Electrum Cloud 蔚藍雲 2024-04-29
越來越多製造業加入數位轉型的行列,這些企業在享受數位轉型帶來的增加效率、降低成本效益的同時,卻也必須面對日益複雜的資安風險,以及駭客憑藉 AI 技術不斷進化的攻擊手段。面對這樣的趨勢,在 TechOrange 科技報橘日前舉辦的「2024H1 資安實戰演練大會」論壇中,Electrum Cloud 蔚藍雲策略諮詢總監黎嘉龍特別提出為製造業量身打造的資安優化三步驟,循序漸進強化 IT 與 OT 環境的資安防禦能力。
製造業資安管理的三大挑戰
從台灣製造業的資安管理現況來看,普遍存在三大問題。第一是「企業不清楚內部資產狀況」,包括 IT/OT 環境中有哪些資產、各資產的重要性等,所以無法制定合適的管理策略,第二是「無法即時確認環境中的風險與弱點」,第三為「缺乏有效工具」,因此無法持續監控資安威脅與威脅情報,以及即時回應資安事件。
針對上述三大問題,黎嘉龍建議可以依據「網路分段」、「資安成熟度評估」到「落地實踐」三個步驟,循序漸進提升資安管理的透明度與可視化能力,以及事件回應速度,才能有效管控資安風險,同時降低資安事件造成的衝擊。
製造業強化資安第一步:落實網路分段,讓 IT 與 OT 只能單向溝通
第一步落實網路分段策略(Network Segmentation)。黎嘉龍分享,OT 環境中的設備通常不會一直更新,所以如果真的發生資安問題, 威脅就會從 OT 環境一路蔓延至 IT 環境。 因此透過「網路分段策略」將 IT 與 OT 環境切割開來,並確保 IT 與 OT 只能單向溝通,意即只有 IT 環境可以把資料傳送到 OT 環境中,OT 環境不能傳輸資料到 IT 環境,如此才能有效控制資安事件的衝擊範圍並加快解決問題的速度。
Electrum Cloud 蔚藍雲策略諮詢總監黎嘉龍認為製造業強化資安防禦的第一步,就是要「落實網路分段策略(Network Segmentation)」,並確保 IT 與 OT 只能單向溝通。
另外黎嘉龍特別強調,防火牆不適合用來進行 OT 環境的網路分段作業,因為防火牆導入後需要進行韌體更新、上 Patch 等定期維護,然而 OT 環境通常以產線正常運作為首要目標,很難停機一段時間讓工程師進行維護,因此黎嘉龍建議企業在切割 OT 環境的網段時,採用防火牆以外的工具。
第二步:進行資安成熟度評估,IT 與 OT 應採用不同資安框架
第二步是參考國際資安框架進行資安成熟度評估,例如 ISO 27001 資安標準、NIST CSF 網路安全框架、零信任成熟度模型(Zero Trust Maturity Model)與網路能力成熟度模型(Cybersecurity Capability Maturity Model;C2M2)等,助力企業瞭解目前在 IT 與 OT 環境中存在哪些風險或防禦缺口。
其中,零信任成熟度模型是近幾年相當熱門的議題,許多資安廠商也將「零信任」一詞作為賣點,向企業推廣解決方案。對此,黎嘉龍特別提醒製造業應注意兩個重點:第一是因為零信任框架主要針對「人」及其使用的裝置進行管控,所以並不適合應用在 OT 環境;建議採用美國網路安全和基礎設施安全局(CISA)或微軟提出的零信任成熟度模型,因為 CISA 為中立組織,其所提出的模型亦較為完整,而微軟則是因為目前很多製造業都是使用 AD(Active Directory)進行權限管控,所以採用微軟框架來評估零信任機制的成熟度,在後續改善及強化作業上會比較容易進行。最後,黎嘉龍也強調,針對 OT 環境,製造業也可以透過 C2M2 框架,並從資產、威脅、風險與回應等面向進行 OT 環境評估,在完成針對不同框架的整體評估後,Electrum Cloud 蔚藍雲即可為客戶產生一份完整的資安策略建議報告,讓客戶了解處理各種潛在資安風險的優先順序。
黎嘉龍建議製造業採用美國 CISA 或微軟提出的零信任成熟度模型,以強化資安防禦策略。
第三步:打造資安防禦網,實踐 IT 與 OT 環境資安工具的評估標準
第三步就是打造資安防禦網,選擇最有效及最適合的資安解決方案來保護 IT 與 OT 環境。
舉例來說,企業使用零信任成熟度模型進行資安評估後,下一步就是導入解決方案或調整管理政策以補強不足之處,倘若企業使用 AD 進行權限控管的話,可以選擇Microsoft Defender、Microsoft Intune、Microsoft Entra ID 等解決方案;如果沒有使用AD 的話,則建議用 JumpCloud platform plus。而針對 OT 環境,黎嘉龍建議企業需要特別採用 NIST CSF 網路安全框架,讓企業 OT 環境同時實施零信任與 NIST CSF,使資安防護更全面完整。
黎嘉龍強調,Electrum Cloud 蔚藍雲有一套完整的方法論,可以協助企業進行資安成熟度評估,並產出完整報表,詳細說明 IT/OT 環境目前的狀況,包括有待改善的問題、暗藏的資安風險以及這些風險對公司的衝擊等內容。接著,企業可以根據此報表提出的改善建議及優先順序,循序漸進強化資安防禦,進而形成完整的資安優化藍圖,協助企業逐步投入資源完備 IT 與 OT 環境的資安防禦機制,打造置身 AI 時代必備的強韌體質。
線