營運科技成黑客目標 Fortinet堵截網絡攻擊

近年不少基建及工業設施，包括電網甚至輸油管受到網絡攻擊，近期美國網絡安全及基建安全局（CISA），聯同美國能源部、國家安全局、聯邦調查局，罕有發出警告，指黑客以進階持續性威脅（APT），針對工控系統（ICS）/ 監控和數據採集（SCADA）等營運科技（Operational Technology，OT）系統發動攻擊，要求業界警愓安全風險。

傳統上，OT科技系統很少關注網絡安全，原因是系統往往與世隔絕，不會連接至互聯網，但隨物聯網技術興起，工廠紛紛引入智能技術和機器人，數據傳送分析或機器學習，不少設備須上網，攻擊面大增。ICS和SCADA系統幾乎無處不在，全球的基礎設備；包括核電站、電網、發電設備、運輸業、輸油、工廠、公共事業，都有不同的控制和數據採集系統，無一不正受威脅。

全方位自動化網絡保安服務方案供應商 Fortinet曾公佈《2021 OT與網絡安全現況調查報告》（2021 State of Operational Technology and Cybersecurity Report），顯示有九成的OT營運科技，2020年至少被入侵一次。

Fortinet東南亞及香港地區資訊安全總監鄺偉基指，OT設備數量大，加上位置分散，全天候運作，要求快速部署和穩定，保安以往不是優先考慮；傳統上認為只要機器不上網，系統與外界隔離接觸，即所謂「實體隔離」（Air Gap）部署，就可以安寢無憂。

實體隔離難以實行

較早前，Fortinet舉辦Fortinet Secure Operational Technology 2022，討論了OT保安趨勢，不少講者以為傳統OT確可與其他系統分開，但隨著設備產生大量的數據，加上設備智能化，不少數據須傳送IT系統分析，

鄺偉基說，例如智能電錶等蒐集數據，要送至財務系統處理，OT系統完全可實體隔離的系統，愈來愈少。

「不少工業發現，愈來愈難建立完全與外界隔離的系統，系統有時要遠程登入維護，或者進行遠程監察，甚至要接入雲端。」鄺偉基指，即使系統位於封閉的狀態，數據還是有可能在邊緣位置被竊。以色列有大學證實了能以惡意程式，通過控制記憶體的電流，產生出2.4GHz的WI-Fi頻率，毋須管理權限可在附近透過Wi-Fi下載數據，稱之為「AIR-FI」攻擊。

清晰分界釐清權責

上述聽似間諜情節，足以證明即使沒有網絡，黑客亦可下手。鄺偉基說，黑客可從設備的實體連接埠盗取數據或接入，任何邊緣設備均須從設計階段，加入保安設計（Security by design），確保不受干擾。

以往管理OT系統的團隊，較少經驗處理資訊保安，有時黑客確可長驅直進。鄺偉基指，資訊科技（IT）團隊一般網絡保安經驗豐富，有時礙於團隊交流不足，導致出現真空，所以清晰理解數據的流向，釐清擁有權誰屬，IT和OT有清晰分界後，就能落實保護責任。

其次是企業可建立數據策略，掌握數據分類，尤其OT會產生大量數據，必須權衡數據優次和保留策略，無論儲存和傳送的階段，數據應全程加密。

軟件漏洞成致命傷

不過軟件漏洞始終是OT系統最大弱點；OT採用了大量單板電腦和微處理器（MCU），廠商設計時往往只集中功能，不特別考慮到保安；到了設備上線之後，可能就是全天候操作，甚至24×7，即使發現了漏洞，也再沒時間停機更新修補軟件。

OT系統經常發現弱點，但修補漏洞速度不如IT系統，即使軟件供應鏈，有時亦被黑客攻擊，難確保滴水不漏，留下攻擊後門。

鄺偉基說，OT產生數據量異常龐大，而IT團隊經常可能通過API，以方便與OT交換數據，預計API保安將是重要課題。

長遠而言，鄺偉基以為OT應建立客觀量度標凖和管治機制，長遠才可管控風險；IT資訊科技早有國際標準組織定義的管理標準，例如ISO27001標凖持續改善。OT暫沒相應工業標凖，業界亦出現針對工控系統IEC 62443保安標凖，而 Fortinet方案亦遵從有關標凖。

無論如何，OT須堵塞軟件漏洞，實施專門用於OT的零信任（ZTNA）機制，杜絕連網帶來風險，一旦OT環境內有軟件漏洞和風險，而作業系統或軟件又暫未獲原廠修補更新之前， Fortinet防火牆可以採用針對漏洞入侵的虛擬修補（Virtual Patch），以防範入侵，馬上堵塞漏洞。

智能化設備和物聯網是大勢所趨，令基建和工業生產效率大幅躍進，不過OT系統保安無法與時並進，就難以享受帶來的好處。
 

（資料由客戶提供）