鬼故事 - 糟了，是世界奇观

Credit: Unkonwn (Skritch, Skritch)
灵感来源: UCCU Hacker

故事开始

这次的故事又回到我们的支援工程师小华，
小华跟小弯都是同时毕业的小菜鸟，但小华进入职场的时间比较早，
而这次要讲的故事是小华进入工厂厂区的故事。

小华这次跟着前辈一起去做报告，第一次进入厂区十分的兴奋，
而这次报告的内容是公司对不同厂区做资安健诊的建议与内容，
小华想说身为台湾重要产业的这些厂商，资安一定做得很好吧！
虽然听不到有趣的内容，但是难得到工厂还是难得的体验。

会议开始，当会议进展到作业系统盘点的清单的时候，
小华看到了比他年纪还大的作业系统名称(e.g. Windows NT, Windows 95)，
当下傻眼了(可以猜猜小华可能是甚麽时候出生的)，
但大家似乎是习以为常。

前辈：这次我们扫描的厂区有!@#$%，其中有部分已经停止支援很久的作业系统
甲方：等等，这些我们都知道，你们不是第一个提的，继续往下吧
前辈：我们服务那麽多客户，我们也知道 OT 区域的机台大部分都停止支援了，所以这不是我想表达的。
前辈：这次服务并没有直接进入 OT 区网路进行扫描，但我们的自动化检测有发现 OT 区的电脑。
前辈：我们认为 OT 区的网路可能没有完全隔离，所以建议检查这块。
甲方：(!!!!)
小华(心里感叹)：原来就算产值这麽大的公司还是会有疏漏的

资安探讨

上古神机是死罪吗？

这个故事的发生地点是工厂，
以资安来讲有分 IT 与 OT 安全，我们没办法以 IT 的安全来看 OT 安全，
先讲讲 IT 吧，在讨论资安的时候大概会以这几种为讨论优先权
机密性、完整性和可用性(confidentiality, integrity and availability)
真要排个类别，资安人士通常会说这是 CIA，机密性优先再来讨论完整性与可用性。

但 OT 领域就不同了，OT 资安算是近几年被高度注重的事情，
其中有太多历史共业与机台无法替换的问题，
例如：

• 机台厂商倒了，不开发了
• 产线不能停，停下来就赔钱，想升级之後再说吧
• 产线设备的制造商漏洞，市面上也没其他东西能选了，先用吧

OT 领域如果你去看国际 OT 资安标准，例如 IEC 62443，
你会发现强调的是 AIC ，可用度为优先，在不影响产线的情况下做最好的资安决策，
这会是 OT 领域的挑战也是这些公司需要的。

会到我们主题，上古神机可能比阅读这些文章的你年纪还大的主机，
这些机器真的就该死吗？我想答案是否定的，因为在不影响生产的情况下，
不升级、置换是较好的选择。那麽对於企业，要怎麽把它做得更好呢？

在这边提出一些小建议：

1. 询问厂商升级机台作业系统的可能性，这可能会需要升级费用，例如升级一台要十万
2. 添购网路层级侦测设备，防范针对 OT 的攻击。为什麽是"侦测"而不是保护，因为怕断线影响可用性！
3. 网路分隔，OT 区设备就应该锁定在 OT 区，才不会像是本篇故事中的厂商，在 IT 网路能够扫到 OT 主机。避免当有人从外部入侵 IT 区之後，OT 区主机同时被碰到的资安惨剧发生，毕竟里面上古神机很多啊。