Bitdefender網路安全營運總監Nicholas Jackson警告,隨著營運技術(OT)與IT系統的深度整合,網路攻擊已不再侷限於數位領域,而是開始對實體世界造成實質威脅。
網路攻擊對實體基礎設施的衝擊
關鍵基礎設施如電網、供水系統和醫療系統正面臨前所未有的雙重威脅。Jackson指出,網路攻擊不僅會影響系統的數位運作,更可能導致生產線停擺、物資供應中斷、設備故障,甚至引發實體安全事故。
特別值得注意的是,這種網路與實體威脅的融合,正逐漸成為駭客攻擊的新趨勢。攻擊者可能透過入侵工業控制系統,直接操縱或破壞實體設備,造成嚴重的社會影響。
整合式防護策略刻不容緩
面對這種複合型威脅,Jackson強調組織必須採取整體性的安全方法。在即時監控與快速反應方面,組織需要部署跨系統的即時監控工具,建立OT與IT系統的聯合監控中心,並完善異常檢測與警報機制。
在風險評估與管理領域,組織應進行定期的網路及實體威脅評估,採用整合式風險管理框架,同時制定跨部門的應急響應計劃。此外,在法規遵循方面,企業必須確保符合NIS2等網路安全標準,落實關鍵基礎設施保護框架(CAF),並遵守數位營運韌性法案(DORA)的相關要求。
相關文章:DORA 新法規上路!歐盟金融機構須加強網路韌性
產業準備程度評估
根據Jackson的評估,目前全球組織在應對網路實體融合威脅方面的準備程度僅為4分(滿分10分)。金融和國防等特定領域展現較高的安全意識,但大多數產業仍需加強防護措施。
Jackson指出,量子運算預計在未來5至10年內將對資安領域構成實質威脅。一旦量子電腦技術成熟,將有能力破解目前廣泛使用的加密算法,如RSA和ECC,這將嚴重影響全球系統的數據傳輸、存儲和認證安全,特別是關鍵基礎設施的安全防護。
為應對這一挑戰,組織必須及早開始準備採用量子防禦加密標準。目前,美國國家標準與技術研究院(NIST)正在開發相關標準。Jackson建議組織應全面盤點現有的加密資產和協議,加強對後量子密碼學的認識和培訓,並研究採用量子防禦標準的解決方案。他強調,雖然量子運算尚未成為主流威脅,但及早準備可避免技術成熟時的被動應對和高昂成本。
相關文章:「Q-day」來臨! 雲端遷移成企業資安關鍵
人才短缺與解決方案
在應對網路實體融合威脅的過程中,全球資安人才短缺已成為一大挑戰。Jackson表示,企業需要採取多元方案來解決這個問題。首要之務是為現有員工提供持續性的培訓課程,確保團隊能跟上威脅演進的腳步。同時,企業應與大學等教育機構合作,制定針對當前和未來產業需求的專業課程。
為快速培養新人才,Jackson建議企業提供更多學徒計劃、實習機會和資安訓練營。他特別強調,除了關注人才缺口,企業更應善用人工智慧和機器學習工具來提升工作效率,實現重複性任務自動化,使資安專業人員能專注於更高層次的問題解決。
此外,Jackson建議組織考慮導入託管偵測與回應(MDR)模式,或尋求第三方支援,以增強內部安全團隊的能力,彌補即時所需的技能缺口。
他特別強調,政府、私營部門和國際組織之間的協作對提升防護能力至關重要。唯有透過跨領域、跨組織的合作,才能有效應對這些新興的複合式威脅。
Jackson呼籲企業組織應立即開始評估其OT環境的風險,並投資適當的安全解決方案。他警告,若不及早準備,一旦發生網路實體融合攻擊,可能造成難以挽回的損失。
本文轉載自helpnetsecurity。