直接從 Microsoft 威脅情報播客上的專家那裡獲得見解。立即收聽.

IT 和 OT 的匯合

Cyber Signals 第 3 期：關鍵基礎結構面臨的網路風險呈上升趨勢

物聯網和運營技術設備的普遍性、脆弱性和雲端連線能力代表著一個快速擴展、往往失控的風險表面，影響到更廣泛的行業和組織。快速增長的物聯網為攻擊者創造了擴大的進入點和受攻擊面。隨著運營技術的雲端連接程度越來越高，IT-OT 差距正在縮小，安全性較低的運營技術存取正在為破壞性的基礎結構攻擊開啟大門

Microsoft 確認，客戶 OT 網路中 75% 最為常見的工業控制器存在未修補的高度嚴重性漏洞。¹

觀看 Cyber Signals 的數位簡報，Microsoft 安全性副總裁 Vasu Jakkal 就物聯網和運營技術弱點採訪了頂級威脅情報專家，以了解組織如何自我保護。

數位簡報：IT 和 OT 的匯合

攻擊者會破壞連接網際網路的設備，以存取敏感的關鍵基礎結構網路。

在過去的一年中，Microsoft 觀察到威脅惡意探索了幾乎每個組織中受監視和可見部分的裝置。我們已經在傳統 IT 裝置、OT 控制器和物聯網裝置（如路由器和攝像頭）中觀察到了這些威脅。攻擊者顯示狀態在這些環境和網路中的激增是由許多組織在過去幾年中採用的融合和互連所推動的。

國際數據公司（IDC）估計，到 2025 年，將有 416 億台連線的物聯網裝置，增長速度將超過傳統 IT 設備。儘管近年來 IT 設備的安全性有所加強，但物聯網和 OT 裝置的安全性並沒有跟上步伐，威脅執行者正在惡意探索這些設備。

重要的是要記住，攻擊者可能出於不同的動機來破壞典型膝上型電腦和智慧型手機以外的裝置。俄羅斯對烏克蘭的網路攻擊以及其他民族國家支援的網路犯罪活動表明，一些民族國家認為對關鍵基礎結構的網路攻擊是實現軍事和經濟目標的可取選擇。

網路安全和基礎架構安全署（CISA）將「控制器」描述為一套新型的、面向工業控制系統（ICS）的網路攻擊工具，現在可線上獲得 72% 的軟體惡意探索。這種擴散助長了其他執行者更廣泛的攻擊活動，因為專長和其他輸入壁壘的減少。

隨著網路犯罪經濟的擴大，針對 OT 系統的惡意軟體變得更加普遍和易於使用，威脅執行者發起大規模攻擊的方式更加多樣化。勒索軟體攻擊曾被認為是一種以 IT 為中心的攻擊媒介，如今正在影響 OT 環境，如 Colonial Pipeline 攻擊所示，OT 系統和管道作業暫時關機，而事件回應程式則努力識別和遏制勒索軟體在公司 IT 網路上的擴張。對手意識到，能源和其他關鍵基礎結構關機的財務影響和勒索調控遠遠大於其他行業。

OT 系統幾乎包括支援物理作業的一切，跨越數十個垂直行業。OT 系統不僅限於工業過程，它們還可以是任何特殊用途或計算機化設備，例如 HVAC 控制器、電梯和交通信號燈。各種安全系統都屬於 OT 系統的範疇。

Microsoft 觀察到，與中國有關的威脅執行者以易受攻擊的住家和小型辦公室路由器為目標，以破壞這些裝置作為立足點，以此提供與以前的活動較少相關的新位址空間，從而發起新的攻擊。

雖然 IoT 和 OT 漏洞的普遍存在給所有組織帶來了挑戰，但關鍵基礎結構面臨的風險也在增加。禁用危急服務，甚至不一定銷毀它們，是一種強有力的手段。

建議：

與利益干系人合作： 對應 IT 和 OT 環境中的關鍵商務資產。
裝置可見度： 確定哪些 IoT 和 OT 裝置本身是關鍵資產，以及哪些裝置與其他關鍵資產相關聯。
對關鍵資產進行風險分析： 按照MITRE的建議，重點關注不同攻擊方案的商務影響。
定義策略： 解決已識別的風險事件，根據業務影響確定優先次序。

物聯網帶來了新的商機，但也帶來了巨大的風險

隨著 IT 和 OT 的匯合以支援不斷擴大的商務需求，評估風險，並在 IT 和 OT 之間建立更安全的關聯性，這需要考慮多種控制措施。實體隔離斷網裝置和週邊安全性已不足以應對和防禦複雜惡意軟體、針對性攻擊和惡意內部人員等現代威脅。例如，物聯網惡意軟體威脅的增長反映了這種格局的擴張和超越易受攻擊系統的潛力。通過分析不同國家/地區的 2022 年威脅數據，Microsoft 研究人員發現物聯網惡意軟體的份額最大，佔總數的 38%，源自中國龐大的網路磁碟使用量。美國受感染伺服器數量位居第二，占觀察到的惡意軟體分發的 18%。

進階攻擊者正在 OT 環境中利用多種策略和方法。其中許多方法在 IT 環境中很常見，但在 OT 環境中更有效，例如探索面向網際網路的暴露系統、惡意探索員工登入資訊或利用授與第三方供應商和承包商的網路存取權。

IT 世界的膝上型電腦、Web 應用程式和混合工作空間與 OT 世界的工廠和設施繫結控制項之間的匯合，使攻擊者有機會提供了「跳過」以前物理隔離系統之間的實體隔離，從而帶來了嚴重的風險後果。因此，攝像頭和智慧會議室等物聯網設備通過創建進入工作區和其他 IT 系統的新入口，成為風險催化劑。

2022 年，一家使用十分老舊的操作系統來管理工廠運營的大型全球食品和飲料公司，在 Microsoft 協助下處理了一起惡意軟體事件。在對稍後連線到網際網路的設備進行例行維護時，惡意軟體通過遭入侵的合約商膝上型電腦擴張到工廠系統。

不幸的是，這正在成為一種相當普遍的情況。雖然工業控制系統環境可以實體隔離並與網際網路隔離，但當遭入侵的筆記型電腦連線到以前安全的 OT 設備或網路時，它就會變得容易受到攻擊。在 Microsoft 監視的客戶網路中，29% 的 Windows 作業系統具有不再受支援的版本。我們已經看到 Windows XP 和 Windows 2000 等版本在易受攻擊的環境中運行。

由於較為老舊的操作系統通常無法獲得確保網路安全所需的更新，並且修補在大型企業或製造設施中具有挑戰性，因此優先考慮 IT、OT 和 IoT 設備可見度，是管理漏洞和保護這些環境的重要第一步。

基於零信任、有效原則實施和持續監視的防禦有助於限制潛在的 RADIUS，並在雲端連線環境中防止或控制此類事件。

研究 OT 設備需要特定的獨特知識，了解工業控制器的安全性狀態至關重要。Microsoft 向 Defender 社區發佈了開源取證工具，以幫助事件回應者和安全性專家更好地了解其環境，並調查潛在事件。

雖然大多數人認為關鍵基礎結構是指道路和橋樑、公共交通、機場以及水和電網，但 CISA 最近建議太空和生物經濟成為新的關鍵基礎結構區域。理由是美國經濟各個部門可能會受到破壞，從而對社會造成破壞性影響。鑒於世界對衛星能力的依賴，這些領域的網路威脅可能產生遠遠超出我們迄今為止所看到的全域影響。

建議

實作新的和改進的原則： 源自零信任方法和最佳做法的原則提供了一種整體方法，可在所有裝置上實現無縫安全性和治理。
採用全面而專用的安全性解決方案： 啟用可見性、持續監視、受攻擊面評量、威脅偵測和回應。
教育和培訓： 安全性團隊需要專門針對源自 IoT/OT 系統或針對 IoT/OT 系統的威脅進行培訓。
研究增強現有安全性作業的方法： 解決 IoT 和 OT 安全性問題，在所有環境中實現統一的 IT 和 OT/IoT 安全性作業中心。

通過 Microsoft 威脅情報、IoT/OT 安全研究主管 David Atch 的深入解析, 詳細了解如何幫助保護組織。

從 2020 年到 2022 年，熱門供應商生產的工業控制裝置中高度嚴重性弱點的揭露增加了 78%。¹

Microsoft 確認，客戶 OT 網路中 75% 最為常見的工業控制器存在未修補的高嚴重性漏洞。¹

超過 100 萬台連線設備在運行 Boa 的網際網路上公開可見，Boa 是一種過時且不受支援的軟體，仍廣泛用於物聯網設備和軟體開發套件（SDK）。¹

[1]

方法：對於快照資料，Microsoft 平臺（包括適用於 IoT 的 Microsoft Defender、Microsoft 威脅情報中心和 Microsoft Defender 威脅情報）提供了有關設備漏洞的匿名數據，例如配置狀態和版本，以及有關元件和設備上的威脅活動的數據。此外，研究人員還使用了來自公共來源的數據，例如國家漏洞資料庫（NVD）和網路安全性&基礎架構安全性（CISA）。關於「客戶 OT 網路中 75% 的最常見工業控制器存在未修補的高嚴重性漏洞」的統計數據基於 Microsoft 在 2022 年的業務開發。關鍵環境中的控制系統包括電子或機械設備，這些設備利用控制迴圈來提高生產、效率和安全性。