黑客也頭痛七大神器保護工業安全

重工業正逐漸成為網路攻擊的目標。金融機構或或許也承受著種種壓力，但無論是以次數或型別來看，工業網路遭受到更嚴重的攻擊。目前看來，這些攻擊唯一的目的似乎都在探測弱點，但卻足以危害到整個工業網路。為了保護工業控制網路免於遭受網路攻擊，美國國土安全部(dhs)建議採取七項保護措施。

dhs所屬的工業控制系統緊急應變小組(ics-cert)在日前發布了有效防禦工業控制系統的7個步驟。ics-cert首先指出根據其研究，在2023年至少發生295起與工業網路有關的入侵事件，此外還有更多可能是未發布或未偵測到入侵事件。再者，這些事件還有愈演愈烈的趨勢。

ics-cert強調，簡單地增強外圍防護(如防火牆)的網路已經不再適用了。

為了協助減輕遭受網路攻擊的可能性，ics-cert建議必須為工業網路建置7項重要策略，以提高其防護能力。該機構宣稱，這7大步驟可讓fy2023年所舉報的攻擊中，有98%的事件都能倖免。

七大神器保護工業安全

這七大關鍵策略是：

1.建置應用程式白名單：只允許預先經認可的應用程式來執行，讓網路能偵測並防止惡意軟體。scada系統、人機介面(hmi)電腦與資料庫系統特別適用這一策略。

2.確保正確配置與管理增補程式：隨著對手不斷提高其能力，安全的實際作法也逐漸過時。其結果是，未經增補的軟體越來越容易成為目標。關鍵是必須落實安全輸入程式以及更新可信任的軟體增補程式。

3.降低易受攻擊的表面範圍：關閉未使用的埠以及未用的服務。只有在絕對必要時才允許即時的外部連線。隔絕你的工業網路與不受信賴的外部網路。還有乙個有用的技巧是，如果只需要單向通訊(如報告資料)，盡量使用光學隔離方案(資料二極體)，以預防回程訊號進入。

4.建立可防禦的環境：正確的架構有助於限制從外圍入侵的潛在損害。就像城堡擁有外牆和內部防禦工事一樣，將網路設計成乙個可限制主機對主機通訊的系統集合，可避免因其中乙個系統受損而影響其餘系統。

5.認證管理：使用竊取而來的憑證可能讓攻擊者幾乎無法被系統偵測到。因此，透過雙重因素認證、限制使用者許可權的訪問、為企業與控制網路訪問提供不同的認證，以及各種保護機制，都有助於強化認證。

6.安全的遠端訪問：如果有必要使用遠端訪問，更要採取保護措施，如使用硬體(而非軟體)資料二極體進行唯讀訪問、限時遠端訪問、要求操作員透過遠端訪問請求進行控制，以及避免為**商與員工採用不同訪問路徑的「雙重標準」。同時，關閉任何可疑的訪問物件、隱藏的後門等等。特別是防護資料機基本上並不安全。

7.監測與因應計畫：網路攻擊正不斷地成熟壯大，所以目前看來足以因應的措施可能成為明日的破綻。持續地監測網路以避免可能的入侵跡象或其他攻擊，並且預先擬定偵測到攻擊時的因應計畫。迅速採取行動可限制受損害的程度，而且也有利於盡快恢復。

黑客也頭痛 七大神器保護工業安全