全球製造業邁向自動化與數位化轉型,OT 設備與網路串聯程度逐步上升,升級資安策略勢在必行,以往被動的防禦思維應轉朝主動整合的防護架構,主動採取全方位資安策略,以應多變的網路攻擊、管理資安風險。
IT / OT 結合升效率也增資產曝險
洛克威爾自動化日前針對美國國家標準與技術研究所(NIST)的網路安全框架(CSF),發布自家白皮書,書中引用2024-2025 IDC 製造業洞察報告,多數企業的 OT 資安仍採取被動策略,只有在遭遇重大危機後才決心投入預算。
洛克威爾自動化解決方案暨工程服務事業部總監王展帆指出,數位轉型使IT 與 OT 結合加速生產效率,卻讓資產曝險比過往提升,因此該公司積極提供解決方案與顧問協助,目的就是在縮短企業在 IT/OT 間的技術與認知差異、穩固資安基礎,提升整體防禦韌性。
治理驅動營運 升級資安風險管理
洛克威爾自動化表示,NIST CSF 2.0 版新增治理為第6項核心功能,強調資安風險管理應升級為組織營運層級,洛克威爾的白皮書呼應並指出,治理為串聯網安策略的要素,藉以建立可規模化、高適應性的資安架構。
在工業環境中,通常IT 與 OT 團隊各司其職,所以企業必須事先明定政策歸屬,以便風險發生時釐清權責、簡化溝通流程、有效分配資源,強化防禦與應變效能。同時,透過跨部門演練模擬或建立共通語言,確保各防禦階段相互補強與協同發展;定期檢視資安政策與流程,才能由內到外稽核驗證企業各項措施,完善營運管理及資安環境。
三階段資安防禦週期 增企業韌性
OT 資安風險不僅造成數據外洩或停機影響,更面臨製程異常等物理性過失,對企業商譽與經濟將帶來顯著危害。不過,現階段 OT 環境仍有許多設備尚未具備現代資安防禦補強標準。對此,洛克威爾以建立資產識別與保護機制、日常營運側重風險偵測與完善回應與復原計畫三階段防禦週期,總結 NIST 五大架構。
其中,在優先建立資產識別與保護機制方面,工業設備老化、未知漏洞和有限的安控範圍為資安受到攻擊的主要破口,企業應先建立資產盤點、網路拓樸、資料流圖(Data-Flow Mapping),以提升OT環境的可視度;在網路架構中實現微分段(Micro-Segmentation)、物理隔離(Air-Gap)與端點管理,以減少攻擊面強化整體防禦力。
建立長期韌性監測機制 復原框架
在日常營運側重風險偵測階段,高階攻擊者通常長期潛伏在 OT 環境中,以逐步測試與尋找攻擊機會,因此企業需在工業環境中建立允許長期運作、具備韌性的監測機制。為全面檢視潛在風險,應落實網路流量分析結合機器學習以建立安全網,同時於端點層級建立監控與日誌相關(Log Correlation)分析,落實全面性防禦策略。
在第三階段完善回應與復原計畫方面,落克威爾指出,當攻擊發生時倉促應對與錯誤復原往往導致更大損害,企業應配套針對性流程指引與行動手冊、模擬真實工業控制系統(ICS)的環境演練以備並對抗威脅;透過跨 IT/OT 部門進行沙盒(Sandbox)試驗或低負載環境測試,也是漸進建立復原框架的作法。
全方位資安防護 強化整體防禦力
洛克威爾自動化指出,數位環境日益複雜更凸顯全方位資安防護的重要性。企業在工具導入時,應審慎與既有系統整合,以降低產線運作干擾;在人為防線方面,則應鼓勵主動通報文化,有助即時應對威脅;同時,透過定期稽核與實戰演練,持續強化整體防禦力。
延伸閱讀
