造船廠的營運模式與一般工業環境截然不同。荷蘭達門造船集團(Damen Shipyards Group)資安長 Hans Quivooij 指出,長期運作的重工業設備必須與短期專案、臨時承包商並存,這種專案導向特性為 OT(營運技術)和 ICS(工業控制系統)安全帶來獨特挑戰。
專案模式擴大攻擊面,傳統邊界防護失效
Quivooij 表示,造船廠很少有真正穩定的狀態。網路隨專案進度改變,臨時系統在試車階段出現又消失,上個月的存取權限可能在任務結束後仍保持啟用,長期造成
配置漂移(configuration drift)。
更常被忽視的是人為因素。專業承包商輪替進出,帶著自己的工具和工程環境。在專案期間,這些外部環境實際上成為營運環境的一部分,而傳統的邊界防護無法應對這種現實。因此,達門將變化本身視為安全訊號,在持續改變的環境中不斷重新評估信任度。
被動監控建立可見性,避免干擾OT運作
在 OT 環境中,可用性永遠優先。若安全控制措施干擾營運,就會被繞過。Quivooij 指出,
許多老舊 PLC(可程式邏輯控制器)和專有控制系統根本無法修補或主動探測。
實務上,可見性從網路層開始,透過被動觀察而非主動探測來建立。藉由觀察系統通訊了解正常狀態,即可在不接觸控制系統的情況下建立行為基準線。老舊環境的文件往往不完整,維護人員掌握的知識通常遠勝任何工具。
網路區隔有助於在複雜環境中建立秩序。透過清楚分離工程環境、承包商存取區域和核心 OT 系統,可減少不必要的暴露風險。
IT與OT整合需審慎規劃,避免專案捷徑
數位造船、
預測性維護和
數位孿生都需要更緊密的 IT 與 OT 整合。Quivooij 觀察到,
問題常出現在系統連線前,資料暴露範圍未經妥善分類。一旦資料開始流入 IT 或分析平台,後續要重新建立邊界就會變得非常困難。
另一個常見問題是專案導向的捷徑。在緊迫期限下建立的直接整合,往往存續時間遠超預期,因為後續移除在營運上不方便。因此,達門將架構和安全審查嵌入專案生命週期的前端,而非事後補救。
最小權限關鍵在自動移除存取
在承包商頻繁進出的環境中,真正的挑戰不是授予存取權,而是確保權限在不再需要時消失。悄悄殘留的存取權往往比刻意授予的更危險。
達門的做法是讓存取權預設過期,連結到特定任務而非專案或角色。自動移除存取權通常比增加核准步驟更有效。透過網路區隔,供應商只能存取需要的特定系統,限制出問題時的影響範圍。
造船廠OT安全防護建議
Quivooij 指出,供應鏈需要特別關注。攻擊者很少直接針對最嚴密保護的目標,較小的合作夥伴、工程環境或臨時專案設定往往是更容易的突破點。達門將網路安全視為日常管理議題,而非僅在事件發生時才處理,這是更廣泛風險管理與持續營運的一部分。
- 將變化視為安全訊號:在動態環境中持續重新評估信任度
- 採用被動網路監控:觀察系統通訊以建立行為基準線
- 實施嚴格網路區隔:分離工程環境、承包商存取區域與核心OT系統
- 將安全審查嵌入專案流程:從前端規劃而非事後補救
- 自動化存取權移除:設定權限預設過期並自動失效
- 強化供應鏈安全:小型合作夥伴與臨時專案可能成為攻擊進入點
本文轉載自 HelpNetSecurity。