https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素

2025 / 01 / 17
編輯部
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
美國網路安全暨基礎設施安全局(CISA)與國際合作單位近日發布《Secure by Demand: Priority Considerations for Operational Technology Owners and Operators when Selecting Digital Products》指南,為營運技術(OT)設備採購提供安全建議。該指南強調,在選購OT產品時,應優先考慮具備安全設計(Secure by Design)特性的製造商。

12項關鍵要素

CISA建議OT擁有者和營運商在採購時,應選擇優先有實施以下安全實踐的OT產品:
  1. 配置管理:產品應支援控制和追蹤配置設定與工程邏輯的修改,並能以安全簡單的方式備份和部署系統配置。
  2. 基本日誌記錄:基礎版本即應支援所有行為的日誌記錄,包括配置更改、安全事件和安全性事件,並使用開放標準的日誌格式。
  3. 開放標準:產品應使用開放標準來支援安全功能和服務,以及遷移配置設定和工程邏輯。
  4. 所有權:產品應給予擁有者和營運商完整的自主權,包括維護和變更的權限。
  5. 資料保護:產品應保護資料、服務和功能的完整性與機密性,包括產品的配置設定和工程邏輯。
  6. 預設安全:產品出廠時應預設安全配置,減少攻擊面並降低擁有者和營運商的負擔。
  7. 安全通訊:產品應支援安全的認證通訊,並部署數位憑證。
  8. 安全控制:產品應具備抵禦惡意命令的能力,保護核心功能的可用性。
  9. 強大的身份驗證:基礎版本應具備適當的存取控制措施,包括角色基礎存取控制和防釣魚的多因素認證。
  10. 威脅建模:產品應具備完整詳細的威脅模型,並持續更新。
  11. 漏洞管理:製造商應建立全面的漏洞管理機制,確保產品不含已知的可利用漏洞。
  12. 升級和修補工具:產品應具備完善的修補和升級流程,並支援免費升級至受支援的作業系統版本。

OT設備製造商應關注

值得注意的是,歐盟的NIS2指令要求關鍵基礎設施和某些服務提供者採取措施,確保其網路部署的產品安全。此外,歐盟的無線電設備指令授權法規將從2025年8月1日起實施,網路韌性法案也已於2024年12月10日生效。

CISA指出,關鍵基礎設施和工業控制系統是網路攻擊的主要目標。威脅行為者在入侵OT環境時,往往針對特定OT產品而非特定組織進行攻擊。許多OT產品在設計和開發時未納入安全設計原則,常存在容易被利用的弱點。

透過嚴格執行要求和優先採購具備上述安全要素的產品,關鍵基礎設施組織可以幫助緩解當前和新興的網路威脅,並為淘汰傳統環境創造條件。同時,這也向OT設備製造商傳達了市場對安全設計產品的需求訊號。