運維技術的零信任架構：CISA 新指南對您的安全架構有何要求

針對 OT（營運技術）的「零信任」是一種安全架構，旨在消除工業網路中的隱含信任，要求在授予任何營運系統或實體流程的存取權限之前，必須根據身分、情境及風險，對每位使用者、每台裝置及每次資料傳輸進行持續驗證。與 IT 不同，OT 零信任必須在不干擾持續運作、安全系統，或無法執行現代安全代理程式的舊有設備的情況下運作。

美國五個政府機構：網路安全與基礎設施安全局（CISA）、國防部、能源部、聯邦調查局（FBI）以及國務院，共同發布了迄今為止關於工業網路安全最具權威性的聲明：《將零信任原則應用於營運技術》。其訊息明確無誤。 零信任已不再是僅限於資訊技術環境的框架。如今，無論是能源電網、水處理設施還是政府設施，凡是營運營運技術（OT）系統的組織，都應將其視為理所當然的安全態勢。

如果您是正在閱讀本文的 OT 資安主管，問題不在於「零信任」是否為正確的方向，而在於您該如何彌合政府強制性合規與稽核要求，與設施現狀之間的落差——該設施不僅使用著數十年歷史的設備、團隊人力已捉襟見肘，董事會更不斷追問您對此採取了哪些措施。本文將針對此問題提供解答：CISA 指南在各個支柱中實際要求為何，以及OPSWAT 平台如何對應其中的每一項要求。

該指南列出了每個 OT 零信任計畫必須處理的三大支柱：全面的資產可視性、強健的 IAM（身分與存取管理），以及主動的供應鏈風險管理。該指南還點名了促使此事刻不容緩的攻擊者——例如 Volt Typhoon 這樣的國家級組織，美國網路安全與基礎設施安全局（CISA）已觀察到該組織預先潛伏於 OT 網路中，以維持持久性並等待啟動。

在資訊科技領域，零信任架構是透過軟體來實現的——包括身分識別供應商、端點代理程式，以及可在數小時內更新的存取政策。 營運技術（OT）環境受限於諸多因素，使得直接套用 IT 方法行不通：例如使用壽命長達 20 年的舊式可程式邏輯控制器（PLC），無法執行現代驗證代理程式；嚴格的運作時間要求，使得單一偵測封包就可能導致非預期的系統關機；以及網路安全與實體安全之間存在直接關聯，這是 IT 領域所不具備的。

CISA 的指南對這些限制坦率地指出了。要在老舊的工業基礎設施中全面實施零信任架構，需要耗費數年時間並投入巨額資金。這種矛盾確實存在。

這份指南明確指出，威脅環境不會等待這些計畫成熟。隨著營運技術（OT）系統與資訊技術（IT）網路的互聯程度日益加深，且越來越多系統接受遠端監控，傳統的「物理隔離」假設已不再成立。攻擊者早已調整策略。組織當前實施的防護措施——即使是漸進式的——將決定在長期轉型過程中，有多少攻擊面會暴露在外。問題不在於是否要開始，而在於從何處著手。

CISA 的指南指出，在營運技術（OT）領域實施「零信任」有三大優先事項：全面的資產可視性、強健的身分與存取管理，以及主動的供應鏈風險管理。該指南同時點名了具體的威脅行為者——Volt Typhoon 及與國家有關聯的團體——這些團體正利用這些控制措施原本旨在彌補的漏洞。

OPSWAT平台正是為此而打造。無需接觸任何裝置即可進行被動式 OT 資產偵測。Hardware，使整類型的遠端攻擊在物理上成為不可能。在每個檔案傳輸點（包括網路、USB 及資料傳輸）皆應用 Deep CDR™ 技術。在任何連線抵達控制系統之前，即於連線會話層級實施身分識別與存取管控。

在 OT 環境中，資產可視性意指透過被動監控方法（此類方法不會產生可能干擾敏感控制系統的流量），來維護工業網路中每台裝置（包括舊式 PLC、RTU（遠端終端單元）及 HMI（人機介面））的完整且持續更新的清單，並包含其韌體版本與通訊協定。

這正是大多數 OT 安全計畫存在最大未解決缺口的所在；而原因在於架構層面，而非組織層面。Industrial 所依賴的設備組成，與 IT 環境相比本質上截然不同。 典型的 OT 網路包含 PLC、RTU、DCS 控制器、感測器、繼電器、HMI、工程工作站，以及日益增多的 IIoT 裝置，每種裝置皆採用其設計時所指定的專用通訊協定進行通訊：Modbus、EtherNet/IP、DNP3、PROFINET、OPC-UA，以及數十種專有變體。 標準的 IT 發現工具無法解析這些通訊協定。它們無法理解 Modbus 功能代碼的語義，無法解讀 DNP3 資料物件，也缺乏判別 EtherNet/IP 隱含訊息交換中何謂正常與異常行為的模型。當這些工具遇到 OT 設備時，要不是返回不完整的資料，就是產生接收設備從未設計過要處理的意外流量。

第二種結果並非假設性的。在 OT 環境中進行主動掃描，已導致生產設施發生非預期的製程中斷及設備鎖定。正因如此，CISA 指南才建議採用被動監控作為 OT 資產發現的適當方法，而在具有嚴格正常運行時間要求的環境中，這項建議更是不容妥協。 透過網路 TAP 或 SPAN 埠部署的被動式蒐集，僅監聽流量而不注入可能干擾敏感控制系統的查詢。它觀察哪些裝置正在通訊、通訊方式為何，以及何謂正常狀態，且完全不觸及受監控網路上的任何裝置。

此方法必須解決的覆蓋範圍問題，因 OT 通訊模式的特性而更加複雜。許多裝置僅在特定的運作事件期間進行通訊：PLC 可能僅在生產週期中傳輸資料，繼電器可能僅在故障狀態下回報，而現場感測器則可能產生間歇性的突發流量，其間穿插著漫長的靜默間隔。 若監控視窗未能涵蓋所有運作模式，將導致資產清單不完整——而清單中遺漏的資產，正是那些無法受到保護、無法進行分段隔離，亦無法被監控的資產。 根據 SANS 2025 年《ICS/OT 網路安全現狀》數據，資產可視性仍是工業組織的首要安全投資重點，然而不到八分之一的組織表示能對其環境實現全面可視性，涵蓋從初始網路存取到對實體製程潛在影響的整個過程。這項差距並非資金問題，而是方法論問題。

Volt Typhoon 正是利用了這個漏洞。該組織已知的作案手法是混入正常的網路運作中——利用合法的通訊協定、授權的路徑以及標準的管理工具——在 OT 環境內建立持久的存取權限。若無法全面掌握網路上的內容以及正常行為的樣貌，這些技術便幾乎難以被察覺。

OPSWAT OT 安全平台MetaDefender Security™ 透過被動式資產偵測與深度 OT 協定分析來解決此問題。該平台透過監聽網路流量（而非產生流量），在不接觸受監控裝置的情況下，建立完整的資產清單與行為基準線，並在單一原生 OT 介面中整合漏洞與修補程式管理以及合規性報告功能。異常連線、意外的裝置通訊以及未經授權的協定互動，皆可在其對營運造成影響之前被偵測出來。

工業自動化（IAM）領域中最棘手的挑戰在於，攻擊者越來越傾向於利用合法的存取途徑——例如有效的憑證、經授權的遠端連線以及標準工程工具——而非軟體漏洞。聯邦調查局（FBI）與美國網路安全與基礎設施安全局（CISA）近期發布的聯合警示中，描述了與伊朗有關聯的攻擊者，他們透過標準工業通訊埠連接到對外連網的可程式化邏輯控制器（PLC），並以授權操作員的身份與控制系統進行互動。

在 OT 環境中部署最廣泛的遠端存取解決方案——VPN——引入了一種結構性風險，而非配置性風險。VPN 建立直接的網路層級連線，這打破了普渡模型（Purdue Model）的階層式隔離，將第三方供應商直接引入控制網路區段，且缺乏細粒度的連線控制，也沒有執行最小權限原則的機制。 無論是隧道中供應商端遭入侵或安全的裝置，皆能直接連通至生產系統。對於缺乏原生驗證能力的傳統 OT 終端裝置，此風險更為加劇。這些裝置無法記錄存取事件、無法執行連線政策，也無法終止未經授權的連線。任何現有的安全措施若無法完全部署在裝置上游，便等同於不存在。OPSWAT 專為 OT 網路設計的工業防火牆MetaDefender Industrial 能直接解決此分段問題——即使供應商連線已進入網路內部，仍能強制執行基於區域的分段，並控制橫向移動。

CISA 的指南具體闡明了若放任此問題不管將產生的後果。與國家有關聯的威脅行為者是透過標準的工業通訊埠，而非利用軟體漏洞，來存取並操控對外連網的 PLC；他們僅是像授權操作員那樣進行連線。憑證看似正確，通訊協定也符合預期。由於存取層上沒有任何機制能評估連線的合法性，因此該連線未被標記為可疑。

MetaDefender OT Access 在任何連線抵達 OT 資產之前OT Access 連線層級OT Access 零信任OT Access 。無論是內部工程師、原廠設備製造商（OEM）的排程維護時段，還是首次連線的第三方承包商，每一個遠端連線都會經過個別驗證、限制在最低必要存取範圍內、設有時間限制，並完整記錄。連線會被記錄並持續監控，若行為超出預期參數，可即時終止連線。 除該特定連線明確所需之外，不允許任何常駐網路存取、持久隧道或通往資產的路徑。至於無法參與現代化驗證的舊式設備MetaDefender OT Access 連線管理層OT Access 管控，因此無論設備本身具備何種功能，相關控制措施皆能有效運作。

在 OT 領域中，供應鏈風險涵蓋數位與實體傳輸事件：透過網路推送的軟體更新、供應商攜入現場的筆記型電腦、從USB 載入的韌體，以及從 IT 系統傳輸至物理隔離控制網路的工程檔案。每種情況都可能導致惡意內容滲入系統，一旦系統遭到入侵，便會直接影響實體製程。

在任何軟體組件抵達 OT 邊界之前，其完整性就應已獲得驗證。MetaDefender Software Chain™ 針對傳輸鏈的 IT 端解決此問題——透過比對 SBOM 資料來驗證供應商提供的工程工具、韌體套件及工業軟體更新，確認組件在傳輸過程中未遭篡改，並在批准傳輸前揭露未知組件。 當檔案抵達Kiosk 點或MFT 工作流程時，它已通過 IT 層的完整性檢查。因此，邊界控制措施只是在強化已做出的決策，而非彌補從未採取的措施

這是基於網路的控制措施無法完全解決的攻擊面——但一旦供應商進入系統內部，網路層的執行仍扮演著關鍵角色。MetaDefender Industrial Firewall 對於檢查每個供應商連線會話的實際工業協定有效載荷Firewall 即使第三方連線已獲授權，防火牆仍會驗證指令是否符合該會話預期的功能代碼與數值範圍——即時阻擋來自遭入侵供應商工具或遭篡改更新的惡意指令。 它同時強制執行嚴格的通訊路徑：與供應商連線的裝置僅能存取其預定範圍內的特定系統，從而遏止任何供應鏈漏洞在橫向擴散至 OT 區域之前。至於 OT 元件中已知但供應商尚未發布修補程式（在 OT 領域往往需時數月）的 CVE，Industrial Firewall 網路層級Firewall 虛擬修補程式，無需觸碰裝置即可阻斷漏洞利用。

MetaDefender 是OPSWAT可移除媒體安全解決方案，能在每項可移除媒體進入安全區域之前，對其進行攔截與檢查。 每個檔案皆會透過 Metascan™Multiscanning 30 種反惡意軟體引擎Multiscanning 由 Predictive Alin AI 進行評估以實現執行前的零日漏洞偵測，最後透過 Deep CDR™ 技術進行處理——該技術能將檔案還原至已知安全狀態，在移除嵌入式威脅的同時，保留技術人員執行工作所需的合法內容。MetaDefender Media Firewall 作為OPSWAT可移除媒體掃描強制執行解決方案，將此機制延伸至終端設備層級的USB ——透過硬體級驗證機制，確保僅有經MetaDefender Kiosk 掃描並核准的可移除媒體Kiosk 連接至受保護的工作站，無論該工作站位於設施內的何處。OPSWAT先進端點防護解決方案MetaDefender 部署於關鍵端點，用於驗證可移除媒體裝置中的檔案是否已由MetaDefender Kiosk 進行初步掃描與處理。此機制確保僅有經過驗證的檔案可被端點開啟、複製或存取，並阻止未經授權或未經掃描的檔案進入關鍵環境。

對於跨越網路區域的資料傳輸——例如從 IT 網路進入 OT 網路，或從雲端連線系統進入隔離的OPSWAT資料二極體解決方案MetaDefender Diode™ 可提供由硬體強制執行的單向資料流。這包括從 OT 網路流向 IT 系統、分析平台或雲端基礎架構以進行監控與報告的營運資料，例如歷史資料值、感測器遙測資料及製程資料。 任何入站指令、連線請求、軟體更新或有效載荷皆無法逆向穿越此邊界。此安全保證無需依賴正確的配置、定期修補的軟體或存取憑證的完整性，因為這些軟體層面的因素皆無任何途徑能繞過硬體限制。 對於那些運作著無法升級、無法執行端點代理程式，且無法承受因安全問題導致停機的舊式控制系統的組織而言，這正是 CISA 指南與更廣泛的工業安全社群所共識的、作為適當技術解決方案的架構。

MetaDefender File Transfer™ (MFT) 專為需要於不同區域間傳輸營運檔案，並要求具備全面檢查、稽核記錄及工作流程控制功能的組織，提供結構化傳輸解決方案。該系統在每次傳輸事件中皆執行內容驗證，確保檔案傳輸路徑本身不會成為未受監控的入侵點。

並非所有邊界都能透過政策來保護。有些邊界需要物理層面的防護。跨域解決方案（CDS）在 OT 與 IT 網路之間建立硬體層級的邊界，確保無論是軟體設定錯誤、憑證遭竊，還是零日漏洞，都無法開啟任何入侵路徑。MetaDefender Optical Diode MetaDefender 安全閘道™ 均通過通用標準 EAL4+ 認證，並[支援符合 NERC CIP、IEC 62443、 NRC 5.71、NIST 800-82 及 ISO 27001](opswat) —— 涵蓋能源、核能、化工及國防等關鍵基礎設施的完整規範框架。

CISA 指南與 NIST CSF（網路安全框架）2.0 的六大功能——治理、識別、保護、偵測、應對、復原——相符。下表將各項要求對應至相關的OPSWAT ：

在營運技術（OT）領域中，「零信任」並非一種可直接購買的產品。CISA 的指南對此點已明確指出——工具與技術固然必要，但僅靠它們並不足夠。 組織真正需要的，是一個專為「可用性、安全性與合規性皆不可妥協」的環境所打造的平台。OPSWAT MetaDefender™ 平台能貫徹 CISA 規範的完整範疇，提供此種架構——從初始存取始於的收件匣，到對關鍵系統的指令終止於的硬體強制邊界。

如上表所示OPSWAT 單一OPSWAT NIST CSF 2.0 所有六大功能中，所有符合 CISA 標準的控制類別——這是一般專注於 OT 的供應商無法比擬的廣度。您準備好評估您的 OT 環境在 CISA 零信任框架下的現況了嗎？

與專家聊天 →