企業轉型| 關鍵基礎條例實施在即 營運系統安全備受關注

Fortinet香港區總經理馮家健（左)Fortinet 北亞與香港資訊安全總監鄺偉基(右).(右）：不少關鍵基礎設備營運者有不少OT系統，以傳統IT保安難以保護。

[企業轉型]

香港政府立法保護關鍵基礎設施，未來8個界別包括能源、資訊科技、銀行和金融服務、陸上交通、航空交通、海運、醫療保健以及通訊和廣播機構，列為關鍵基礎設施，受條例的規管。

政府在立法會首讀和二讀並進行諮詢，雖然其他地區有類似立法，本港仍在摸索監管模式，諮詢期內政府也調整規定，放寬嚴重事故通報時限至12小時，與金融管理局的要求看齊。

條例要求被定義為關鍵基礎設施營運者（CIO），設立專責單位負責監督安全，識別和保護關鍵系統，制定應變方案並定期安全演習，營運者又須透過定期審核，評估安全措施成效。新條例下，亦要求培訓人員和供應商員工的安全意識。

基礎設施營運者監管由保安局專責辦公室監管，但不公布基礎設施營運者名單，被納入關鍵基礎持續增加，須配設適當保安產品，以符合法例要求。

營運系統挑戰大

一般基礎設施包括機構，IT系統早具保安機制，較大挑戰卻是保護營運（OT）系統，例如能源工業有發電和傳輸設備，包括ICS（工業控制系統）、SCADA（監控和數據獲取）系統、PLC（可編程邏輯控制器）、DCS（分散式控制系統）以及其他管理工業流程器材，都有可能受攻擊，以往卻只是有限度受保護。

醫療機構也有不少設備，非屬於IT部門管轄，較少考慮安全設計，法例生效後，如果影響到病人，亦須加以保護。

Fortinet北亞與香港資訊安全總監鄺偉基指，以往OT系統較注重可用性，很少更新系統堵漏漏洞，極易受攻擊。OT系統設備數量繁多，法例若要求定期安全審核，實際上難以監察執行。鄺偉基建議，近年興起的Deception Technology (誘捕技術)可助OT加強保安，透過虛擬化方式，模擬各種IT和OT環境常見的元件作為誘餌，吸引攻擊者的上釣，設置的陷阱不斷偵察可疑活動，發現威脅後馬上隔離，符合法例要求並減少損害。

誘捕技術與傳統的網絡誘捕技術「蜜罐」（Honeypot）相似。「蜜罐」是透過偽裝成提供服務作業系統和伺服器，故意減低防護，部署於防火牆外誘使攻擊者入侵，以觀察攻擊手法及策略。誘捕技術則自動化部署大量的誘餌，與防火牆與SIEM連接，必要時更可即時自動隔離。概念上接近「蜜罐」，應用範圍則更大，同時更可偵察內部入侵。

鄺偉基表示，以FortiDeceptor誘捕技術為例，可偽裝70多種設備，除了作業平台和VPN設備，亦可偽裝成SCADA和ERP，甚至不同專業設備，包括POS收銀機和醫療影像設備、影像傳輸設備及圖像顯示、數據儲存以至數碼成像設備等。

誘捕技術偵察到攻擊後，可按攻擊嚴重程度，內容的真實系統或應用受攻擊之前，選擇手動或自動阻擋。誘捕技術結合到防火牆和網絡，亦可以起到隔離和攔截的作用。

偵察隔離一氣呵成

鄺偉基說，誘捕技術發現入侵，馬上連接到安全信息和事故管理(SIEM)系統，通知防火網和網絡隔離，只要在網絡實施「微分段」（Microsegmentation） 將劃分網路為更安全的小段，就可有效保護OT和IoT設備。

微分段為不同用戶和流程分配特定存取權限，甚至僅允許特定時段訪問設備，或者可以實施流量隔離，以虛擬網絡VLAN，不同功能OT設備會劃分不同微分段，通過分類OT應用層協議，如 Modbus和DNP3 等，再實施不同微分段，例如只允許合法Modbus訪問在特定設備之間傳輸，阻止非法協議在某一個微分段內操作。

鄺偉基說，誘捕技術與FortiGate防火牆的整合，針對攻擊自動隔離，阻擋內部或外部惡意行為來源IP，防止威脅向橫移動感染其他設備，鎖住攻擊在隔離的區段。他指，法例也提升了事故應變能力要求，企業必須強化網絡安全框架，進行定期安全審核，引入新技術幾乎勢在必行。