電力公共事業隨時都暴露在各種威脅當中,包括實體威脅與精密的國家級駭客攻擊,因此該產業對於安全措施一直非常重視。但在過去幾年,電力系統已經發生一些改變。隨著 OT 的逐漸網路化並與 IT 相連,IT 與 OT 之間的介接跟著增加,各種前所未見的網路威脅紛紛出現。
趨勢科技舉辦了一場網路研討會來探討這些變化,以及您該採取什麼策略來保護企業資產以防範最新的網路威脅,還有落實這些策略時可能的挑戰與解決方案。
本文摘錄了這場網路研討會的重點,分享調查結果所指出的一些電力產業常見挑戰。希望這對那些意識到自己需要一致的 IT 與 OT 資安防護、但卻面臨建置挑戰的電力公共事業網路資安領導人有所幫助。
點選此處來觀賞這場隨選網路研討會。
電力系統的漏洞
在這場網路研討會中,我們介紹了幾個取自「關鍵基礎架構暴露在外並引來風險:能源與自來水產業」(Critical Infrastructures Exposed and at Risk: Energy and Water Industries) 這份趨勢科技報告中的範例。這份研究的主要目的是想證明一點,那就是利用一些基本的公開情報蒐集技巧來發掘並攻擊自來水與能源產業 OT 設備的漏洞有多麼容易。根據調查指出,駭客有可能從遠端存取人機介面 (HMI)、查看含有客戶資料的資料庫,以及控制渦輪的啟動與停止。
針對電力公司的網路攻擊
此處介紹一些專門針對電力公司的網路攻擊,圖 2 顯示其可攻擊面 (攻擊方式與數位資產)、攻擊流程,以及最終可能對能源系統 IT 和 OT 環境帶來什麼損害。
一個 IT 網路可攻擊面的範例就是:經由 VPN 漏洞來攻擊的辦公室電腦。如果駭客經由 VPN 滲透了監控系統,那他們就能取得權限並且在未經授權的情況下存取 OT 資產,例如 HMI 人機介面,而且還可能安裝勒索病毒。
至於 OT 網路可攻擊面的典型範例就是:維護用的個人電腦。如果這台電腦被病毒感染,然後維護人員將它連上 OT 網路,那病毒就可能擴散到整個 OT 網路,進而導致 OT 設備停止運作等等的問題。
想要保護這些彼此相連的系統,就必須重新檢視 IT、OT 以及各種技術領域的網路資安策略。
解決方案
我們從人員、流程和技術的角度來整理問題,重新檢視涵蓋各技術領域 (如 IT 和 OT) 的整體資安策略。
在人員問題方面,一個例子就是勞動力短缺與人才不足。而人才之所以不足,是因為 IT 資安人員對於營運面並不熟悉,反之亦然。在這場網路演講當中,我們介紹了三個解決人員問題的想法。
第一是提升員工的資安意識以及教育訓練。從管理階層到員工,大家都必須認知到資安的重要,並且共同努力。第二,為了解 IT 與 OT 部門的工作,我們建議推行職務輪調與實習來增進彼此的了解。第三是事件回應文件與自動化,但小心不要只一味追求自動化。首先重要的是,找出不必要的工作讓工作減量。然後,我們建議將必要的工作自動化。在研討會中,我們也針對流程與技術的問題提供了解決方案的範例。
最後,我們介紹了「整合攻擊鏈」(Unified Kill Chain) 作為一種有效的方法。它將現有的一些模型 (如 Lockheed Martin 公司的 Cyber KillChain® 與 MITER 的 ATT&CK™) 進一步延伸和結合,來顯示駭客從網路攻擊開始到完成的所有步驟。駭客必須成功執行所有的步驟才能達成目標,但防禦的一方只須在某一點上切斷這個攻擊鏈,這一點可做為防禦策略的參考。即使是橫跨 IT 和 OT 的攻擊也可以參考這套方法,來評估預期的攻擊以及當前的資安狀況,並採取適當的資安措施作為回應。
網路研討會後記
為了解電力產業當前的狀況與資安領導人的想法,我們加入了一些與本研討會相關的調查結果。這場 6 月 29 日舉辦的網路研討會總共有將近 100 名在能源產業從事網路資安相關工作的人員在線上即時觀看。
當被問到他們覺得哪些資訊最有幫助時,絕大多數的受訪者都選擇了「IT 與 OT 皆遇到的網路資安問題與解決方案」,顯然這是他們覺得最有幫助的資訊。我很高興能為那些在建置反制措施時遭遇問題的人提供一些協助。
此外,當被問到他們是否需要一致的 IT 與 OT 網路資安時,超過 90% 的受訪者表示「同意」。在那些表示「同意」的受訪者中,有 39% 回答他們已經開始採取某種行動,顯示 IT 與 OT 網路資安都同等重要。
最後,我要分享一個在會議報到期間所詢問的一個問題的調查結果,也就是該產業人員對於 OT 資安的看法。第一名是各自為政的風險與威脅可視性,第二名是老舊系統的支援性。第三名有兩個,分別是:對於橫跨不同網路的攻擊缺乏準備,以及人員/人才的缺乏。感覺上,風險與威脅的視覺化、其他組織性作為,以及技術性對策等三個方面都存在著強烈的挑戰。
參考資源
以上摘錄網路研討會的一小部分內容,若您對電力產業未來的網路資安策略感興趣,我們建議您利用下面連結來觀賞研討會的完整內容。
點選此處來觀賞這場隨選網路研討會。
此外,底下也提供了會議中介紹的趨勢科技報告,以及其他能源產業相關的參考連結。