善用物聯網安全方案 讓駭客無機可乘
在物聯網熱潮延燒下,接續繁衍工業4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產業浪潮;若以物聯網資安議題而論,尤其以工業4.0跳躍幅度最大,只因製造業過往採用封閉的序列通訊協定,尚可忽視安全課題無妨,如今走向IP通訊化,即需面對從零分到滿分的快速進化需求。
不可諱言,從以往各自獨立運作的系統,邁入萬物皆可互聯的物聯網時代,其間轉變確實相當劇烈,而且這般的變革,對於不論是企業競爭力、人類生活品質,都可謂美事一樁,此乃由於,經由物聯網裝置所產生數據的分析探勘,可望從中挖掘寶貴的資訊,一旦加以善用,將能提升企業組織運作效率,連帶強化營運競爭力,同時有助於促使人類生活更趨精采多姿。
儘管從過去一座座「筒倉(Silo)」(意指獨立封閉的系統架構),邁入萬物互聯新局,確實可望觸發無窮效益,但在轉折過程中,不乏有嚴峻挑戰亟待面對,最顯著的考驗,無疑正是資訊安全,主要是由於,過去筒倉採用自成一格的通訊協定,鮮與外界溝通,駭客對這些封閉語言一無所知,所以無從出手製造任何安全威脅,今天工廠設備走向IP通訊化,不再是與世隔絕的筒倉,至此情勢出現大幅逆轉。
以現今熱門的工業4.0議題為例,製造業導入工業物聯網後,使以往蜷縮在一個個不同筒倉裡頭的機台設備,開始試圖藉助工業界標準語言,與外面的世界溝通,溝通的對象不僅含括異質設備、製造執行系統(MES),同時還有更上層的ERP、雲端大數據平台,旨在滿足遠端監控與預防保養等需求;但在追求創新突破之際,也背負「門戶洞開」的安全風險。
筒倉走向開放 安全挑戰接踵而至
曾有廠務主管透露,伴隨工廠設備開始聯網,諸如跳電、機器故障等意外插曲,似乎也跟著增多,雖然增加的幅度看似不大,造成的停機時間也不算長,但製造企業對於產線的持續高效率運轉,一向極為倚重,只因為停機時間與次數一旦增加,輕則影響產能、壓低稼動率,重則導致製程整個報廢,讓原物料付之一炬,因而蒙受可觀財務損失,甚至造成交期延宕、衝擊商譽,後果著實不容小覷;深究箇中原因,不乏肇因於病毒或惡意程式而引發機台設備故障之例,更可怕的是,如果諸如此類現象一再發生,合理懷疑已有駭客侵門踏戶,此時企業便需提高警覺,檢視是否有機密智財出現外洩。
意欲清除這些負面因子,則負責企業操作技術(Operation Technology;OT)的人士,實有必要向執掌資訊科技(IT)事務的同仁看齊,認真考慮部署相關安全防護設備,從VPN與防火牆的架設作為起步;眾所周知,防火牆並非新穎技術,迄今發展歷程已超過20年,而且防護實力日益強大,但問題是,製造業者欲以一般商用VPN防火牆系統保護工業控制網路,顯然並不適合。
業者解釋,一般常見商用防火牆,擅於守護Intranet之內的伺服器、個人電腦等眾多運算節點,也成為這些節點通向網際網路的唯一出入閘口,因進出流量大,所以防火牆不可能逐一攔阻並詳查每個封包,僅能藉由封包來源與目的地來驗證其合法與合理性;反觀工業控制網路,與Intranet情況大異其趣,內含的設備數量相對有限,傳輸的資料量也較小,不過單一封包所蘊含的價值,卻遠比Intranet進出流量要大上許多,所以單憑商用防火牆查看封包位址與去向之模式,肯定不敷需求,必須導入工業用防火牆,藉以辨識諸如EtherCAD、Profinet等工業通訊協定,理解不同機台設備慣用的溝通話術,從而深入剖析與細膩檢查資料流量,如此才能即時察覺異常現象。
善用工業協定防火牆 有助遏止駭客進犯
比方說,假設工廠內部所採用的機械手臂,按常理所需執行的作業步驟,依序包含了A、B、C、D、E等五道程序,此時如果出現駭客入侵現象,透過惡意程式的施放,意圖控制機械手臂將執行步驟改為A、B、C、D、F,等於更動了箇中一道程序;對於這般變化,商用防火牆理當難以察覺,只因這類系統對於工業通訊協定的辨認能力不足,反觀工業防火牆,即可在第一時間斷然制止,不允許有人擅自更改控制規則。
事實上也有少部份商用防火牆,在成立之初,便誓言跳脫單純的TCP/IP協定,養成足以解析所有網路流量內容的實力,如今得以朝向物聯網安全、工業4.0安全等領域靠攏,譬如Palo Alto Networks便是一例。製造企業若將Palo Alto Networks閘道設備佈建於工業控制網路,即使面對「Modbus Read Only」(僅容許讀取Modbus端資訊、不允許寫入)的規則條件,也有能力加以辨識,並且落實執行,單憑這點,便與一般商用防火牆產品大不相同。
另一方面,Palo Alto Networks面對工業控制網路的防護重任,不管守護對象是工業電腦、SCADA或ICS(工業控制系統),都堅守零信任原則,是假定所有內部使用者都是不安全的,因以每個同仁的一舉一動,都必須完全符合既定行為規範,不容許有任何差池,所以萬一有任何使用者節點,不慎遭駭客植入惡意程式,意圖做出超乎規範的行徑,只要踏出第一步,必定立即遭到Palo Alto Networks系統遏阻。
藉助單向閘道器 實現實體網路隔離
Intel Security(原名McAfee)也是甚早跨足物聯網安全防護的業者,其標榜以白名單為管控基礎,與前述零信任架構頗有異曲同工之妙;所謂白名單,主要是透過一套動態白名單機制,用以鎖定物聯網裝置的原始軟體設定,避免被納管的裝置擅自執行未經授權的程式碼,藉此確保裝置的安全性;之所以必須這麼做,道理其實很簡單,因為世上沒有任何一個安全解決方案,足以100%解決現今與未來所有風險,面對發展方興未艾的物聯網應用,欲妥善管理如此大的不確定性,「強力限縮存取權限」無疑是最理想的做法。
此外,類似像發電廠等以往走封閉路線、如今開始聯網(基於智慧電力調度)的關鍵基礎設施,由於關鍵性非同小可,完全不容許一絲一毫遭到駭客染指,故防護措施必須更加嚴謹;著眼於此,有業者開始援引Waterfall單向網路安全閘道器,形塑一種訴求「實體網路隔離」的解決方案。
據悉,現階段面對關鍵維運作業資料即時交換需求,意欲防止遭受網路攻擊,企業通常採取兩種做法。一是藉由防火牆,將該網路區域劃分成一個隔離的網路環境,接著運用防火牆規則來限制箇中存取行為,然而此做法的疑慮,在於隔離與非隔離網路環境的實體層依然相通,倘若防火牆規則有所疏漏,仍可能導致兩個網路環境的界線趨於模糊。另一做法,則是直接以實體隔離方式,切斷機敏網路區段的對外通訊,但此舉將對內外網資料交換構成阻礙,這時企業只好以可攜式儲存裝置來滿足交換需求,反而導致追蹤與稽核不易,衍生更大風險。
透過單向網路安全閘道器,則迫使任何資料僅能從TX Gateway複寫到RX Gateway,完全杜絕了任何反向通訊的可能性,如此一來,駭客欲利用傳統三向交握機制的盲點,從中找尋可供切入的縫隙,勢將鎩羽而歸。