在這篇部落格中，我們將重點介紹Filip在最近的網路研討會中涵蓋的要點，以及其他OT防禦主題。

關鍵概念

在討論資訊科技（IT）與運營技術（OT）的整合，以及Flowmon平台如何協助保障面對關鍵基礎設施及其他工業供應商的擴大攻擊面之前，我們先來定義一些重要概念。

• 資訊科技 (IT) – 傳統的數據與數位通信系統，網路安全的努力歷來專注於伺服器、網路、用戶和終端設備。
• 操作技術 (OT) – 監控物理過程、機器、感測器及控制系統的硬體和軟體，這些系統管理關鍵基礎設施及其他物理系統。
• 工業控制系統 (ICS) – 用於管理工業運營的OT子集。
• 監控控制與數據獲取 (SCADA) – 一種特殊類型的ICS，用於工業環境中實時數據收集和對物理設備的遠端控制。

傳統上，OT 系統與 IT 網路及 IT 網路管理解決方案是分開的。然而，隨著越來越多的 OT 和工業系統連接至網際網路，這種分離逐漸消失。為了能夠遠端監控和管理 OT 系統及其控制的設備，這一變化變得勢在必行。然而，隨著 OT 系統加入 IT 網路，它們也開始面對多年來一直針對 IT 系統的威脅。

OT與關鍵基礎設施風險

OT 系統為監控和控制對現代世界至關重要的服務提供支撐。OT 重要性突出的範例包括：

• 電力生成及配電網
• 天然氣儲存與分配
• 飲用水處理與供應
• 廢棄物清除與處理
• 公共交通系統 – 航空交通、火車網絡、公車服務及道路網管理
• 健康服務提供
• 銀行及其他金融服務
• 食品的生產、加工與分配
• 太空服務（如地理定位和通訊）

美國和歐盟都對關鍵基礎設施進行了分類定義。美國的名單可以在 CISA網站 找到，而歐盟的名單則可以在他們的 歐盟層級的關鍵基礎設施韌性 頁面查看。

任何這些服務如果長時間中斷，其後果對於城鎮、城市、地區、州甚至整個國家來說都可能是災難性的。正如Filip在網路研討會中所指出的，這些服務中斷的後果可能包括：

• 電力故障 – 可能導致醫療服務中斷、通信系統停擺、工業基地關閉及零售商店倒閉。
• 交通癱瘓 – 鐵路系統停運、供應鏈延遲及一般交通混亂。
• 燃氣網絡停擺 – 造成失去暖氣、工業停工以及對弱勢族群的健康風險。
• 水系統受損 – 影響公共健康，需進行緊急飲用水分發。
• 銀行系統故障 – 影響購買食物的能力、零售商業損失及更廣泛的經濟衝擊。

為什麼OT系統是高價值目標

OT系統與IT網路之間的整合日益加深，這一點已引起網路犯罪分子的注意。這些攻擊者正積極尋找可以在線探測以漏洞利用的OT系統。這些OT系統通常負責控制先前提到的關鍵基礎設施，或至少是在製造業及其他商業中扮演重要角色的系統，是高價值的攻擊目標。由於遺留問題的影響，這些OT系統在安全防護上通常非常複雜，主要原因包括：

• 防護不足 – 許多 OT 系統的設計可追溯到幾十年前，當時在設計和佈署過程中並未充分考慮網路安全。
• 過時 – 大量的 OT 控制PC仍在使用舊版作業系統，如 Windows XP。
• 更新困難 – 更新 OT 控制PC常常需要停工，且許多設備位於需要技術人員昂貴現場訪問的地點。因此，這成為將它們納入企業網路進行遠端管理和更新的重要原因。
• 風險 – 成功的 OT 攻擊可能導致機械設備的物理損壞，而不僅僅是數位影響，如資料遺失或 ransomware 的散佈。

如果關鍵基礎設施的控制權受到威脅，這可能會導致安全問題。美國環保署（USA EPA）估計，為 1.93億美國公民提供服務的飲用水系統 容易受到OT網路攻擊。如果駭客開始提高我們飲用水的PH值會怎麼樣？想想看後果會有多嚴重。

犯罪份子會優先攻擊OT系統，因為從他們的角度來看，這樣做可以帶來許多好處，例如因破壞高知名度的關鍵基礎設施系統而獲得新聞報導。這種破壞通常與國家級的破壞活動相關，因為國家行為體不需要為他們的攻擊索取贖金——破壞本身就是目的。有些並非國家支持的攻擊者也會破壞關鍵基礎設施，只是為了在犯罪和黑客圈子中獲得知名度。

著名OT攻擊範例

Filip 在網路研討會中概述了一些對 OT 系統攻擊的顯著例子：

Stuxnet (2010) – 一次針對性的攻擊，旨在潛伏性地感染伊朗用來提煉鈾的離心機，並對其造成損害。這些管理離心機轉速的控制系統與外部網路是隔離的。攻擊者設計了Stuxnet惡意程式，能夠在ICS控制器上運行。它使離心機的轉速加快，直到損壞。這個惡意程式還向ICS系統報送虛假的信息，以使操作人員沒有察覺到轉速的變化。最終，大量離心機因物理損壞而失效。

安全專家認為 Stuxnet OT 惡意程式是 OT 專注網路戰的起源，因為這個惡意程式是由支持伊朗國家的對手創造的。你可能會想知道攻擊者是如何將他們的惡意程式放進空氣隔離的 OT 控制器。大家都認為他們是透過將 USB 存儲設備帶入核電廠，並讓廠內員工不經意發現的方式來引入惡意程式。記得：你在辦公室停車場找到的 USB 隨身碟千萬不要隨便撿起來使用！

Colonial Pipeline (2021) – 2021年對於Colonial Pipeline的勒索病毒攻擊是因為一個過期的VPN帳號被劫持而引發的，該帳號來自先前的一次資料洩漏。當攻擊者對IT網絡、伺服器和個人電腦部署勒索病毒時，IT團隊出於謹慎決定，關閉了控制美國東北部大範圍石油產品流動的OT設備。這次關閉導致加油站的汽油短缺，主要是因為民眾恐慌性搶購，進而造成價格飆升與機場的航空燃料短缺，造成延誤。最終，管道運營商向攻擊者支付了440萬美元的贖金。美國執法單位後來追回了一部分贖金。

典型的OT攻擊情境

我們將通過一個典型的攻擊情境，來探討在 ICS/SCADA 防護面對來自外部攻擊的解決方案 視頻中的內容。這個情境說明了內部威脅如何在OT系統與更大網路之間的空氣間隙中部署惡意軟體。不要忘記如同 Stuxnet 範例所述的疏忽方式，可以用來跳過空氣間隙。一個常見的攻擊情境包括：

1. 一名員工為了例行維護，將一台受感染的筆記型電腦連接到ICS網路。
2. 惡意程式專門設計為只在連接到工業網路時啟動。
3. 攻擊持續進行，正常作業照常運行，惡意程式則努力避免被發現。
4. 惡意程式進行網路偵查，掃描尋找易受攻擊的設備，例如具有已知Samba協定的139端口漏洞的任何設備。
5. 當惡意程式獲得對控制系統的未經授權訪問並提升其權限時，攻擊進一步升級。
6. 惡意程式更改ICS參數以造成物理損害，例如操控冷卻系統，導致溫度上升，損壞機器設備。

這通常發生在ICS監控系統顯示一切正常的情況下，因為惡意程式也在掩蓋它所做的變更，並操控系統到監控站的數據流。這導致了所謂的檢測空隙。

Flowmon 彌補了偵測的空白

有經驗的網路安全專業人士知道，無論是防禦邊界或人為的網路安全防護措施，都無法達到百分之百的可靠性。他們明白預防措施最終會失效，因此需要計畫如何偵測及回應已經在網路上活動的攻擊者。

這款 Flowmon 網路偵測與響應 (NDR) 解決方案能讓您深入了解網路流量，不論是在雲端、本地端或混合環境中的 IT 網路或 OT 環境。Flowmon NDR 根據行為變化來偵測異常，並且優先處理威脅，幫助安全團隊對真正的威脅活動做出自信的反應。

Flowmon 讓您的團隊可以透過多種偵測技術來檢測出潛在的安全威脅（以下列表摘自我們的 機器學習與人工智慧解析 部落格）：

• 機器學習 – Flowmon 威脅偵測利用機器學習的力量即時識別異常並減輕網路威脅。它結合了監督式和非監督式學習技巧來偵測已知和未知的威脅。Flowmon 的 AI 模型在大量歷史網路數據上訓練，並隨著運作持續更新與學習。當新的威脅模式出現時，AI 可以學習並適應。
• 啟發式 – Flowmon 的 AI 模型能夠根據歷史數據和即時的威脅情報，幫助細化和優化啟發式規則。這樣可以減少誤報並提升基於行為的啟發式準確性。
• 模式匹配 – Flowmon AI 的能力透過學習識別可能逃避傳統基於簽名的偵測的新威脅模式和變種來增強模式匹配。機器學習模型也能持續學習和適應。
• 異常偵測 – Flowmon 平台中的學習算法結合統計異常偵測方法，以識別網路流量中可能指示攻擊或威脅的異常模式或行為。

透過這些方法並行運作，Flowmon 網路監控能讓您清楚了解 IT 與 OT 網路的狀況。當偵測到異常活動時，您的 IT 團隊和營運團隊會立刻收到警報，讓他們能迅速反應，以控制並消除任何威脅。部署 Flowmon 網路安全解決方案來監控您的 IT 和 OT 網路，將為您的組織提供一位 24 小時、隨時待命的安全專家，絕不會疲倦或打盹。

Flowmon 平台還透過人類能理解的警報和報告來傳達其檢測到的威脅，這些報告使用廣為認可且定義清晰的 MITRE ATT&CK framework。這使得每個人都能更容易理解攻擊的意圖和嚴重性，即使是對技術不熟悉的管理者等人員，也能及時掌握發生的情況。

客戶成功故事

EG.D是一家電力和天然氣公用事業公司，為捷克共和國南波希米亞和南摩拉維亞地區的超過一百萬個用戶提供服務。他們必須確保電力和天然氣24小時不間斷供應。為了減少因網路攻擊而導致的服務中斷風險，他們意識到需要提升對其OT網絡和變電所LAN的可見性。他們需要一種解決方案，能支援OT網絡中使用的標準變電所協議，並具備將IPFIX數據轉發至SIEM的能力。

根據我們的 客戶成功案例頁面 所述，EG.D 部署了一套 Flowmon 解決方案，包含約 90 個 Flowmon 探測器在網路的關鍵點收集數據，而現有的路由器則提供額外的網路流量統計資訊。所有數據最終會在中央虛擬 Flowmon Collector 中進行儲存和分析。

他們從Flowmon的部署中立刻看到了成效，包括：

• 立即識別配置錯誤的裝置
• 在一個集中位置提供穩健的流量可見性
• 實時警告新興或潛在的問題
• 深入的網絡使用洞察及瓶頸識別
• 網絡威脅暴露及流量異常報告

「在系統部署後不久，我們就能識別出幾個配置錯誤的設備。多虧這個解決方案所提供的洞見，我們可以在一個地方查看所有的流量，並且能即時收到任何新出現或潛在問題的警示。它提供我們有關網路使用情況的信息，精確找出潛在的瓶頸、揭露網路威脅，並報告各種網路流量異常。」 – Martin Keprt，EG.D. 資安及實體安全管理部門負責人

最後的想法

組織將持續將OT系統與傳統的IT系統整合。這意味著即時檢測任何安全漏洞的需求將變得更加重要。如果漏洞未被及時發現，讓攻擊者有足夠的時間進行他們想做的事情，可能會帶來嚴重的財務、聲譽及政治後果。

別等到您的操作技術（OT）或資訊技術（IT）防線出現漏洞才感到措手不及。試試看 Flowmon 網絡安全平台，看看其 AI 驅動的洞察如何提升您網絡的偵測與響應能力。請造訪 Flowmon 平台頁面 獲取更多產品詳情，以及 Flowmon 異常偵測系統（ADS）頁面 以獲取我們 ADS 的進一步資訊。聯繫我們，與專家交談並安排 20 分鐘的實時示範，了解 Flowmon 威脅偵測如何幫助改善您組織的安全性。

文章來源: IT and OT Convergence: Defending Critical Infrastructure