鬼故事 - 糟了，是世界奇觀

Credit: Unkonwn (Skritch, Skritch)
靈感來源: UCCU Hacker

故事開始

這次的故事又回到我們的支援工程師小華，
小華跟小彎都是同時畢業的小菜鳥，但小華進入職場的時間比較早，
而這次要講的故事是小華進入工廠廠區的故事。

小華這次跟著前輩一起去做報告，第一次進入廠區十分的興奮，
而這次報告的內容是公司對不同廠區做資安健診的建議與內容，
小華想說身為台灣重要產業的這些廠商，資安一定做得很好吧！
雖然聽不到有趣的內容，但是難得到工廠還是難得的體驗。

會議開始，當會議進展到作業系統盤點的清單的時候，
小華看到了比他年紀還大的作業系統名稱(e.g. Windows NT, Windows 95)，
當下傻眼了(可以猜猜小華可能是甚麼時候出生的)，
但大家似乎是習以為常。

前輩：這次我們掃描的廠區有!@#$%，其中有部分已經停止支援很久的作業系統
甲方：等等，這些我們都知道，你們不是第一個提的，繼續往下吧
前輩：我們服務那麼多客戶，我們也知道 OT 區域的機台大部分都停止支援了，所以這不是我想表達的。
前輩：這次服務並沒有直接進入 OT 區網路進行掃描，但我們的自動化檢測有發現 OT 區的電腦。
前輩：我們認為 OT 區的網路可能沒有完全隔離，所以建議檢查這塊。
甲方：(!!!!)
小華(心裡感嘆)：原來就算產值這麼大的公司還是會有疏漏的

資安探討

上古神機是死罪嗎？

這個故事的發生地點是工廠，
以資安來講有分 IT 與 OT 安全，我們沒辦法以 IT 的安全來看 OT 安全，
先講講 IT 吧，在討論資安的時候大概會以這幾種為討論優先權
機密性、完整性和可用性(confidentiality, integrity and availability)
真要排個類別，資安人士通常會說這是 CIA，機密性優先再來討論完整性與可用性。

但 OT 領域就不同了，OT 資安算是近幾年被高度注重的事情，
其中有太多歷史共業與機台無法替換的問題，
例如：

• 機台廠商倒了，不開發了
• 產線不能停，停下來就賠錢，想升級之後再說吧
• 產線設備的製造商漏洞，市面上也沒其他東西能選了，先用吧

OT 領域如果你去看國際 OT 資安標準，例如 IEC 62443，
你會發現強調的是 AIC ，可用度為優先，在不影響產線的情況下做最好的資安決策，
這會是 OT 領域的挑戰也是這些公司需要的。

會到我們主題，上古神機可能比閱讀這些文章的你年紀還大的主機，
這些機器真的就該死嗎？我想答案是否定的，因為在不影響生產的情況下，
不升級、置換是較好的選擇。那麼對於企業，要怎麼把它做得更好呢？

在這邊提出一些小建議：

1. 詢問廠商升級機台作業系統的可能性，這可能會需要升級費用，例如升級一台要十萬
2. 添購網路層級偵測設備，防範針對 OT 的攻擊。為什麼是"偵測"而不是保護，因為怕斷線影響可用性！
3. 網路分隔，OT 區設備就應該鎖定在 OT 區，才不會像是本篇故事中的廠商，在 IT 網路能夠掃到 OT 主機。避免當有人從外部入侵 IT 區之後，OT 區主機同時被碰到的資安慘劇發生，畢竟裡面上古神機很多啊。