OT安全的補償控制

自動補救：簡化修補流程

部署修補程式或補償控制的工作通常需要大量人力，包括找出目標系統、設定修補程式部署，以及故障排除。設想BlueKeep等檔案在準備期間就預先載入到目標系統中的威脅。靈活的OT安全團隊可以根據詳細的資產概況，策略性規劃修補程式的更新順序。這項規劃可以考慮資產位置或關鍵性等因素。

進一步試想，某個修補程式管理系統略過初始掃描階段，就已經找出需要修補的資產。這個系統可以協助遠端或現場安裝、驗證安裝是否成功，以及即時更新通用儀表板。

補償控制：無法修補時的替代方案

針對無法立即修補的高風險資產，制定臨時補償控制成為關鍵策略。例如，可以根據重大弱點停用遠端桌面服務或訪客帳戶。如此可以大幅降低立即性的風險，並且為準備修補程式爭取時間。

最低限度：OT環境中的補償控制不僅是權宜之計，而是全面修補程式管理策略不可或缺的一部份。

補償控制：OT網路安全中的重要層次

定義和實作OT安全中的補償控制

您可以將補償控制想像成一個多層次防護系統，當直接解決方案不可行，或是可能會損害具有正常運作時間需求的關鍵基礎設施時，就可以部署該系統。

簡單來說，我們採取了一些措施，例如將應用程式列入允許清單，以及確保防毒軟體隨時更新。更複雜的措施包括端點管理(密切注意每個網路連線裝置的安全弱點)，以及系統強化(強化個別系統對潛在威脅的防護)。這些補償控制非常重要，因為這些控制可以提供強化我們的OT安全，以抵禦各種類型網路風險的彈性和優勢。

OT安全的補償控制類型

補償控制不是應變選項，而是強化防護和解決弱點的主動措施。讓我們來分解其範圍。

端點管理

端點管理涉及謹慎監控和管理端點裝置。其目的是要隨時更新這些裝置並防止其受到已知弱點遭到利用，驗證這些裝置僅具有所需的存取權限。

為什麼這很重要: 端點是OT網路中一些最薄弱的環節。保護這些裝置可以減少攻擊者存取您關鍵系統的機會。

您可以透過下列方式實作這種類型的補償控制：

• 盤點所有硬體和軟體端點裝置
• 僅允許經過核准的應用程式在端點上執行
• 使用工具來保持合規性，並且為端點實作嚴格的基礎設定
• 收集來自端點的記錄以找出可疑活動
• 部署被動式掃描工具以進一步找出弱點

系統強化

系統強化包含讓系統更有餘裕應對網路攻擊的強化。

為什麼這很重要: 強化可以讓系統更能抵抗入侵程式和惡意軟體。

您可以透過下列方式進行系統強化：

• 為您的OT系統的基礎配置制定最低安全性需求
• 停用系統操作不需要的服務
• 關閉未使用的網路連接埠
• 授予使用者最低限度的必要權限
• 定期進行安全稽核以找出弱點並確保需求

網路分區隔離

網路分區隔離是一種縱深防禦的策略，透過將網路區隔成不同區段的方式來隔離關鍵系統。

為什麼這很重要: 分區隔離可以遏制漏洞和限制其造成的損壞，藉此協助保護系統。

您可以透過下列方式實作網路分區隔離：

• 找出您OT網路中最重要的控制與安全系統
• 使用防火牆和VLAN來建立個別的網路區段
• 在這些區段之間執行嚴格的存取控制原則
• 定期監控區段之間的流量以偵測可疑活動

使用者帳戶和存取控制

使用者帳戶和存取控制會透過多重要素驗證(MFA)和定期存取權限檢視等措施，定期檢查和調整使用者的存取權限。

為什麼這很重要:未經授權的存取可能會導致資料外洩和系統中斷。透過實作和維護有效存取控制的方式，企業組織可以降低其風險，並協助保護自己不會受到內部威脅和外部攻擊的影響。

您可以透過下列方式實作使用者帳戶和存取控制：

• 要求定期變更密碼
• 針對所有關鍵系統和帳戶實作MFA
• 根據使用者的角色和職責指派存取權限
• 使用集中身分管理系統來監督使用者的存取

定期備份和資料加密

定期備份和資料加密正如字面所述：這些功能會持續備份資料並將其加密。

為什麼這很重要:備份可以讓您在網路攻擊後還原系統和資料，而加密可以協助防止敏感性資料遭到未經授權存取。

您可以透過下列方式實作定期備份和資料加密：

• 確認需要備份的最關鍵資料
• 將定期排程的備份自動化
• 將備份離線儲存在安全的獨立網路區段
• 將所有進行中或靜止的敏感性資料加密
• 執行定期備份測試

主動和情境化使用補償控制

在威脅出現之前(主動)和針對特定狀況回應(被動)部署控制非常重要。例如，例行性系統檢查可能會發現休眠的系統管理員帳戶或過時的軟體，這些弱點可以透過補償控制加以緩解。

現實情境範例：BlueKeep弱點回應

試想一下，出現類似BlueKeep弱點的網路安全風險情境。對不熟悉的人而言，BlueKeep是在Microsoft遠端桌面通訊協定中發現的重大安全弱點，可能會允許未經授權存取，因此對未經修補的系統造成重大風險。

現在，讓我們來討論一個做好準備的團隊如何有效處理OT安全事件回應，說明補償控制和主動修補程式管理的策略性用途：

主動因應新興風險

• 預先載入的修補程式檔案: 假設發現和BlueKeep類似的全新風險。您的第一個步驟可能是將必要的修補程式檔案預先載入所有目標系統。這種預先載入的作法不代表立即行動，但確實可以讓您為快速部署做好準備。
• 策略性修補程式部署: 試想您靈活且明智的OT安全團隊評估要先更新哪些工業系統。這個決策會根據您強大的資產概況中各種因素來制定，例如資產的位置或其關鍵性。
• 先進的修補程式管理技術: Now, 現在，試想一種情況：您的修補程式管理技術非常先進，因此不需要進行初步掃描。反之，已經確定哪些資產屬於新修補程式的範圍。當您部署這些修補程式時，無論是遠端部署低風險資產還是親自部署高風險資產，這項技術都會驗證每個修補程式是否安裝成功並即時更新您的通用儀表板。

實作適用於高風險資產的補償控制

不過，那些無法立即修補的高風險資產該怎麼辦？這就是補償控制發揮作用的地方。

• 降低立即性風險的臨時措施: 對於BlueKeep等弱點，您可能會停用這些高風險資產上的遠端桌面服務或訪客帳戶。這個簡單但有效的措施可以大幅降低立即性的風險，為制定更全面的修補策略爭取時間。
• 無法修補時的應變措施: 這些補償控制可以發揮關鍵應變措施的作用。補償控制不僅僅是權宜之計，也是策略性選擇，即使在無法立即修補的情況下，也能讓您保持安全。

將這些主動和策略性的方法整合，您的OT安全團隊不僅能夠對威脅做出反應，還能夠預測這些威脅和準備應對，在面臨潛在網路安全挑戰時強化營運的韌性和連續性。

補償控制：網路安全強大的關鍵

採用補償控制背後的策略不僅是被動應對威脅的態度，而是一種輔助傳統修補方法的主動概念。這些控制允許採用一種適應性的方法來保護OT系統，其中了解網路的配置和每個資產的角色，可以為修補和補償控制的應用程式提供資訊。這種方法不僅是應對即將到來的威脅；而是要加以預測並為此做好準備。將這些控制整合到您的網路安全框架中，可以強化韌性和協助保護關鍵基礎設施，如此有助於在網路威脅持續發展的情況下維持營運的連續性。