隨著全球製造業邁向自動化與數位化轉型,OT 設備與網路串聯程度逐步上升,企業亟需升級資安策略,從傳統被動防禦思維轉向主動整合的防護架構。全球工業自動化與數位轉型領導品牌洛克威爾自動化發布 NIST 架構資安策略白皮書,針對美國國家標準與技術研究所(NIST)發布的網路安全框架(CSF)提出應用建議,呼籲產業採取主動且全方位的資安策略,以應對多變的網路攻擊。
據 NIST 架構資安策略白皮書中引用的 IDC 製造業洞察報告(IDC Manufacturing Insights 2024-2025),多數企業的 OT 資安仍採取被動策略,僅在遭遇重大危機後才投入預算。洛克威爾自動化解決方案暨工程服務事業部總監王展帆表示:「數位轉型趨勢下,IT 與 OT 的結合雖然加速生產效率,卻讓資產曝險程度也比過往有所提升,因此洛克威爾自動化積極提供解決方案及顧問協助,縮短在地企業 IT/OT 間的技術與認知差異並建構穩固的資安基礎,提升整體防禦體系的韌性。」
奠基於 NIST 網路安全架構,以「治理」驅動企業營運與風險管理
呼應 NIST CSF 2.0 版本新增「治理」為第六項核心功能,強調資安風險管理應升級至組織營運層級,洛克威爾自動化在白皮書中進一步指出治理為串聯網路安全策略的核心要素,以建立可規模化、高適應性的資安架構。
在工業環境中,IT 與 OT 團隊通常各司其職,企業須制定明確的政策歸屬,以便於風險發生時釐清權責,並促進溝通流程簡化及資源有效分配,強化防禦及應變效能。同時,透過跨部門演練模擬或建立共通語言,確保各防禦階段相互補強與協同發展,定期檢視資安政策與流程,才能由內到外稽核驗證企業的各項措施,兼顧營運管理及資安環境的完整性。
三階段資安防禦週期,強化企業韌性
OT 資安風險不僅造成數據外洩或停機影響,更面臨製程異常等物理性過失,對企業商譽及經濟帶來顯著危害,然現階段 OT 環境仍有許多設備尚未具備現代資安防禦的補強。對此,洛克威爾自動化以三階段防禦週期總結 NIST 五大架構:
- 優先建立資產識別與保護機制:工業設備老化、未知漏洞和安全控制範圍有限為資安攻擊的主要破口,企業應優先建立資產盤點、網路拓樸、資料流圖(Data-Flow Mapping),提升 OT 環境的可視度,並於網路架構中實現微分段(Micro-Segmentation)、物理隔離(Air-Gap)和端點管理,有效減少攻擊面並強化整體防禦能力。
- 日常營運側重風險偵測:高階攻擊者通常長期潛伏於 OT 環境中,逐步測試與尋找攻擊機會,因此企業需在工業環境中建立允許長期運作、具備韌性的監測機制。為全面性地檢視潛在風險,企業應落實網路流量分析結合機器學習建立安全網,同時於端點層級建立監控及日誌相關(Log Correlation)分析,落實全面性防禦策略。
- 完善回應與復原計畫:攻擊發生時,倉促應對與錯誤復原往往導致更大損害,企業應配套針對性流程指引與行動手冊、模擬真實工業控制系統(ICS)環境演練,以充足準備對抗威脅;此外,透過跨 IT/OT 部門於沙盒(Sandbox)或低負載環境測試,漸進式建立復原框架。