微軟日前發布第三期Cyber Signals網結威脅情報研究報告,警告由於資訊科技(IT)、營運科技(OT)和物聯網(IoT)的界線逐漸模糊及彼此連接性不斷提升,也提高了關鍵基礎設施遭受攻擊與破壞的風險。
微軟從其客戶OT網絡中,發現75%常見工業控制器中具未修補的高嚴重性漏洞,成為黑客、惡意軟件或工業間諜入侵盜取機密資訊的新入口。情況反映出無論擁有多充足資源的企業,於這個高需求的環境下,修補機器停運控制系統同樣具挑戰性。從2020至22年期間,由較廣泛的供應商生產的工業控制設備中,具高嚴重性漏洞的較以往增加78%。
營運科技(OT)是結合硬件及軟件,能與現實環境對接的可編程系統(或與現實環境對接的管理設備)。OT的例子包括樓宇管理系統、消防控制系統,以及出入口與升降機等實體連接控制系統。微軟建議,企業組織及基礎設施供應商必須全面掌握連網系統的狀況,並評估資安風險及依賴性,同時以零信任架構確認OT 身分識別及限制存取權,以降低遭受攻擊風險。
另外,微軟也發現超過100萬部連接的設備於運行在Boa的互聯網上,然而Boa是一種過時且不受支援的軟件,但仍被廣泛應用於IoT及軟件開發工具(SDK)上。
微軟指出,對於企業和個人而言,使用零信任安全模式保護IoT解決方案始於非IoT的特定要求,能確保用戶採取保護身份與設備及限制權限的基礎。這些要求包括明確的用戶驗證、網絡設備的透明度,及實時的風險檢測。
微軟表示,隨著IT、OT及IoT之間的連接性不斷提升,企業及個人需重新考慮網絡威脅帶來的影響及後果。例如,手提電腦甚至現代化汽車包含擁有者的Wi-Fi快取憑證,無意中向黑客提供未經授權的網絡連接權限,類似於破壞生產設施的遙距連接設備、於智能建築的監控鏡頭置入惡意軟件或工業間諜活動等新型威脅軟件。
微軟安全性、合規性與身分識別企業副總裁Vasu Jakkal表示,隨著處理能源、交通及其他基礎架構的OT系統與IT系統的連接愈趨緊密,兩者之間的界線愈模糊,中斷及損壞的風險亦隨之增加。對於各行業的企業和基礎架構承辦商而言,防禦措施的重要性提高,以平衡不斷轉變的風險和依賴性。