NIST發布製造業資安實務指南草案，聚焦ICS網路攻擊事件應變與復原

這份指南也參考NIST另外兩份文件，分別是：《NISTIR 8428》以及《NIST SP 800-61r3》；前者提供營運技術（OT）環境的數位鑑識與事件回應流程，後者則協助製造業者依循NIST CSF 2.0，將資安事件的通報、分析、處置與復原整合至資安風險管理流程

在實作層面，《製造業資安實務指南》以NIST CSF 2.0為基礎，聚焦該框架中的「回應」（Respond）與「復原」（Recover）兩項核心功能。NCCoE與11家產業合作夥伴建立模擬離散製造現場的示範環境，透過商用資安與工控技術，示範ICS環境遭遇資安事件後的應變流程，包括事件通報、日誌檢視、事件分析、系統隔離、清除入侵跡象與受影響項目，以及逐步恢復營運。參與合作的業者涵蓋AWS、Google Cloud，思科（Cisco）、Dragos、Garland Technology、Tenable等網通與資安業者，以及洛克威爾自動化（Rockwell Automation）、西門子（Siemens）等工控業者。

具體來看，這份指南列出3種演練情境。首先，模擬攻擊者利用USB隨身碟將惡意檔案植入工程工作站，進而感染監督層人機介面（Human Machine Interface，HMI），造成操作畫面失效。第二類情境則模擬攻擊者竊取IT憑證後，利用設定錯誤的防火牆系統，從企業網路進入ICS網路，存取資料歷史庫，並將大量歷史資料傳送到外部伺服器；組織需透過日誌、網路流量分析與端點資訊，釐清資料外洩路徑與影響範圍。

第三種情境聚焦未經授權控制指令。攻擊者利用遭竊憑證存取工程工作站，操作內部軟體變更控制輸送帶的可程式化邏輯控制器（Programmable Logic Controller，PLC）參數，使產線生產出不符合規格的產品，最後導致生產中斷。

另一方面，NIST也提醒，ICS環境不能直接套用一般IT資安控制措施。以IT環境常見的入侵防護系統（Intrusion Prevention System，IPS）為例，ICS重視即時反應與可預期運作，若IPS將安全控制相關通訊誤判為威脅並加以阻擋，反而可能干擾現場安全機制或產線運作。因此，組織規畫ICS事件回應架構時，不能只評估資安防護效果，也要同步考量製程需求、設備運作特性與現場安全風險。

整體而言，NIST這份《製造業資安實務指南》提醒，組織若能完整蒐集設備、系統與網路日誌，提升監控資料的可視性，並透過行為分析及早發現設備或網路活動異常，再搭配不易遭竄改的備份儲存方式，保存可用於復原的良好組態與備份檔案，將有助於縮短從發現異常到完成調查處置的時間，提升ICS環境的復原能力與營運韌性。