Fortinet提出10大原則 防範重要基礎設施機構的營運科技漏洞

80%的產業安全事件，都是由非蓄意的內在問題所造成。

全球高效能網路安全領導廠商Fortinet®(NASDAQ: FTNT)指出，重要基礎設施機構所發生的產業安全事件，有將近80%都是由非蓄意的內在問題所造成，例如人為因素的軟體組態錯誤，或是失效的網路協定所導致。

重要基礎設施的產業有其特殊性，例如水電瓦斯等公共事業、運輸業和天然資源的生產商，他們與所服務的社區和經濟體息息相關。發生網路攻擊事件時，共同面對的不僅僅是直接造成的損害，也因其營業規模而必須處理更為龐大複雜的事件後果。

根據市調公司ABIResearch的預估，亞太地區在網路安全架構的支出，將在2020年達到220億美元。

Fortinet台灣區技術總監劉乙指出，「各個產業的企業組織，現今都面臨著不斷演變的威脅情勢和日益增加的壓力，迫使他們必須為長期的永續性重新思考安全防護的策略。一個更為全面的防護方法是必要的，如此才能因應蓄意的目標式攻擊，以及內部的人為錯誤。要解決工業控制系統(ICS;industrial control systems)的安全問題，需要一個解決方案能統合目前營運科技(OT; operationaltechnology) 最佳的網路安全功能，而且充份理解ICS的流程和協定。

用來管理和運行水力發電大壩、石油和天然氣公司的設備與科技，傳統上並未設計和遠端或公共網路相連接。這些系統基本上是封閉的，而且實體的存取也受到限制，因此資訊安全並不是最優先的考量。

劉乙進一步解釋，「然而，隨著工業4.0趨勢的興起，這些系統現在必須成為互相連通的環境。開放標準的迅速普及和現成軟、硬體的採用，同時也增加了它們本身的脆弱性。這意味著工業控制系統現在有更廣的面向可能遭受攻擊。」

由於企業組織無法預測每一個安全威脅，因此必須專注在他們可控制的範疇。Fortinet日前提出了10大原則，能協助企業評估他們在營運科技上的安全風險：

1.     最重要的第一步是：找出需要立即保護的部份。

2.     定義管理許可或存取控制的協定－－大多數的系統之前都是封閉的，而現在資訊科技(IT)和營運科技已經相互連通，他們必須有最佳的方法讓營運科技具備安全性。此外，決定授權使用者適當的權限，和封阻未授權使用者的存取權一樣重要。

3.     定期更新操作系統的軟、硬體－－有些軟、硬體系統推出的時間，遠在網路安全不斷發展之前，企業組織必須確保它們擁有現代化標準的防禦能力，例如防毒軟體或威脅掃瞄技術。

4.     執行企業定期常態的更新和修補檔案－－儘管大多數此類的操作，都無法承受修補檔案時造成停機與相關成本的耗費，然而延遲更新卻可能帶來更多的安全漏洞。

5.     找出不安全的IP遙測裝置，例如感應器和壓力表－－在這些裝置上的數據可以被操縱，進而影響整個系統的安全和穩定性。

6.     採用最佳的現代化程式撰寫方法－－使用嵌入式和常見的客製化撰寫軟體，卻未留意採用建議的安全技術，往往讓營運科技系統的門戶大開遭受攻擊。

7.     堅守標準程序記錄事件－－企業組織若能建立一套程序來記錄和報告系統事件，就能經常使用這些資料來偵測違法行為，並採取安全措施。

8.     管理元件製造商和供應鍊－－如果沒有適當的監督和管理，設備可能會受影響，即使是尚未安裝使用。

9.     實施網路分區－－許多企業組織仍然尚未將網路劃分為功能性的區段（仍舊全部互通）。沒有適當的分區，受感染的資料和應用程式會一再地從一個區段影響至另一個區段，突破外圍防禦的攻擊者則可輕易地在網路中移動而不會被發現。

10.  準備好營運回復計劃－－若不幸遭遇災難事件，每個企業組織都需要一個文件化的程序，用以評估損害，修復系統和機器，並且儘快恢復運作。定期的安全演習也能協助操作人員在最需要的時候，快速有效地執行回復程序。