Check Point Software Technologies Ltd.
資深技術顧問
溫德鈞
Veeam Software
資深亞洲區域技術顧問
陳瑞文 Wales Chen
Palo Alto Networks
資安顧問
曾國偉
eASPNet 數位通國際
資深技術顧問
黃仕宇
我們提供本研討會主講者同意授權的演講檔案,歡迎參與來賓下載。
如果遇到檔案無法下載,請檢查您的電腦是否有以下狀況,而造成下載問題:
今(2020)年5月,攸關民生需求的關鍵基礎設施遭駭,引發各界震驚;到了下半年,多家上市櫃公司接連感染勒索病毒,其中不乏電子五哥級的大廠,顯見災情日益嚴峻。專家提出警語,因2020年駭客的收益飽滿,2021年必定持續展開勒索軟體攻擊。
此刻正好是5G起飛、「雲+網+端」強勢匯流的關鍵時期,預期2021年企業數位轉型的步伐勢必加快許多;當IT、CT與OT趨於緊密融合之際,形同給予駭客更多可乘之機,能好整以暇地將勒索軟體等惡意程式,送入工廠內高價值的生產設備或營運系統中,據此索討鉅額贖金。
隨著工控資安風險急遽攀升,製造業者無不繃緊神經;因此
2020年是5G商轉元年,而5G有別於過去2G、3G和4G,挾著前所未有的高頻寬(eMBB)、低延遲(URLLC)和廣連結(mMTC)等優勢,成為史上最能支持企業應用的行動通訊技術,因而使「5G專網」需求看漲。當5G被佈建到企業內部環境,促成IT、CT和OT網路相連,導致資安威脅隨之增加。
工業技術研究院技術副理王子夏表示,針對5G通訊帶來的資安議題,其實與URLLC及mMTC兩項特性較有關聯。以URLLC而論,相關應用情境主要在於工控自動化、無人載具或遠距醫療,一旦出狀況,可能造成巨大損失、甚至危及使用者生命安全,亟需結合完善的資安管控。
今(2020)年7月起,台灣5G正式進入商轉,挾高頻寬、高密度及低延遲等優勢,使各界看好5G能承載智慧物聯多元應用服務,帶動智慧製造、智慧醫療、智慧城市、自駕車、無人載具等創新應用蓬勃興起。微軟亞洲區解決方案副總經理馮立偉預期,各個垂直產業在5G的應用發展,都有很高的未來性。
馮立偉認為,5G合適的運用情境十分多元,其中Video Content Delivery、自駕車、AR/VR、IIoT是發展性最強的四大領域;只因CPU、GPU等運算科技已發展到先進水平,過去唯有網路頻寛的發展相對落後,因而抑制創新應用的進程,如今5G問世,補強懸殊已久的罩
據SANS Institute調查,超過72%工業現場採用以IP為基礎的通訊,針對工業設備進行控制、設定和資料採集;但高達79%用戶對於管理IIoT設備的資安缺乏信心。顯見資安問題已為IIoT營運模式帶來重大考驗。
工業網通大廠四零四科技(Moxa)產品行銷經理郭彥徵指出,隨著近年工業資安事件頻傳,可從中觀察到一個值得憂慮的趨勢,以往事件多屬於「非目標式攻擊」,受害者只是無辜遭惹橫禍,但近1~2年情勢生變,「鎖定性攻擊」出現頻率激增,意謂駭客會針對工業場域量身訂製攻擊計畫,使防護難度更高,業主更需多加小心。
以往鮮少有人認為IoT/OT基礎設施蘊藏資安風險,但歷經近年多起Target Ransom資安事故,令多數人徹底改觀。這些攻擊事件,不只釀成產線中斷,還可能導致關鍵基礎設施停擺,影響社會大眾的生命財產安全。
趨勢科技資深技術顧問黃源慶表示,綜觀近年IoT/OT事故,可歸類為三大型態。第一是勒索蠕蟲加密半導體廠或電子廠所有機台電腦,造成營運中斷,例如某大廠曾遭遇此類事件,導致產線停擺4天、大量材料報廢,估計虧損逾新台幣25億元。第二是APT Ransom肆虐傳統製造、高科技電子廠、關鍵基礎設施等等場域,使主機設備被加密勒索,釀成營運中斷。
事實上,IoT/OT裝置並非只出現在工廠,或是油水電等關鍵基礎設施場域,各個行業幾乎都有,比方說IP Camera、門禁設備、Router、打卡鐘...等等多不勝數的裝置皆是。可以肯定,你我的網路環境中都有許多IoT/OT設備,連帶蘊藏著不低的資安風險。
Check Point資深技術顧問溫德鈞認為,比起一般電腦設備,IoT設備更容易遭受攻擊與入侵,主要是因為,它們擁有老舊的作業系統、缺乏安全性的連線、設計時沒有安全性考量、過於簡單的認證方式且多使用預設值、更新難度高且甚至無法更新...等等。
總之只要有IP,駭客都進得去,也都可以掃出一
因IoT資安事件頻傳,不只引發產業界高度關注,也驅使各國政府制定相關法規,包括ENISA、美國NIST都針對IoT設備安全著手擬定強制性規範。
不僅如此,Security Ecosystem概念也逐步成形,如同金字塔,從最底部的硬體安全逐層而上,包含軟體安全、平台安全、雲端安全乃至最上層法規與認證的制約,每一層皆須確保安全。以硬體安全而論,須奠基於信任根(Root of Trust),藉由可靠的安全元件(Secure Element)、信任平台模組(TPM),以及安全快閃記憶體(Secure Flash)等等來保障系統安全。
向來負責存取韌體及重要代
隨著工業4.0浪潮推進,使工廠的機台設備與資訊系統連結的更深,也開始運用大量IoT裝置,即時監測機台運作狀態。綜觀工業4.0最重要的組成元件,不外乎三大項,一是負責現場管控和監督的現場控制單元、設備電腦或人員輸入;二是負責生產規劃的MES;三是統籌企業營運管理的ERP。
Veeam Software資深亞洲區域技術顧問陳瑞文指出,上述三大組成元件,可視為「現代製造資訊系統」,堪稱智慧工廠的生命線,假使停止運作,同一時間生產線的運作就立即停頓;更可怕的,萬一這條生命線的資料損毀殆盡,過往重要紀錄便化為雲煙,讓產線陷入更大停擺危機。
如何避免
過往駭客或惡意程式染指的對象,都落在IT場域,但近年情勢丕變,OT場域所遭受的資安威脅急遽增加。考量及此,有的關鍵基礎設施業主決定強化資安,制定長達4~5年的計畫,準備好好重整其防火牆、網路設備、資料備份機制...等安全架構,但問題來了,現在佈建的防護技術,能否抵禦4~5年後的惡意攻擊型態?著實值得商榷。
安碁資訊產品經理方亨謙強調,正所謂術業有專攻,與其自行摸索、部署、維運OT資安架構,耗時費工又不見得有效,不如直接引入專業服務,更能有效加速OT資安佈建進程。
但無論業主決定以何等方式推動OT資安防禦,第一步皆須做到「知己知彼、百戰百勝
長期關注資安的人皆有深刻體會,不同時期都有當下流行的攻擊樣態,可能逾越企業既有防禦範圍,此時只好斥資增購新的防護方案。長此以往,不僅徒增建置費用,更衍生沉重維運負擔,但更可怕的是,當眾多設備此起彼落頻發告警,會讓管理者窮於應付,索性充耳不聞,就這麼讓威脅悄然潛入。
花錢買設備,不但沒收到預期收禦功效,反倒形成更多的資安管理缺陷,教企業主情何以堪?如何避免陷入這般窘境?Palo Alto Networks資安顧問曾國偉認為,只要能借助單一網路安全平台、完整涵蓋各個防護面向,就無需疊床架屋,便可做到化繁為簡,透過一致性、整體性、最佳化的保護與體驗,更有效率地解決資
隨著5G浪潮來襲,可望帶動多元的萬物聯網應用需求,如在製造工廠場域,可憑藉智慧物聯網管理平台(AIoT)為核心,使生產、品管、運輸、能源管控乃至倉儲等等環節邁向智慧化,加速實現工業4.0目標。
數位通國際資深技術顧問黃仕宇指出,萬物聯網下,將有更多人透過各種裝置上網取得服務,連帶驅使服務提供者必須提供更彈性的網路頻寬、運算資源和資料空間,繼而幫助企業實現基礎設施上雲、平台系統上雲、業務應用上雲等目標,使其營運操作更穩定順暢。
伴隨連線的裝置、傳輸的資料和用戶資訊愈來愈多,同時也帶來更多的資安破口與資安風險,因此服務提供者肩負重任,必須全力強化雲端安全
眾所皆知我國的資通安全管理法除定義公務機關、特定非公務機關的資通安全責任外,也特別針對關鍵基礎設施(Critical Infrastructure;CI)的資安規範多所著墨。CI指的是實體或虛擬資產、系統或網路,其功能一旦停止運作或效能降低,恐對國家安全、社會公共利益、國民生活或經濟活動造成重大影響。
國立中興大學資訊科學與工程系教授兼資通安全研究中心主任廖宜恩認為,欲強化關鍵基礎設施資安防護,須先徹底改變資安思維與價值命題,一方面將「事後考慮」舊思維轉向「資安始於設計」新思維,另一方面將「資安即成本」的價值觀調整為「資安即利潤」。
此外