Search
Close this search box.

你能想像捷運被駭客全面掌控嗎?新加坡已畫好 2023 資安重點了:全面強化 OT 安全

【TechOrange 編輯部導讀】

隨著中、美政經局勢緊張,全球針對關鍵基礎設施的網路攻擊預計將在今年更加猖獗。

作為台灣鄰國,新加坡的作法相當值得國內關鍵基礎設施業者,如電力業、石油業、醫院、大眾運輸交通業以及政策制定者參考。

新加坡政府在調整過後的網路安全戰略中特別強調了 OT 安全,他們看見的新風險是什麼?如何應對 OT 安全人才缺口?

全球數位轉型的浪潮持續推進,隨 5G、雲端、物聯網(IoT)、人工智能(AI)、工業 4.0 和數據分析等技術成長,資訊技術(informtation technology,IT)和營運技術(operational technology,OT)整合勢在必行,但值得留意與審視的是,這項進步同時也正為網路安全層面帶來巨大的風險和挑戰。

而台灣鄰國——新加坡已經看見了新的 OT 安全風險,並自上而下開始著手進行強化,同時啟動 OT 安全人才補給措施。

IT 與 OT 的融合,為何打開了網路安全的潘朵拉盒子?

在過去,許多 OT 系統的設計是獨立隔絕的,會在隔離和獨立的網路中執行,不連結至外部網路,由於沒有網路介面接口可以入侵、攻擊,比較不是駭客的主目標。

Google 分析經理 Keith Lunden 點出,與 IT 資產相比,傳統上 OT 資產經歷的威脅活動數量非常有限,主要是因隔離網路(air-gaps)、內部網路分段措施,最大限度地減少了惡意攻擊事件。

不過,近年來不少組織為了提高自動化程度,並加速大數據和智慧分析流程,開始在 OT 系統中引入新的數位解決方案,連網環境日益普及,形成了物聯網及工業物聯網,IT、OT 兩個世界的系統出現了彼此連接的可能性,等同於打開了更廣泛的攻擊機會,這也是為何近年工業控制系統遭受駭客或勒索病毒攻擊的案例層出不窮

根據《微軟 2022 年數位防禦報告》分析,攻擊者主要透過遠端管理(46%)和網路(30%)兩種途徑進行 IoT、OT 攻擊,而從這些被攻擊的 IoT 與 OT 韌體漏洞分析發現,其薄弱的密碼防護以及使用老舊的開源程式,成為了駭客眼中最容易利用的弱點。

今天,IT 與 OT 的融合正在導向截然不同的故事,從封閉系統到開放系統的這種趨勢轉變,刺激了許多新的安全漏洞、安全風險產生,不論國家、企業、組織部門都應為此作好準備,更加全面地審視與控管科技風險。

新加坡因應局勢修訂 OT 網路安全戰略,倡導人才培育

放眼國際局勢上,新加坡政府積極推動、翻新網路安全戰略的動作值得關注,新加坡網路安全局(CSA)指出,隨著威脅形勢不斷演變,各個關鍵資訊基礎設施(critical information infrastructures,CII)公私部門應不斷調整和優化其流程,以應對現有和新出現的威脅。

為了喚醒全國意識,新加坡在 2021 年底以 OT 為重點修訂調整國家級的網路安全戰略展開與 CII 營運商的緊密合作,全國由上而下加強 OT 系統的網路安全。

CSA 將 OT 系統定義為工業控制、樓宇管理和交通號誌控制系統,這些系統能監控與更改其「物理狀態」,例如控制鐵路系統,因為針對 CII 的網路攻擊,極有可能造成物理與經濟兩種風險。去年 11 月就曾發生過類似案例,丹麥最大的鐵路營運公司 DSB 因為遭受到網路攻擊,導致多列火車停駛。

在扣合人才發展方面,新加坡政府也與 Mercer Singapore 聯合開發一套 OT 職能框架,其中繪製各種工作角色的職能路線圖,以及所需的相應技術技能和核心能力。

CSA 建議,OT 和 IT 系統所有者都可以利用這份參考指南,獲得 OT 網路安全所需的精細流程、結構和技能的指導,給予員工充分的培訓和規劃職業發展,而培訓提供商可以運用它來發展培訓計畫所需的課程內容、認證項目。

新加坡國務資政兼國家安全統籌部長張志賢表示:「儘管看起來很困難,但我們應該努力就規則、規範、原則和標準達成共識。鑑於數位領域的無國界性質,我們渴望全球共識,各國需要共同努力,為全球數位公地(digital global commons)制定新的治理原則、框架和標準,以維護信任和信心,為我們所有人提供安全保障。」

供應鏈安全更加難掌控,亞太地區企業尤須提高警覺

特別是某些產業類型的 OT 部門(例如製造、海運)供應鏈通常範圍廣泛且涉及多方CSA 對此也強調供應鏈安全的挑戰性和重要性,並指出組織機構務必意識到需承擔鏈上來自第三方供應商的潛在網路風險,並提前制定預防措施。

根據美國技術安全公司 CrowdStrike 的研究,近幾年高達 48% 的亞太地區組織至少經歷過一次供應鏈攻擊,而 60% 的組織表示無法確保其所有軟體供應商都經過了安全性審查。

舉例來說,上文提及的 DSB 鐵路攻擊事件,即是因為該鐵路營運公司的「外包廠商」遭受攻擊而發生,導致司機們只能被迫停車。雖然整起事件是因 IT 供應商遭受攻擊而導致火車停駛,然而若駭客入侵到鐵路控制系統,或者駭客以發動恐怖攻擊為目的,後果將更不堪設想。

最後,與盟國之間的合作也相當重要。新加坡政府於去年與芬蘭簽署了一項協議,相互定義與承認國家級的物聯網設備網路安全標籤,以幫助買家評估此類產品的安全級別,新加坡政府聲稱,這是此類合作的全球首例,可望減少重複測試的成本。

張志賢指出,「網路空間跨越了物理邊界,許多系統跨越不同國家與司法管轄區,各國需要密切合作、調整政策作法以應對和監管跨境網路威脅。」

2023 年還有哪些必須注意的網路安全威脅手法?

把目光投向 2023 年,還有什麼樣的網路安全威脅類型是需要全球企業與政府共同注意的?

  • 勒索軟體等惡意軟體威脅
  • 身分驗證和多重要素驗證 MFA 疲勞(MFA fatigue)攻擊
  • 針對公營事業如醫療、能源、教育機構的安全性攻擊

勒索軟體仍是危害組織和系統的關鍵攻擊之一,需注意的潛在危機包括了攻擊者於遠程執行惡意程式,或是不當取得對組織內部網路的訪問權限,組織應主動增加漏洞檢測和修補的計畫。

此外,隨著多重要素驗證成為一種流行的做法,在部分情況下,駭客能夠利用洩露的資訊繞過第一級身份驗證,然後透過不停傳送驗證推播通知,讓用戶感到疲倦而不小心按下同意,允許了有心人士進入內部系統,組織對人員的教育訓練也應強化此類情形的提防意識。

美國 IT 安全公司 Ivanti 的報告顯示,醫療、能源和製造是前三大勒索軟體受災最嚴重的行業,對學校、教育產業的威脅也正浮現,與這些行業高度相關的公營事業、民間組織皆應注重強化其關鍵資訊基礎設施(CII)。

在邁向 IT 與 OT 融合的未來,應留意衍生出的相關資安風險,從國家資通安全的角度出發,進一步審思並制定出與時俱進的法規及規範,跨國、跨產業、公私營部門應共同採取積極主動的因應措施,以及考量兼顧供應鏈安全,提升全面防護力以抵禦浮現的網路安全威脅。

TechOrange 熱情招募中!

參考資料:ZDNET12CSA SingaporeFast Company微軟Reuters

(責任編輯:藍立晴)