洛克威爾自動化(Rockwell Automation)發布《工業營運的100+網路資安事件剖析》報告,此次研究由Cyentia Institute針對全球分析122起直接影響營運技術(OT)與工業控制系統(ICS)運作的網路資安事件,每起事件均收集並檢視近百個資料點。
根據初版報告,近60%針對工業領域的網路攻擊是由國家附屬(State-affiliated)攻擊者所主導,其中約33%是由內部人員誤觸;這也證實其他產業研究報告表明,OT/ICS資安事件的規模與頻率皆持續成長,且主要針對如能源製造產業的關鍵基礎設施。
洛克威爾自動化全球網路資安服務商務總監Mark Cristiano表示,能源、關鍵製造、水處理與核設施,在已通報的關鍵基礎設施產業攻擊事件為多數,預期未來對網路資安攻擊通報的法規和標準將普遍更加嚴格,市場可望獲得針對資安攻擊性質、嚴重性和預防措施的洞察。
根據分析事件發現,近三年OT/ICS網路攻擊事件數量已超過1991~2000年之總和。受威脅的垂直產業別中,被攻擊次數最多的為能源產業(占39%),比位居第二的關鍵製造業(11%)與排名第三的運輸業(10%)多三倍以上。網路釣魚(34%)仍為最受攻擊者喜愛的手法,突顯分割(Segmentation)、物理隔離(Air Gapping)、零信任等網路資安戰略及安全意識訓練對於緩解風險的重要性。
此外,超過半數的OT/ICS事件是以資料蒐集與監控系統(SCADA)為目標(53%),可程式邏輯控制器(PLC)則排名第二(22%)。超過80%威脅者來自企業外部,然而三分之一事件中,內部人員扮演意外為威脅者打開大門的角色。
針對工業OT網路資安能力強化,洛克威爾自動化提出五項建議:(一)專注於防禦縱深,包括採用如零信任的結構及NIST網路資安框架等;(二)透過更強大的密碼與多重認證來保護遠端存取;(三)全年無休對威脅進行監控;(四)將IT與OT分割,善用能防止IT攻擊影響到OT環境的防火牆設定;(五)持續訓練內部員工認識最新的網路釣魚手法以及該如何防範。
在OT/ICS事件研究中,60%事件直接導致營運中斷,另外40%則造成未經授權的存取與資料外流;然而,網路攻擊造成的損害還會延伸到受影響企業之外,其中65%攻擊事件擴大連帶至供應鏈。
研究指出強化IT系統資安是關鍵基礎設施與製造設施預防網路攻擊的重要手段,80%以上的OT/ICS事件皆始於IT系統入侵,其原因為跨IT/OT系統與應用程式的連線功能越來越多,賦予OT網路及外界溝通能力的IT系統成為OT攻擊者的突破點,顯現部署合適的網路架構對於強化企業的網路資安防禦能力極其重要。
僅在IT與OT環境間建置防火牆已無法落實資安維護,因網路與裝置每天都會連線到OT/ICS環境中,造成多數工業環境設備曝露在老練的攻擊者前,因此擁有強大和現代化的OT/ICS資安計畫必須成為每個工業企業維持安全、穩定營運與可用性責任的一部分。
ARC顧問集團網路資安顧問服務副總Sid Snitkin表示,OT與ICS網路資安事件顯著成長,企業應立即改善網路資安現狀,否則將面臨成為下一個入侵對象的風險。工業企業的資安威脅形式持續演進,對於企業及關鍵基礎設施而言,遭入侵的成本相當沉重,藉由此份報告的發現,顯示企業建置完整網路資安策略的急迫需求。