重點預覽
2023 年 6 月,SANS Institute 發布了一份與趨勢科技合作的最新報告,名為「利用 ICS/OT 可視性打破 IT/OT 藩籬 」(Breaking IT/OT Silos With ICS/OT Visibility),作者是 SANS 分析師 Jason Christopher。這份報告調查了受訪者如何克服 ICS/OT 可視性的挑戰、如何跨越 IT-OT 之間的鴻溝、如何消除可視性拓展的障礙,並比較了兩個領域的成熟度。這項調查訪問了將近 350 名負責 IT 與 OT 資安的人員,涵蓋全球眾多產業領域。
本文探討可視性拓展的障礙以及資安營運勞力密集的問題,同時參考了這份報告的精華。
可視性拓展的障礙
正如先前一篇部落格中提到的,擁有 OT 資產的企業通常具備一定程度的 OT 可視性,同時也在進一步拓展可視性,但若要涵蓋整個 OT 環境,將面臨三大挑戰:
- 老舊裝置與網路的技術限制:44.8%
- IT 人員不了解 OT 營運的需求:39.6%
- 傳統 IT 資安技術並非針對控制系統而設計,因此會造成 OT 營運的間斷:37.2%
由於 IT 和 OT 是截然不同的技術,因此企業得克服以下幾點障礙才能確保可視性能完整涵蓋 IT 與 OT 並提升資安能力。
障礙 1:老舊設備與 OT 特有的資安需求
- 老舊的裝置與網路容易成為企業整個 OT 環境的盲點。
- 採用傳統的 IT 資安技巧容易造成營運間斷。
即使您能夠將老舊設備也納入 OT 資產的完整盤點當中,但您有辦法評估其風險嗎?因此您有必要採取一些防範措施來確認它們是否還存在著漏洞或組態設定問題。
障礙 2:OT 資安人才和知識
- IT 資安團隊同時也必須管理 OT 資安的情況將成為一種常態。
- IT 資安人員必須了解其 OT 環境並根據 OT 系統的需求而調整資安。
讓 IT 資安人員接受 OT 資安訓練的情況相當普遍,此外,召集 IT 和 OT 團隊一起執行風險評估也是個有效辦法。還有,讓 IT 資安人員在 OT 工作一陣子 (反之亦然),當作一種企業內實習,從人力資源的角度來看,也有助於提升企業的資安能力。
勞力密集:OT 資安需要太多人力
除了可視性之外,這份調查也關注 OT 資安勞力密集的問題,因為他們必須了解 IT 和 OT 資安營運的差異才能讓整體的營運發揮效率。
根據 NIST CSF (網路資安框架) 所列的資安能力,我們請受訪者針對每項目能力的勞力密集程度給予低、中、高的評分。
結果,所有項目平均下來,有 41.4% 認為 OT 資安是高度勞力密集的工作。在 NIST CSF 的五大核心能力 (發掘、保護、偵測、回應、復原) 當中,「回應」是最勞力密集的 (50.3%)。
如果進一步仔細查看該項資安能力中的個別工作,其分數如下:
資安事件清除 54.3%
資安事件復原 47.5%
趨勢科技認為,這些 OT 資安工作之所以會勞力密集的原因,在於它們涉及了數量龐大且地理位置分散的資產設備。如同先前文章所說,監控工具尚未涵蓋整個環境,再者,人員必須親自到現場確認及判斷才能確認其安全性,也使得回應工作需要大量人力。
OT 事件回應
- OT 事件回應與復原需要一套特殊的流程,這套流程對於安全與可用性都特別要求。
- 另一方面,由於 OT 事件經常導因於 IT 端的攻擊,因此 IT 和 OT 團隊必須合作共同擬定事件回應計畫。
第一步就是透過超越 IT 與 OT 組織藩籬的討論來找出企業最重要的資產是什麼,以及這些資產面臨的威脅是什麼。此外,事件回應還包含了決策流程,因為,會對 OT 造成損害的事件,本身就會造成業務中斷。所以,如果能進一步掌握哪裡發生了什麼事情,以及您的整個網路如何受到影響,將有助您做出更好的決策。同時,在回應及復原的過程當中,一套可讓 IT 及 OT 團隊都能看到相同資訊並且協同合作的平台,將是高效率營運不可或缺的要素。
如欲了解更多有關趨勢科技的 OT 資安技術和平台如何協助您改善資安營運流程,請參閱此處。
參考資料:利用 ICS/OT 可視性打破 IT/OT 藩籬 (Breaking IT/OT Silos with ICS/OT Visibility) - 2023 年 SANS ICS/OT 可視性調查