Loading
部落格

2025年的OT勒索軟體:如何加強安全

探索我們關於OT勒索軟體威脅的全面指南、了解OT為何易受攻擊,以及2025年加強安全的五個關鍵步驟。
Businessman holding shield protect icon. Protection network security computer and safe your data concept, lock symbol, concept about security, cybersecurity and protection against dangers.

OT勒索軟體的威脅日益加劇:敲響警鐘

Colonial Pipeline擁有從德州到紐澤西州長達5,500英哩的天然氣、汽油和柴油輸送管道。該公司表示,其IT網路在2021年5月6日至5月12日期間遭到勒索軟體攻擊,因此決定暫停營運。

雖然這起攻擊最初針對的是 IT 網路,但卻波及營運系統並利用其漏洞,最終導致該公司支付440萬美元的贖金。在努力維持基本功能的同時,該事件還需要大量的復原工作。對於預算吃緊且缺乏專業人員的組織而言,此類攻擊可能會帶來災難性後果。

在Colonial事件之後,據報導,多家營運實體遭到其他幾起重大勒索軟體攻擊,包括Martha’s Vineyard渡輪公司富士軟片公司以及占全美國肉類供應量40%的JBS肉品公司。在過去的一年裡,Omni Hotels和Thyssenkrupp等大公司都遭遇勒索軟體攻擊,而United Health Care公司在2024年4月公開確認支付了2,200萬美元的贖金,以在資料洩露後保護患者資料。

當今的網路威脅正以前所未有的速度和複雜程度超越傳統安全控制措施。ReliaQuest 2025年度網路威脅報告指出,攻擊者在首次入侵後僅花48分鐘就能實現橫向移動。最令人擔憂的是,目前有60%的鍵盤操作入侵使用的是遠端管理等受信任的業務工具,使得偵測工作變得更加困難。

投資適當的OT安全措施,對於保持防範狀態並避免勒索軟體攻擊帶來的財務損失,可說是非常重要。本篇文章將深入探討您的組織如何對勒索軟體攻擊的興起保持警覺,內容包括勒索軟體的定義、為何要鎖定OT、使OT易受攻擊的因素、限制影響的五個步驟,以及一個實際的成功案例。

與我們聯絡

什麼是勒索軟體?

勒索軟體是一種惡意軟體,攻擊者會透過釣魚、社交工程等方式入侵目標網路。該「軟體」隨後在網路中四處活動,瀏覽網路共享資料夾與本機硬碟,並將所找到的所有資料加密,所使用的金鑰只有駭客本人掌握。如果您想解鎖檔案,就必須支付贖金。獲取金鑰和解密檔案的成本可能從數百美元到數千美元,或甚至高達數百萬美元,具體取決於攻擊者和受害者的具體情況。

勒索軟體透過釣魚郵件、被感染的軟體或薄弱的網路安全來入侵系統漏洞。其使用強大的加密演算法(如AES或RSA)來對資料進行加密。勒索軟體在網路中傳播,並利用伺服器訊息區塊(SMB)等技術,透過遠端桌面協定加密最多的檔案。加密過程會使資料無法讀取,除非取得攻擊者持有的專屬解密金鑰。

無法取得這些關鍵資源可能會導致長時間停機,並對客戶服務、生產和整體收入造成影響。為了重新取得存取權限,攻擊者會要求對方支付贖金。請記住,支付贖金並不能保證完全復原,反而可能會助長進一步的攻擊行為。

勒索軟體攻擊事件頻傳,製造業仍受圍困

ReliaQuest 2024年第四季的報告指出,勒索軟體活動在12月激增,單月記錄的受害者數量創下歷史新高。平均贖金支付額從2023年的199,000美元增至2024年的1,500,000美元。該報告還證實,製造業是勒索軟體攻擊最常鎖定的目標產業。報告指出:「製造公司是主要目標,因為它們在經濟上舉足輕重、對營運停機時間的容忍度較低,且支付贖金的意願較高。」

勒索軟體為何要鎖定

勒索軟體源於詐騙和敲詐勒索的犯罪世界,但本質上,它也可以被用來針對更大的資產擁有者和組織,或掩蓋其他可能更為狡猾的活動。

  • 勒索軟體利用「可用性」風險,在工業組織中有利可圖。過去竊取個人資訊的網路犯罪相當有利可圖,但隨著供應大幅增加,這類資訊的黑市價格已大幅下滑。但網路犯罪分子找到新的攻擊模式。他們的攻擊重心已從資訊安全三要素(機密性、完整性、可用性)中的「機密性」(Confidentiality),轉向「可用性」(Availability)。工業組織需要保持營運持續,因此通常支付迅速且金額較大。
  • 在現行政策下,保險的存在加速贖金支付的過程。然而,最近情況有所變化,保險公司開始修改未來的保單,正如安盛(AXA)在2021年宣佈將停止在法國承保勒索軟體支付。
  • 即使是IT攻擊也可能導致OT操作中斷。OT系統通常極易受到勒索軟體的影響。因此,任何事件回應計畫的第一步都是透過斷開OT系統的連接,來阻止其擴散。OT系統的復原成本可能是IT系統的3至4倍,且復原時間可能更長。其次,在許多情況下,營運並不完全依賴於OT系統,而是依賴於IT系統,如計費或供應鏈軟體,這些系統對於有效營運至關重要。因此,關閉關鍵IT系統基本上也需要同時關閉OT系統。

為什麼OT如此容易遭受勒索軟體攻擊?

  • 大多數勒索軟體入侵的是那些未修補的舊漏洞。我們知道OT系統中存在大量易受攻擊且未修補的系統。
  • 勒索軟體通常利用網路安全漏洞取得存取權限(例如,透過遠端桌面協定(RDP)),但會在各個端點之間傳播。補償性控制、系統強化、漏洞管理,以及網路分區隔離等技術,在降低病毒攻擊的影響與擴散方面,都扮演非常關鍵的角色。
  • 勒索軟體往往非常有效,因為許多組織沒有足夠的防範能力來辨識(避免)潛在事件。大量老舊且未修補的資產通常僅由少數非資安專業人員監控與管理,這種情況可能導致潛在問題的發生。

下圖顯示勒索軟體入侵設施的典型路徑:

勒索軟體入侵設施的典型路徑
1. 惡意攻擊者透過釣魚郵件、惡意檔案植入或惡意網站等方式散布勒索軟體,進而入侵企業的 IT 系統
1. 惡意攻擊者透過釣魚郵件、惡意檔案植入或惡意網站等方式散布勒索軟體,進而入侵企業的 IT 系統
2. 勒索軟體利用接收主機上的漏洞,執行進一步的惡意功能
2. 勒索軟體利用接收主機上的漏洞,執行進一步的惡意功能
3. 勒索軟體利用網路中ACL薄弱、具雙NIC的機器等隔離措施不當的情況,在系統間橫向移動,甚至進一步入侵OT或其他區域
3. 勒索軟體利用網路中ACL薄弱、具雙NIC的機器等隔離措施不當的情況,在系統間橫向移動,甚至進一步入侵OT或其他區域
4. OT現場(或企業)內部缺乏有效控管,使勒索軟體得以在多個業務單位、伺服器與工作站間擴散,進一步加劇營運中斷
4. OT現場(或企業)內部缺乏有效控管,使勒索軟體得以在多個業務單位、伺服器與工作站間擴散,進一步加劇營運中斷
5. 缺乏一致性、經過測試的離線安全備份,以及缺少已知良好的系統設定或軟體版本,導致系統復原變得極為複雜且耗時
5. 缺乏一致性、經過測試的離線安全備份,以及缺少已知良好的系統設定或軟體版本,導致系統復原變得極為複雜且耗時

限制勒索軟體影響OT的五種方法

面對目前風險情勢以及工業環境中勒索軟體事件可能再次加劇的趨勢,組織應採取什麼應對措施?

1. 了解勒索軟體攻擊帶來的營運和安全風險

為了掌握全局,組織需要掌握以下三項關鍵資訊:

  • 首先,了解環境中不同資產在營運中的重要性。舉例來說,企業可能擁有某些工廠、製造廠或設施,對整體財務績效具有關鍵性的影響。其他設施雖然本身的財務影響較小,對於關鍵廠區的重要供應商卻不可忽視。對各廠區/設施重要性的業務理解是基礎。
  • 其次,必須全面審視這些設施中的資產所面臨的勒索軟體風險。Verve®通常透過「技術驅動的弱點評估」來執行這項工作。此流程可全面呈現OT環境中的軟硬體漏洞、網路防護、資產保護、修補狀態等詳細資訊。這項對風險的全景視角,有助於清楚掌握各廠區/設施/工廠可能面臨的威脅。
  • 第三,復原和回應能力的現狀。若組織準備充分,勒索軟體事件的影響範圍將可大幅減少。健全且定期更新的備份、快速的事件應變計畫,以及對「Canary檔案」的即時警示,有助於在勒索軟體初期階段就進行偵測,並降低其影響範圍。若能評估這些回應和復原能力,組織就可確定攻擊可能造成的影響程度,並減輕其影響。

2. 建立廠區層級修復與防護路線圖

我們經常看到組織為了降低勒索軟體(以及其他潛在的OT攻擊)的風險,而倉促採取某些措施。例如,一個常見的起點是進行全面的網路分區隔離工作,以減少IT與OT之間的連接,以及在OT環境內部進行劃分。雖然這項措施是完整防護路線圖的一環,但它可能不是整體計畫中最具影響力的起始步驟,且若單獨執行,效益也相當有限。

了解風險同時制定合理的行動順序,是取得快速且可持續進展的關鍵。在進行網路分區隔離之前進行資產盤點,能為防範攻擊奠定更堅實的基礎,並加快區隔工作的進展。利用現有的工具,如威脅偵測軟體和網路監控工具,在策略規劃中效果最佳。Verve 與客戶合作,共同打造一套「相互支援的行動方案組合」。在發展長期安全基礎的同時兼顧短期保護,對於有效防禦OT勒索軟體至關重要。

3. 透過廠區與資產優先排序,並結合上述第1點,可有效加速OT安全路線圖的推動

前文提到評估的一大優勢在於,相關技術已經到位,能夠迅速對已識別的風險進行補救,包括修補、強化配置,甚至是管理有風險的軟體、使用者和帳戶。我們的評估有助於加快保護進程。

除了加快這些端點偵測的速度外,還需要一系列額外的防護和回應能力。最大的挑戰之一是制定合適的執行計畫,以保護最關鍵的廠區和資產,同時避免在這些複雜的廠區上陷入困境,並且確保「中等」關鍵廠區也能得到充分的保護。

Verve建議採用我們所謂的「雙管齊下」的方法來執行。一方面,我們將在最關鍵的廠區部署穩健的計畫。然而,我們同時建議採取「廣而淺」的方式,在全企業層級對所有廠區施以基本保護措施,作為關鍵廠區深入防護作業的補充與支撐。

這代表「金級」或是最關鍵廠區可能得實施全面的網路分區隔離、新基礎設施、進階異常與威脅偵測、備份、修補,以及使用者與存取管理。然而,對於「銀級」或「銅級」廠區而言,雖然單一風險較低,但整體影響重大,可優先實施漏洞管理與備份,待未來再推動完整的網路分區隔離措施。

4. 保障既有成果

在許多情況下,實施安全計畫是一項資源密集型任務,但重要的是,組織應制定計畫來保障在計畫實施期間所取得的任何改進成果。在Verve的經驗中,其中包括兩個關鍵要素:

  • 集中式OT安全管理平台,該平台整合可見性、優先順序排序以及資產管理能力,可大幅降低保護分散式OT資產的成本和資源需求。
  • 一份資源規劃應超越初期修復計畫的部署,涵蓋後續控制措施的持續支援與維護。

我們的一位同事曾說過:「安全有腐敗的傾向。」他的觀點是,安全計畫失敗的原因有很多:

  • 最初設定的網路規則,常在維護時段中被修改
  • 未套用更新的修補程式
  • 防毒軟體的特徵碼更新經常延遲
  • 加入新資產,但從未進行盤點
  • 備份失敗且未進行補救

5. 組織承諾

這一步驟在計畫的維護階段至關重要。沒有高階管理層的支持,安全計畫就無法順利啟動。高層的支持能確保OT安全與更大的業務目標保持一致,為您的安全計畫奠定可持續的基礎。

我們常見到,在計畫啟動後往往會面臨諸多挑戰,且展開相當艱辛的維持承諾階段。當團隊成員回到日常工作崗位、新的優先事項出現、預算被重新分配時,各種其他挑戰也可能紛紛占據資源與注意力。此時,營運領導者必須挺身而出,成為推動安全的關鍵角色,持續強調安全實務的重要性,並透過定期安全訓練維持團隊的責任感。

組織承諾絕非一次性努力,這一點很重要。達成此目標的最佳方式,是將OT安全納入平衡計分卡的核心指標。這種方法可營造一種安全文化,讓保護安全成為眾人的責任,而不只是安全團隊的職責。

對於IT/OT安全經理而言,成功與否取決於對已實施安全控制措施持續進行維護與支援。完整記錄安全流程、事件應變計畫與系統設定,對於確保作業延續性與團隊變動時的有效知識傳遞至關重要。

成功案例:國際造紙廠保障30家工廠

一家全球最大的造紙和包裝公司未能倖免於勒索軟體攻擊。他們需要在30家工廠和300家紙箱廠中找出漏洞,同時儘量減少停機和中斷。我們幫助他們制定一項全面的OT網路分區隔離策略,以加強網路安全並降低未來遭受攻擊的風險,該策略包括:

  • 對現有營運情況進行全面評估
  • 為每個廠區進行網路分區隔離
  • 進行全面訓練,以掌握正確的維護和校正方法
  • 透過洛克威爾自動化旗下公司Verve進行資源管理
  • 採購當地和國際設備以因應供應鏈中斷

在我們的幫助下,這家全球紙張和包裝的領導廠商成功從勒索軟體攻擊中復原,並針對未來威脅建立強大的防禦體系。

以全方位防護措施,抵禦針對性與非針對性的勒索軟體威脅,守護您的關鍵基礎設施。

已發佈 2025年3月27日

為您推薦

Loading
Loading
Loading
Loading