![fortinet](https://www.it-square.hk/wp-content/uploads/2025/01/0120fortinet-1024x693.webp)
[企業轉型]
香港政府立法保護關鍵基礎設施,未來8個界別包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播機構,列為關鍵基礎設施,受條例的規管。
政府在立法會首讀和二讀並進行諮詢,雖然其他地區有類似立法,本港仍在摸索監管模式,諮詢期內政府也調整規定,放寬嚴重事故通報時限至12小時,與金融管理局的要求看齊。
條例要求被定義為關鍵基礎設施營運者(CIO),設立專責單位負責監督安全,識別和保護關鍵系統,制定應變方案並定期安全演習,營運者又須透過定期審核,評估安全措施成效。新條例下,亦要求培訓人員和供應商員工的安全意識。
基礎設施營運者監管由保安局專責辦公室監管,但不公布基礎設施營運者名單,被納入關鍵基礎持續增加,須配設適當保安產品,以符合法例要求。
營運系統挑戰大
一般基礎設施包括機構,IT系統早具保安機制,較大挑戰卻是保護營運(OT)系統,例如能源工業有發電和傳輸設備,包括ICS(工業控制系統)、SCADA(監控和數據獲取)系統、PLC(可編程邏輯控制器)、DCS(分散式控制系統)以及其他管理工業流程器材,都有可能受攻擊,以往卻只是有限度受保護。
醫療機構也有不少設備,非屬於IT部門管轄,較少考慮安全設計,法例生效後,如果影響到病人,亦須加以保護。
Fortinet北亞與香港資訊安全總監鄺偉基指,以往OT系統較注重可用性,很少更新系統堵漏漏洞,極易受攻擊。OT系統設備數量繁多,法例若要求定期安全審核,實際上難以監察執行。鄺偉基建議,近年興起的Deception Technology (誘捕技術)可助OT加強保安,透過虛擬化方式,模擬各種IT和OT環境常見的元件作為誘餌,吸引攻擊者的上釣,設置的陷阱不斷偵察可疑活動,發現威脅後馬上隔離,符合法例要求並減少損害。
誘捕技術與傳統的網絡誘捕技術「蜜罐」(Honeypot)相似。「蜜罐」是透過偽裝成提供服務作業系統和伺服器,故意減低防護,部署於防火牆外誘使攻擊者入侵,以觀察攻擊手法及策略。誘捕技術則自動化部署大量的誘餌,與防火牆與SIEM連接,必要時更可即時自動隔離。概念上接近「蜜罐」,應用範圍則更大,同時更可偵察內部入侵。
鄺偉基表示,以FortiDeceptor誘捕技術為例,可偽裝70多種設備,除了作業平台和VPN設備,亦可偽裝成SCADA和ERP,甚至不同專業設備,包括POS收銀機和醫療影像設備、影像傳輸設備及圖像顯示、數據儲存以至數碼成像設備等。
誘捕技術偵察到攻擊後,可按攻擊嚴重程度,內容的真實系統或應用受攻擊之前,選擇手動或自動阻擋。誘捕技術結合到防火牆和網絡,亦可以起到隔離和攔截的作用。
偵察隔離一氣呵成
鄺偉基說,誘捕技術發現入侵,馬上連接到安全信息和事故管理(SIEM)系統,通知防火網和網絡隔離,只要在網絡實施「微分段」(Microsegmentation) 將劃分網路為更安全的小段,就可有效保護OT和IoT設備。
微分段為不同用戶和流程分配特定存取權限,甚至僅允許特定時段訪問設備,或者可以實施流量隔離,以虛擬網絡VLAN,不同功能OT設備會劃分不同微分段,通過分類OT應用層協議,如 Modbus和DNP3 等,再實施不同微分段,例如只允許合法Modbus訪問在特定設備之間傳輸,阻止非法協議在某一個微分段內操作。
鄺偉基說,誘捕技術與FortiGate防火牆的整合,針對攻擊自動隔離,阻擋內部或外部惡意行為來源IP,防止威脅向橫移動感染其他設備,鎖住攻擊在隔離的區段。他指,法例也提升了事故應變能力要求,企業必須強化網絡安全框架,進行定期安全審核,引入新技術幾乎勢在必行。