Page 55 - 清流雙月刊 NO.39
P. 55
CI 學堂
三、 養成良好的網路安全思維模式
隨時將抵禦網路威脅及在線安全問題
列為考量的主軸,可使用包含強密碼(而
不是在不同用戶之間共享密碼,這是工業
運營中常見的做法)、密碼庫和多因素身
分驗證等方法,來確保防禦者能將上述之
主軸落實到 OT 和 IoT 設備上。某些過程,
例如修補遺留系統(Legacy System),可
能更具挑戰性或不可能。美國網路安全和
基礎設施安全局(CISA)擁有許多免費的
工具,包括掃描和測試,可協助找出網路
抵禦網路威脅及在線安全問題可使用包含強密碼、密碼 的弱點及防禦機制的不足。
庫和多因素身分驗證等方法。
四、 實施健全的系統監控
方面,例如可利用 Shodan 搜尋引擎,搜
監 控 系 統 必 須 同 時 注 意 來 自 IT 和
尋全球的物聯網設備並擷取其相關資訊,
OT 的威脅,以及任何可能跨越 OT/IT 邊
可得到 IP 位址、運行的服務、系統資訊等,
界 的 威 脅。 專 為 OT 環 境 設 計 的 無 代 理
找出在 Internet 上可直接存取 Intranet 資
1
(Agentless) 持續性監控系統有以下 3
料的設施或點,這有助於發現未在資訊財
個特色:
產清冊上的資產,並分析其暴露之風險。
1. 可以快速被建置起來。
二、 確保在 IT 和 OT 網路之間進行適當的
劃分 2. 可以輕易整合進 OT 和 IT 的系統及工作
流程。
除了 IT/OT 分段之外,亦可將虛擬分
段(virtual segmentation) 部 署 到 OT 環 3. 可以讓IT 和OT人員共同監控OT的環境。
境中來協助檢測 OT 網路中的橫向移動。
另如遠距操作需要直接存取 OT 網路的資 另,若 IT 和 OT 人員能持有同一組資
產,則須確保通過對用戶、設備和會話進 訊,他們將能對已知和未知的威脅做出相
行嚴格控制的安全遠距存取連接來完成。 對應的措施。
1 凡是監控 server A 的系統不是裝在 server A 上,此監控系統就是 Agentless。以防毒軟體為例:所有防毒軟體都不是 Agentless,而用
SSH/SFTP 去撈別臺電腦 log 的系統就是 Agentless。
No.39 MAY. 2022 53
