OT 系統掌控能源廠房、製造設施等關鍵基礎設施的運作。這些環境已成為網路攻擊者的明顯目標,但 OT 安全防護往往未能跟上威脅演進的腳步。
OT 涵蓋支撐工業環境的軟硬體系統,直接與實體世界互動,包括監控與資料擷取系統(SCADA)以及工業控制系統( ICS)。
英國國家網路安全中心(NCSC)指出,IT 資安傳統上關注資訊的機密性、完整性與可用性,但 OT 優先考量安全、可靠性與可用性,因為 OT 故障或失效會帶來明確的實體危險。
OT環境的獨特脆弱性與密碼挑戰
OT 環境不僅是網路犯罪分子的熱門目標,更具有獨特的脆弱性。世界經濟論壇指出,這些環境中的硬體和軟體往往過時且資源受限。隨著 IT 與 OT 日益融合,攻擊者可能利用使用者憑證或重複使用的密碼,將攻擊範圍從 IT 系統擴展到 OT 系統。
物聯網(IoT)的引入進一步擴大了攻擊面。OT 環境面臨三大密碼安全挑戰:
- 共用帳號與工作站問題:憑證共用可能讓惡意行為者擴大威脅,甚至從 IT 系統移動到 OT 實體基礎設施。
- 遠端存取風險:供應商和第三方經常需要遠端存取 OT 環境,這些存取路徑可能引入新的漏洞。
- 過時的 OT 系統:某些系統可能已部署數年甚至數十年,為現代網路犯罪分子創造可乘之機。
強化密碼安全的核心實務
在 OT 環境中,密碼安全至關重要,因為系統關閉或中斷可能造成生命威脅。
密碼長度是最關鍵的防護因素,尤其面對暴力破解攻擊(Brute Force Attack)時更是如此。舉例來說,強大的電腦破解 8 字元密碼可能只需一分鐘,但破解 16 字元密碼(即使全為小寫)則需要超過 2080 億分鐘。
定期輪換密碼可降低長期使用同一密碼的風險,具體週期應依組織需求而定,同時務必避免重複使用舊密碼。密碼保管庫(Password Vault)以加密格式儲存資訊,適合保護多人共用的帳號,通常搭配硬體權杖(Hardware Token)等控制措施來加強防護。
建構多層次防禦與持續監控
密碼必須與其他安全措施結合,才能建構穩固的 OT 環境。
多因素驗證(MFA)是安全性的黃金標準,在密碼之上增加多層防護,包括簡訊驗證、驗證器應用程式或 FIDO2 驗證。
特權存取工作站(Privileged Access Workstations, PAW)將高風險活動的基礎設施與可能造成危害的功能(如網頁瀏覽或電子郵件)分離。網路區隔和存取控制確保只有授權的裝置和人員能存取指定區域,並在遭受攻擊時限制損害範圍。
防護建議包括:
- 設定最小密碼長度:建議至少 16 字元
- 建立密碼輪換政策:根據組織風險評估設定適當週期
- 部署密碼保管庫:特別針對共用帳號和特權帳號
- 導入多因素驗證:為關鍵系統增加額外驗證層
- 執行持續監控:定期掃描遭洩漏的密碼並即時回應
- 實施網路區隔:限制橫向移動的可能性
- 管理第三方存取:嚴格控制供應商的遠端存取權限
OT 系統掌控產業與社會中最關鍵的基礎設施,一旦出錯將造成嚴重後果。穩固的密碼安全是建構韌性 OT 環境的基石,能長期保護人員與資產。
本文轉載自 BleepingComputer。