【Cyber Signals】OT與IT系統界線越趨模糊 微軟:關鍵基礎架構風險上升
隨著 IT、營運科技(OT)及物聯網(IoT)之間的連接性不斷提升,企業及個人需重新考慮網絡威脅帶來的影響及後果。Microsoft日前公布第三期 Cyber Signals 報告,揭示關鍵基礎架構的風險上升,對於各行業的企業和基礎架構承辦商而言,防禦措施的重要性亦隨之提高。
焦點數據:
— Microsoft 從其客戶 OT 網絡中發現 75% 常見工業控制器中具未修補的高嚴重性漏洞
— 從 2020 至 2022 年期間,由較廣泛的供應商生產的工業控制設備中具高嚴重性漏洞的較以往增加 78%
— 超過 100 萬部連接的設備運行在 Boa 的互聯網上
Microsoft 每天收集到 43 萬億個安全信號,及匯聚 8,500 名全球網絡安全專家建議的趨勢及見解,報告中結合涵蓋 IT、IoT 及 OT 系統。OT 結合硬件及軟件,是與現實環境對接的管理設備,如樓宇管理系統、消防控制系統,以及出入口與升降機等實體連接控制系統。然而,當處理能源、交通及其他基礎架構的 OT 系統與 IT 系統的連接越趨緊密,兩者之間的界線越模糊,中斷及損壞的風險也會增加。
Microsoft 從其客戶 OT 網絡中發現 75% 常見工業控制器中具未修補的高嚴重性漏洞,反映即使企業資源充足,惟要停運控制系統來修補機器,是相當具挑戰性的。而在 2020 至 2022 年期間,主要供應商生產的工業控制設備中,被揭露為高嚴重性漏洞的數量大幅增加了 78%。
另外,Microsoft 也發現超過 100 萬部連接的設備運行在 Boa 的互聯網上,而 Boa 是一種過時且不受支援的軟件,但仍被廣泛應用於 IoT 及軟件開發工具上。
Microsoft 指出無論企業或個人,使用零信任安全模式保護物聯網,要從非特定針對物聯網的要求開始,即實施身份驗證及裝置防護,並限制權限。這些要求包括明確的用戶驗證、網絡設備的透明度,及實時的風險檢測。