本文介紹趨勢科技在工業網路資安領域的最新研究,包括:攻擊的衝擊性、資安措施的成熟度,以及強化資安的建議。
網路犯罪集團目前依然持續瞄準企業的關鍵基礎架構及功能,正如美國輸油管營運公司 Colonial Pipelines 的案例提醒我們,工業網路攻擊可能帶來嚴重的衝擊,而這也是為何資安長 (CISO) 與資安領導人必須更主動地有效管理網路資安風險的原因之一。本文簡單介紹趨勢科技「工業網路資安現況」(The State of Industrial Cybersecurity) 報告的內容,包括 ICS/OT 網路攻擊的衝擊,同時也提供一些建議來協助企業在瞬息萬變的威脅下提升自己的資安韌性。
工業網路攻擊的衝擊
隨著工業領域持續邁向數位化轉型並導入新的技術,他們也無可避免地讓自己的系統暴露於網路攻擊當中。為了深入了解 ICS/OT 攻擊的衝擊與成因,Trend Micro Research 針對 900 名網路資安決策者進行了一項調查,對象為美國、德國、日本的製造、電力以及石油天然氣產業。
ICS/OT 系統不論對國家級或非國家級駭客來說都是一種高價值目標。國家級駭客會想要入侵關鍵系統來打擊政治上的敵人,非國家級的駭客則想要成名,或是向有錢的機構勒索大筆贖金。
網路犯罪集團會運用各式各樣的手法、技巧與程序 (TTP) 來發動攻擊。趨勢科技發現,駭客最常用來突破企業防線的方式是經由遠端存取、對外服務的應用程式或雲端服務、連上網際網路的裝置,以及一般常見的網頁瀏覽器。
那麼,這類攻擊的效果如何?在全部三個受訪產業中,那些曾經遭遇網路攻擊的受訪者有半數以上表示他們的營運至少中斷了 4 天以上。像這樣非預期性的長時間停機,很可能導致生產出現問題,有 89% 的受訪者表示他們的供應鏈因而受到影響。
除了營運中斷之外,ICS/OT 攻擊還可能帶來嚴重的財務損失,根據趨勢科技的調查,這類攻擊的平均損害金額為 280 萬美元。這筆金額不單只包含勒索病毒的贖金,還包括業績損失成本、事件復原成本、避免事件再度發生的成本,以及加聘更多人員的成本。
此外,趨勢科技也發現,企業在 12 個月內很可能遭遇多次攻擊和中斷事件。72% 的受訪者表示他們曾經歷至少 6 次網路攻擊造成的 ICS/OT 營運中斷。
儘管經歷了多次營運中斷及衍生後果,但趨勢科技發現僅有不到半數 (48%) 的企業機構已採取一些措施來降低未來的風險。
網路資安措施成熟度
企業很可能是因為網路資安措施的成熟度不足才會一再遭到攻擊。趨勢科技利用 NIST 網路資安框架 (Cybersecurity Framework,簡稱 CSF),從該架構的每一功能層面 (發掘、防護、偵測、回應、復原) 來衡量受訪者的 IT 與 OT 網路資安成熟度。
在理想狀況下,企業的網路資安措施應該達到 NIST 實作等級 (Implementation Tiers) 的第 4 級 (Tier 4),也就是企業已採取了進階的適應性網路資安技巧來分析駭客行為/事件,進而主動防範或因應威脅。
但趨勢科技發現,在 IT 資安方面,有 40% 的受訪者已達到第 2 級 (Tier 2,也就是每一功能都已知悉風險),有 25% 已達到第 1 級 (Tier 1,也就是建置了部分資安流程)。反觀 OT 資安的成熟度則低很多,絕大部分受訪者 (33%) 都還處在第 1 級。
更麻煩的是,目前有 270 萬個網路資安職缺招募不到人才,這也難怪許多企業會一再遭到攻擊。
強化 ICS/OT 網路資安的動機
趨勢科技發現,受訪者希望強化其網路資安的首要原因是要防範事件再度發生,這一點不令人意外。但該報告同時也發現,截至該調查執行時為止,企業強化 ICS/OT 網路資安措施的第二和第三大動機分別是:業務合作夥伴/客戶/消費者的要求,以及建置了雲端。不過,當被問到未來三年的動機時,第二及第三大動機卻又不同。
所有受訪三大產業一致的現象是,企業改善網路資安的主要動機為:導入新技術 (如 5G 和雲端) 和為了遵守產業規範以降低風險。
降低工業網路資安風險
有鑑於工業環境的 OT 資安成熟度遠低於 ICS,因此建置新式或必要技術可能會衍生更多問題。不僅資安團隊必須再接受教育訓練來熟悉這些新興技術的最佳資安實務原則,而且企業的數位受攻擊面也會因而擴大。
顯然,資安長與資安領導人需要一套資安解決方案來提供一種全方位且完整的可視性以掌握企業的整體受攻擊面,進而更主動地防範和分析威脅以降低資安風險。
例如像 Trend Micro One 這樣的網路資安平台就能與 ICS/OT 工具及 XDR 整合,並藉由交叉關聯威脅情報與來自端點、裝置、使用者、雲端、網路等等的深度活動資料,提升對這類複雜環境的資安狀況掌握。
採用一套全方位的網路資安平台,再配合以 IT、OT 和 CT 為核心的解決方案,以及 XDR 與專業服務,就能涵蓋 Purdue 企業參考架構 (PERA) 第 1 至 5 層的資安要求。這套架構模型 (一般稱為 Purdue 模型) 能協助企業根據目的來建構 ICS/OT 系統與技術。
除了解決基本的資安問題之外,一套全方位的網路資安平台還能協助資安團隊更有效了解、溝通及防範資安風險,這對提升企業的資安韌性以及高階主管對資安的認知非常重要。想要取得 CXX 高階主管對資安投資的支持,證明資安如何配合並支持業務的發展目標是最重要的關鍵。
如需更多有關全方位網路資安平台、資安風險的資訊,以及如何讓 CXX 高階主管認同您的網路資安計畫,請參閱以下文章: