营运科技成黑客目标 Fortinet堵截网络攻击

近年不少基建及工业设施，包括电网甚至输油管受到网络攻击，近期美国网络安全及基建安全局（CISA），联同美国能源部、国家安全局、联邦调查局，罕有发出警告，指黑客以进阶持续性威胁（APT），针对工控系统（ICS）/ 监控和数据采集（SCADA）等营运科技（Operational Technology，OT）系统发动攻击，要求业界警愓安全风险。

传统上，OT科技系统很少关注网络安全，原因是系统往往与世隔绝，不会连接至互联网，但随物联网技术兴起，工厂纷纷引入智能技术和机器人，数据传送分析或机器学习，不少设备须上网，攻击面大增。ICS和SCADA系统几乎无处不在，全球的基础设备；包括核电站、电网、发电设备、运输业、输油、工厂、公共事业，都有不同的控制和数据采集系统，无一不正受威胁。

全方位自动化网络保安服务方案供应商 Fortinet曾公布《2021 OT与网络安全现况调查报告》（2021 State of Operational Technology and Cybersecurity Report），显示有九成的OT营运科技，2020年至少被入侵一次。

Fortinet东南亚及香港地区资讯安全总监邝伟基指，OT设备数量大，加上位置分散，全天候运作，要求快速部署和稳定，保安以往不是优先考虑；传统上认为只要机器不上网，系统与外界隔离接触，即所谓「实体隔离」（Air Gap）部署，就可以安寝无忧。

实体隔离难以实行

较早前，Fortinet举办Fortinet Secure Operational Technology 2022，讨论了OT保安趋势，不少讲者以为传统OT确可与其他系统分开，但随著设备产生大量的数据，加上设备智能化，不少数据须传送IT系统分析，

邝伟基说，例如智能电表等蒐集数据，要送至财务系统处理，OT系统完全可实体隔离的系统，愈来愈少。

「不少工业发现，愈来愈难建立完全与外界隔离的系统，系统有时要远程登入维护，或者进行远程监察，甚至要接入云端。」邝伟基指，即使系统位于封闭的状态，数据还是有可能在边缘位置被窃。以色列有大学证实了能以恶意程式，通过控制记忆体的电流，产生出2.4GHz的WI-Fi频率，毋须管理权限可在附近透过Wi-Fi下载数据，称之为「AIR-FI」攻击。

清晰分界厘清权责

上述听似间谍情节，足以证明即使没有网络，黑客亦可下手。邝伟基说，黑客可从设备的实体连接埠盗取数据或接入，任何边缘设备均须从设计阶段，加入保安设计（Security by design），确保不受干扰。

以往管理OT系统的团队，较少经验处理资讯保安，有时黑客确可长驱直进。邝伟基指，资讯科技（IT）团队一般网络保安经验丰富，有时碍于团队交流不足，导致出现真空，所以清晰理解数据的流向，厘清拥有权谁属，IT和OT有清晰分界后，就能落实保护责任。

其次是企业可建立数据策略，掌握数据分类，尤其OT会产生大量数据，必须权衡数据优次和保留策略，无论储存和传送的阶段，数据应全程加密。

软件漏洞成致命伤

不过软件漏洞始终是OT系统最大弱点；OT采用了大量单板电脑和微处理器（MCU），厂商设计时往往只集中功能，不特别考虑到保安；到了设备上线之后，可能就是全天候操作，甚至24×7，即使发现了漏洞，也再没时间停机更新修补软件。

OT系统经常发现弱点，但修补漏洞速度不如IT系统，即使软件供应链，有时亦被黑客攻击，难确保滴水不漏，留下攻击后门。

邝伟基说，OT产生数据量异常庞大，而IT团队经常可能通过API，以方便与OT交换数据，预计API保安将是重要课题。

长远而言，邝伟基以为OT应建立客观量度标凖和管治机制，长远才可管控风险；IT资讯科技早有国际标准组织定义的管理标准，例如ISO27001标凖持续改善。OT暂没相应工业标凖，业界亦出现针对工控系统IEC 62443保安标凖，而 Fortinet方案亦遵从有关标凖。

无论如何，OT须堵塞软件漏洞，实施专门用于OT的零信任（ZTNA）机制，杜绝连网带来风险，一旦OT环境内有软件漏洞和风险，而作业系统或软件又暂未获原厂修补更新之前， Fortinet防火墙可以采用针对漏洞入侵的虚拟修补（Virtual Patch），以防范入侵，马上堵塞漏洞。

智能化设备和物联网是大势所趋，令基建和工业生产效率大幅跃进，不过OT系统保安无法与时并进，就难以享受带来的好处。
 

（资料由客户提供）