才能存取作業系統。
存取控制
MetaDefender OT Access 了有時間限制、政策強制的遠端存取,並提供每個存取階段的完整稽核追蹤,以進行全面監督和快速的事件回應。
安全閘道
MetaDefender Optical Diode 可確保單向資料流 - 即資料只能單向傳輸,從一個網路傳輸至另一個網路,而不允許反向通訊。它基本上就像是兩個系統之間的「資料守門員」,將網路分隔開來,而不會讓較脆弱的 OT 系統暴露在外部威脅之下。
我們的前線 OT 解決方案提供全面的通訊協定支援,包括 DNP3 (分散式網路協定 3),可確保處理及配電系統的無縫保護。公用事業公司也能全面掌握所有抽水站和現場設備(如處理廠)的狀況,並能精確分割區域和管道,以進行細粒通訊控制。此外,OPSWAT 為供應商存取提供安全通道,讓維護活動得以進行,而不會讓關鍵基礎設施暴露於未經授權的存取或潛在的網路威脅之下。我們的實施團隊與電廠操作人員密切合作,在不中斷關鍵作業的情況下部署解決方案,並建立安全架構,同時保護舊有系統和較新的數位基礎架構。這個分階段的方法讓公用事業得以加強防禦,同時維持對社區不中斷的供水服務。
遠端存取是我們最大的安全缺口。有了MetaDefender for OT & CPS Protection,我們對所有遠端連線都獲得了安全、以政策為基礎的控制,縮小了主要的攻擊媒介,強化了我們的整體網路安全勢態。
匿名資安長
超越安全性:營運效益與節能
雖然網路安全是主要動機,但公用事業公司也發現了額外的營運效益。控制系統的全面可視性有助於發現抽水作業中的低效率問題,從而在整個配電網路中節省了約 14% 的能源。
我們實施MetaDefender 是為了保護我們的水系統,但它所提供的操作洞察力也幫助我們優化了流程。現在,我們可以清楚瞭解我們系統的運作情況,並作出調整,以提高安全性和效率。
匿名資安長
符合法規要求
由於聯邦與州政府對於水資源安全的規定持續演進,MetaDefender 的實施讓縣內的水資源公司只需付出最少的額外努力就能符合規定。
多虧了MetaDefender for OT & CPS Protection,我們可以輕易符合 EPA 新的水系統網路安全指引。其全面的檔案和可視性簡化了我們的合規報告。
匿名資安長
成果:強化安全性與作業連續性
透過採用OPSWAT的解決方案,該公用事業取得了幾項重要成果:
具成本效益的保護與可擴充的定價
傳統的點解決方案需要針對每項安全需求進行成本高昂的個別定價,OPSWAT的平台則不同,可提供企業級的防護與可擴充的定價。
廣泛的通訊協定支援,實現無縫整合
許多網路安全解決方案與工業通訊協定的相容性有限,迫使公用事業必須依賴第三方整合。相比之下,MetaDefender for OT & CPS Protection 支援所有主要的 OT 通訊協定,包括 Modbus、DNP3 和 IEC 104,可確保在公用事業的多樣化基礎架構中無縫實施安全性。
使用者友善、以 OT 為重點的設計
傳統的 IT 安全工具在 OT 環境中往往缺乏可用性,使操作團隊難以有效管理。MetaDefender OT 解決方案專為 OT 使用者設計,具有直覺的控制和自動化功能,讓工程師、工廠操作員和網路安全團隊能夠輕易地監控和保護其關鍵基礎設施。
更強大的安全性、零作業中斷
完整的 OT 資產可視性
安全團隊可全面即時洞察所有連線裝置和網路活動。
主動式威脅偵測
我們發現並防範了承包商筆記型電腦的入侵嘗試,避免了潛在的服務中斷。
自動化安全管理
先進的報告和監控功能可減少人工操作,同時提高法規遵循性。
面向未來的網路安全
公用事業現在有能力對抗不斷演化的網路威脅,同時維持持續、安全的供水作業。
無需仰賴第三方整合就能達到網路分割、安全資料傳輸、即時可視性和安全遠端存取的能力,實在是無價之寶。它是一套完整的 OT 安全套件,能提供我們所需的保護和連續性,而不會產生任何麻煩。
匿名資安長
總結:關鍵OT系統受到保護 服務不間斷
實施OPSWAT的MetaDefender OT & CPS Protection 解決方案後,這家供水公司得以彌補重要的安全漏洞,確保重要 OT 系統受到保護,同時為數百萬居民維持不中斷的服務。 藉由即時可見性、細粒網路分割與安全的遠端存取,該水利局已大幅加強其對內部與外部網路威脅的防禦能力,而無須仰賴第三方整合。
其他解決方案需要來自多家供應商的零碎安全工具,OPSWAT 則不同,它提供目前最廣泛的 OT 安全解決方案套件,涵蓋工業網路安全的每一層。OPSWAT 解決方案專為無縫部署而設計,可統一加強關鍵基礎設施,提供無與倫比的保護、合規性和作業連續性。
若要進一步瞭解MetaDefender for OT & CPS Protection 如何保護您的關鍵基礎設施,請立即聯絡OPSWAT 專家。
