可移除媒體仍是 OT (作業技術) 和 ICS (工業控制系統) 環境中最常見的攻擊媒介之一。NIST (National Institute of Standards and Technology) 最近發行的特別刊物NIST SP 1334 為操作 OT 和 ICS 的組織提供了實用建議。該文件的標題為「降低 OT 環境中可攜式儲存Media 的網路安全風險」,其中包括降低與使用週邊及可移除媒體裝置相關的網路安全風險的指引。
根據 SANS 發表的2025 年 ICS/OT 網路安全報告,27% 的攻擊是由被攻擊的可移動媒體和暫存裝置所發起。在空氣封鎖的環境中,可攜式媒體通常用來傳輸資料,例如韌體更新、組態檔案和日誌。這增加了惡意軟體、零時差攻擊和供應鏈竄改繞過現有防禦的風險。NIST SP 1334 旨在協助 OT 業者和製造商管理 OT/ICS 環境中與可攜式儲存媒體 (包括 USB、SD 卡和可攜式硬碟機) 相關的風險。
為什麼對 OT 環境很重要
與 IT 環境不同,OT/ICS 環境由於一般的隔離與網路分隔要求,在網路安全方面經常面臨挑戰與限制。根據 NIST SP 1334 指導方針調整網路安全實務,有助於組織降低攻擊面、支援其深度防禦保護措施,以及更好地管理可攜式媒體的使用和檔案傳輸。
OT/ICS 環境最常見的挑戰包括
- 使用傳統系統:許多 OT 裝置和系統仍依賴於缺乏現代網路安全措施且無法再升級的舊式系統。更換這些系統可能成本高昂,而且力不从心。
- 高可用性需求:停機和服務中斷可能會造成實體損害、安全風險或巨大的營運損失。
- 操作空氣封閉環境:OT 網路通常是隔離、孤立或空中封鎖的,對於以網路為基礎的防禦造成限制。
- 不可避免的抽取式Media 使用:使用抽取式媒體進行軟體更新、診斷和資料傳輸往往是不可避免的。
NIST SP 1334 的主要觀點
NIST SP 1334 強調在程序、實體、技術和傳輸這四個關鍵領域分層控管。
程序控制
組織應制定明確的政策來管理媒體的使用。這些政策包括購買具有硬體加密 (FIPS 認證) 的組織自有媒體、禁止未經授權的裝置,以及建立嚴格的媒體配置、消毒和棄置程序。記錄使用詳細資訊,例如使用者身分、裝置序號和時間戳記,以及訓練員工了解政策也是非常重要的。
實體控制
NIST SP 1334 指導方針中的實體控制措施包括將可攜式媒體儲存於實體安全、存取受控的位置,並清查和標示核准媒體的使用細節,以作為資產管理計畫的基礎部分,從而將風險降至最低。
技術控制
建議組織建立媒體保護的技術控制。這些控制措施包括停用不必要的連接埠、使用允許列表限制裝置和檔案執行、使用前後掃描媒體、重複使用前重新格式化裝置、啟用唯讀檔案的寫入保護、關閉自動執行、使用加密裝置,以及設定可移除媒體活動的警示。
運輸和消毒控制
需要額外的實體與邏輯控管,以降低媒體傳輸的風險。這些控制措施包括使用加密或上鎖的容器進行安全的內部傳輸、在雙方之間傳輸檔案時執行雜湊或校驗和驗證,以及在棄置媒體前進行徹底的消毒處理 (如 NIST SP 800-88 第 2 版所詳述)。
OPSWAT 如何協助預防周邊設備和可移除Media 攻擊
OPSWAT 提供一系列解決方案,專門用於保護關鍵 OT 環境免受周邊設備和可移除媒體的威脅。這些解決方案可協助組織達到法規遵循準則,包括 NIST、ISA/IEC 62443、NEI 18-08、NERC CIP、ISO27001、ANSSI、NIS2 和 GDPR。
在進入點降低可移動Media 威脅
MetaDefender Kiosk™專為保護最具挑戰性的環境而設計,可在空氣封閉環境的進入點掃描可移動媒體並進行消毒,確保進入 OT 系統的資料流安全。MetaDefender Kiosk 還能幫助企業增強運行彈性,降低意外停機、生產中斷和安全事故的風險。它被認可為Emerson DeltaV Silver Alliance 的一部分,證明了其在多種環境和使用案例中的有效性。
預先執行Endpoint 防護與裝置控制
MetaDefender Endpoint™可加強端點安全性,並為作業環境提供進階保護。它能在可移除及周邊媒體插入至關鍵系統之前,主動掃描及偵測這些媒體。這項功能可協助組織符合 NIST SP 1334 中概述的可攜式儲存媒體網路安全要求。它還能讓使用者安全地清除抽取式媒體資料,協助符合標準的媒體清除要求。
透過單一玻璃進行保護監控
與My OPSWAT™Central Management 整合後,MetaDefender Endpoint 和MetaDefender Kiosk 可支援集中式政策執行,以控制裝置存取、監控與管理可攜式媒體使用,以及活動記錄。
Media 證作為額外的防禦層
OPSWAT 也提供一系列的解決方案來強化您的深度防禦策略。MetaDefender Endpoint Validation、OPSWAT Media Validation Agent 及MetaDefender Media Firewall™ 透過強制執行掃描與淨化政策,提供額外的安全層級。
MetaDefender Endpoint Validation 和OPSWAT Media Validation Agent 是安裝在端點上的輕量級工具,可在空中封鎖和連接環境中使用。它們可作為檢查點,確保只有經MetaDefender Kiosk 的檔案才能被端點開啟、複製、選擇和存取。
MetaDefender Media Firewall 是一個隨插即用的硬體解決方案,可保護關鍵主機系統免受卸除式媒體所帶來的威脅。它可與MetaDefender Kiosk 搭配使用,作為一個易於使用的實體層,以保護 OT 環境的安全,並確保未掃描的可移動媒體無法繞過入口點。此解決方案也可協助組織執行符合法規遵循標準的掃描政策。
知名業界的核心技術
MetaDefender Kiosk 和MetaDefender Endpoint 採用全球信賴的業界領先技術,包括
- Metascan™Multiscanning:透過 30 種以上的反惡意軟體引擎,達到高達 99.2% 的惡意軟體偵測率
- Deep CDR™:在不損害檔案功能的情況下,循序掃描檔案以移除潛在威脅,防止未知威脅,包括零時差攻擊,支援超過 200 種檔案類型
- File-Based Vulnerability Assessment:偵測已知的弱點,從使用中裝置收集 3,000,000+ 個資料點,以及 30,000+ 個相關的 CVE(含嚴重性資訊)。
- 主動式 DLP™:利用 AI 驅動的模型,在 110+ 種檔案類型中找出並自動刪除 PII、PHI、PCI 等敏感資訊。
- 來源國:偵測檔案的地理來源,以識別受限制的地點和供應商,支援法規遵循
