關於網路實體系統安全的關鍵基礎設施,不管是由OT/IT匯集而來的或是因應數位轉型而設立的新環境,其安全疑慮是不斷增加的!下面的預測將幫助安全及風險管理領導者預測即將到來的風險及機會。
關於網路實體系統安全(CPS)的重點現象
報告在研究網路實體安全議題時,有幾個重點發現要提供給安全及風險管理領導者例如 CIOs, CISOs, CSOs, CTOs and COOs:
🔹近年組織內對關鍵基礎區域的攻擊已大量增加,從2013年的10起到2020的400筆,有將近有3,900%的成長。
🔹透過破壞實際流程來攻擊流程完整性,可造成致命影響,尤其當工廠操作員忽略發現的改變時。
🔹世界各國政府現在都明白他們的國家關鍵基礎多年來來已成為不為人知的戰場。他們對關鍵任務的網路實體系統(Cyber-Physical Systems ,以下簡稱CPS)強化更多的安全管制,同時在強化國家安全上投入更多努力,以因應對關鍵基礎的攻擊。
🔹傳統以網路為中心,單點部署在關鍵基礎設施營運的安全工具,已不再適用於快速及複雜的的新興威脅環境。
安全策略規劃假設
依據過去觀察到的現象,報告提出五個未來策略規劃的假設:
🔹 到2024年,網路攻擊將對關鍵基礎造成嚴重破壞,以致於G20會員公開聲明將以物理方式反擊。相關資料參考What Israel's Strike on Hamas Hackers Means For Cyberwar
🔹 到2024年, 80%的關鍵基礎組織為了橋接網路實體及資訊風險,將採用超融合解決方案來達成,同時也將放棄現有孤立的安全解決方案供應商
🔹 到2025年,攻擊者將利用關鍵基礎網路實體系統,將之化為武器,以成功地傷害或殺戮人類
🔹 到2025年,30%的關鍵基礎組織將經歷一個安全問題,一個導致運營或關鍵任務網路實體系統停止的問題
🔹 到2026年,僅少於30%的關鍵基礎擁有者及操作者,可以達到政府強制對網路實體系統的安全要求
關鍵基礎設施在哪裡?
世界上每個人賴以生活及讓社會正常運作的都可稱之為關鍵基礎設施。以美國為例,在總統政策指令21(Presidential Policy Directive-21,PPD-21)中,有16個行業被設為關鍵基礎設施,說明如下:
|
行業別 |
說明 |
|
01.化工類Chemical |
將原料轉換為造福社會的必需品 |
|
02. 商業設施Commercial facilities |
指人群聚集的地方,例如主題公園、體育場等。 |
|
03.通信Communication |
包含有線、無線及衛星通信等支持社會的溝通方式。 |
|
04.關鍵製造Critical Manufacdturing |
指將材料加工成重要的成品,例如電器設備、運輸設備等 |
|
05.水霸Dams |
包含支持電力生產、飲用水及導航術的堤防、水霸、運河、水閘。 |
|
06.國防工業基地Defense industrial base |
指供應軍武用品及服務以支持國家安全的公司 |
|
07.緊急服務Emergency Services |
指救援、緊急醫療服務、執法及公共安全功能等。 |
|
08.能源Energy |
包含油電、天然氣的提煉、儲存、分配及輸送電力等行業。 |
|
09.金融服務Financial Services |
處理財務交易的組織,例如銀行、信用單位、保險公司、共同基金及養老基金。 |
|
10.糧食與農業Food and agriculture |
確保人類食物及動物飼料的安全、可用及保障。 |
|
11.政府設施Government facilities |
確保所有聯邦、州、區域、當地設施持續運作。 |
|
12.醫療保健及公共衛生Healthcare and public health |
包含醫療保健提供者、醫療保健計劃及付款人、藥品、實驗室、醫療材料、殯儀館照護及其它公共衛生相關事項 |
|
13.資訊科技Information technology |
包含軟體、硬體及服務提供商 |
|
14.核反應、原料及核廢棄物Nuclear reactors, materials and waste |
包含反應堆、核燃料設施,及其運輸、儲存、設備停用、核電及材料的廢棄處理等。 |
|
15.交通運輸系統Transportation systems |
確保人及商品能經由所有系統自由移動或運送,例如航空、公路、鐵路、海運、地鐵 |
|
16.水資源及廢水處理系統Water and wastewater systems |
確保安全飲用水及適當地處理廢水 |
關鍵基礎設施被攻擊已經是進行式
隨時間推移,關鍵基礎設施也變得數位化並與企業IT系統互相連接,更甚者還建立了網路安全系統。關鍵任務的網路實體系統CPS通常會以新、舊兩種資產組成,舊的資產屬於多年前設備,沒有內建安全機制,這也表示CPS存在很多即有漏洞。這樣的現況將帶來駭客大量的攻擊,由過去的案例我們不難發現這個現象,例如:
🔹2015年12月,烏克蘭電網遭受攻擊導致停電。詳細資訊可參考Ukraine power grid hack。
🔹2020年,以色列及伊朗持續對彼此的水系統、港口等基礎設施互相進行網路攻擊。詳細可參考Two more cyber-attacks hit Israel's water system。
🔹2021年7月,FBI及CISA公佈一個自2011-2013期間不尋常的天然氣管線入侵活動訊息-天然氣管道透過網路的入侵活動訊息(Chinese Gas Pipeline Intrusion Campaign, 2011 to 2013)
🔹 其它還包含地鐵運營商被駭客入侵並取得密碼(Colonial Pipeline)、肉類包裝供應商支付1100美元解決勒索軟體事件(JBS)、穀物供應商同樣遭受勒索軟體攻擊(NEW Cooperative)以及醫院等
關鍵基礎設施被攻擊將帶來環環相扣的影響
與關鍵基礎設施相關的行業不僅對社會正常運作至關重要,且各行業間也有著依相互依存的關係,其中任一個行業遭受攻擊或風險,都會對人們的生活直接產生影響。例如當水資源及廢水處理系統受威脅而無法正常運作時,除了無法取得正常飲用水外,還將同步影響醫院運作、消防局無法滅火、農業區無法灌溉、核設備無法取得水來冷卻反應爐等,一個行業失常,接下來就會產生連環效應。
建議採取的措施
關鍵基礎設施安全重要性,由此可知,因此報告也提出幾項建議供參考如下:
🔹透過在OT、IoT,IIoT及IT進行完整部署的方法,來發展CPS安全策略並列入管理。
🔹除了資料分類方案外,也透過模型化對人類生活的影響來評估成熟風險與影響。
🔹將關鍵基礎緊急安全指令納入國家治理。以美國為例,國家安全備忘錄針對關鍵基礎控制系統改善網路安全(National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems),正優先把電力及天然瓦斯管線部門納入考慮,其次是水力/廢水處理及化工部門。
🔹透過盤點所有組織內使用的OT/IoT安全方案以加速CPS安全覆蓋性,同時評估與IT安全工具有互操作性(Interoperability),且不斷增長的獨立或多功能運作的平台。
我的個人觀點
在這網網相連、什麼都上雲、虛擬商品火紅的時代,資安都繞著這些新議題跑,相較之下很少人討論網路實體資安問題!其實網路實體資安問題一直都在,只是它較不具備話題性,所以媒體較少談論而已。直到近年網因為IoT興起的關係,網路攻擊行為也開始由IT環境轉向OT環境,這類的攻擊事件開始導致民生建設出狀況,甚至發生公眾設施癱瘓等事件,焦點才又回到網路實體安全上,這也是我對這篇文章有興趣並想分享的原因。只要網路存在的一天,資訊安全永遠都是不會停止的議題!
關聯文章
【IT趨勢】Gartner提出2021-2022年的前8名網路安全預測(Top 8 Cybersecurity Predictions)
【資安觀察 】這些年各大資安事件帶來的Lessons Learned
感謝以下參考資料來源
📙Predicts 2022: Cyber-Physical Systems Security — Critical Infrastructure in Focus
📙What Israel's Strike on Hamas Hackers Means For Cyberwar
📙Ukraine power grid hack
📙Two more cyber-attacks hit Israel's water system
📙Chinese Gas Pipeline Intrusion Campaign, 2011 to 2013
留言列表
{{ article.title }}