主動防禦、遏阻黑駭,強化工控資安防護
- 林郁玹
-
DIGITIMES 企劃
隨著工業物聯網、AI暨大數據等應用日益精進,大幅提升製造工廠的生產效率與品質,卻也讓資安風險不斷攀高。根據統計,2022年有超過9成的企業或機構,肇因於資安問題,導致未能成功實施工業物聯網專案,著實令人遺憾。
有鑒於此,DIGITIMES於日前舉行「物聯網資安」論壇,並將活動主軸定調為「打擊黑駭,嚴守工控資安」,希冀借重產研界OT資安專家的經驗與知識,協助企業剖析駭客的駭客手法和脈絡,進而對症下藥擬定主動防禦措施,有效守護工業資產安全。
零信任設計,堪稱智慧工廠資安解方
工研院資通所網路攻防技術部經理陳伯榆指出,伴隨智慧工廠的推動,過程中逐漸浮現諸多問題。係因智慧工廠是一個整合型生態系統,不會再把IT與OT獨立區隔,而是呈現集合式發展型態,其間須導入眾多元素,包含IT和OT的結合,及訊息與訊號的監控分析,最後造成威脅情況逐步擴大。
從2019年~今,全台有超過40家年營收逾300億的公司遭駭,釀成巨大營運損失。
深究其因,在於智慧工廠非一人形塑出來,需結合供應鏈協作,於是供應鏈安全強度的高低,成為影響智慧工廠面臨威脅是大或小的關鍵;因此半導業近來倡議SEMI E187標準,為的正是解決此問題。
但只顧好設備安全,不足以消弭所有風險,供應鏈本身的安全強度亦是重點,故半導體協會開始推動資安評級制度,要求供應鏈必須完全符合既定資安規範。
惟智慧工廠資安威脅隨處可見,包括設備使用預設帳密、PLC漏洞多且難更新,乃至設備商工程師缺乏安全意識…等皆是問題。在此前提下,零信任資安設計顯然是好的解題方向,藉由「從不信任、始終驗證」原則營造隔離概念,讓無法更新的設備得以延伸可用性,連帶降低安全威脅。
總之未來工廠幾乎都是相互連接的,都在Internet上,它們結合了最新資通訊網路、AI、PLC自動化設備、OT & IT,恐形成重大資安議題,須及早因應與思考。
安全高效即時溝通,智慧轉型如虎添翼
互動資通行銷處協理錢芸霞表示,疫情加速製造轉型,許多企業為化解遠距辦公下的安全挑戰,積極尋找具資安防護的溝通協作方案,不再依賴大眾IM。
而互動資通的team+為100%私有雲即時溝通協作平台,至今開發出組織管理、團隊協作、即時溝通、資安監控、提醒推播等五大模組,共計上百項功能,獲得逾5,000家企業或機構青睞採用。
以某自動化設備集團為例,早先面臨諸多痛點,因長期使用大眾IM,久而久之難以確定離職同仁還在不在,溝通上出現疑慮;另外許多檔案時間一到就無法下載及保留。故於2015年導入team+,以同
單一平台滿足跨國跨廠即時溝通需求,因而提升管理效能達20~30%,實現良好的知識傳承管理。
資安認證抬頭,安全記憶體趁勢崛起
華邦電子安全解決方案行銷企劃處技術經理李亞玲指出,資安意識抬頭,驅使眾多組織倡議不同安全標準,各界期盼藉由實際可落地執行、且落於合理價格帶的國際認證,以形成共識。
為此由百家大企業和政府機構鎖定IoT平台安全、聯手催生SESIP認證,旨在形塑更有效率的認證,且蘊含Reuse概念、可連結其他標準,而華邦亦參與其中。
李亞玲說,安全源自Root of Trust、Secure Storage,以保障資料及程式碼安全。為此華邦增闢TrustME系列產品,項下有W77Q Secure Flash、W75F Secure Flash和W76S Secure Element三大家族。
其中W77Q對應CC EAL2、SESIP L2、IEC 62443等認證,適用一般智慧家電、車用影音裝置或IoT裝置。W75F通過CC EAL5+、SESIP L3、ISO 26262等認證,適用電子支付、身分識別、車用V2X / Car Key。W76S安全等級最高,對應CC EAL5+、EMVCo等標準,適用於金融應用。
秒級備份還原,確保智慧工廠全時運轉
宇瞻科技工業儲存應用專案管理部專案主任黎佩璇說,製造業導入AIoT、5G、邊緣運算的過程中,存在著網路安全、儲存設備耐用性、遠端管理暨災難備援等多管挑戰。
為此宇瞻提供三大亮點方案。首先是支援秒級備份、秒級還原的CoreSnapshot韌體技術,且其還原機制涵蓋整體磁碟當中的資料,並不僅止於作業系統層次。
其次為Signed Firmware網路安全技術,既可確保韌體完整性,亦能確認韌體為宇瞻所創建,此外每次開機做身分確認,以確保韌體絕對未遭受竄改、達到所謂的Secure Boot。
再者是SLC-liteX,係以TLC的作動行為當做SLC來作動,耐用性可達TLC 的33倍,成本則比SLC大降86%,在儲存設備的耐用度與成本間實現最佳平衡。
以IEC 62443為基底,建構OT資安防線
四零四科技產品行銷經理郭彥徵指出,工業數位轉型帶來質變與量變,資料成為創造新價值的來源,故收集數量愈趨龐大,且將所有資訊連上網路,因而引發安全議題。
若欲強化OT安全力,建議參照IEC 62443準則,並以三步驟強化網路資安。首先借助網管理軟體實現工業現場的可視化,清楚確認網路拓撲及所有連網設備的現狀。
其次利用防火牆、NAT、VLAN做到網路區隔,輔以NGFW及NGIPS等進階設備,打造縱深防禦的網路防護佈建。
再者選擇如Moxa通過IEC 62443-4-1認證的OT設備,完成保護工業網路安全的最後一塊重要拼圖。
建立維運機制,持續監控與管理風險
安碁資訊處長張文棟表示,工控場域的資安風險,源自幾個常見問題,包括講求業務與生產需求優先,資安思維落後;產線設備老舊,安全性不足;網路存取控管與隔離不落實;工控設備缺乏系統帳號管理。論及工控領域風險類型,則以「系統漏洞、補釘與更新問題」、「系統使用者身分與存取管理」居大宗。
如何強化工控資安?切記資安非一次性措施,一定要有維運機制,惟其中頗具困難度,可考慮結合專業廠商的奧援,協助進行OT資安健診,包括資產和漏洞清查、架構檢視;接著建立OT網路異常行為分析與防護架構,再循序強化OT網路存取管理、OT IPS(含虛擬補丁、微分段),最終搭配OT SOC 7*24資安監控服務,持續性監控與管理風險。
利用BAS模擬演練,強化企業藍隊職能
網創資訊資深顧問沈敬為說,安全事件調查過程常見諸多問題,如遇駭當下認知落差,反倒替攻擊者爭取大量時間;抑或只求暫時緩解措施,疏於事件根因調查,顯見多數藍隊的職能尚有進步空間。
談到藍隊的風險管理方法,主要目標是將風險控制到經營階層接受的地步。至於相關輔助工具,常見選項各有缺點,如弱掃或滲透測試,僅針對標的做有限模擬;紅隊演練則有週期過長、成本偏高等問題。
反觀Breach and Attack Simulation(BAS),不但簡單易用,且能基於模擬駭客戰術,隨時進行入侵與攻擊演練,幫助藍隊人員獲得不同啟發,再搭配研究同領域或產業發現的IoC,可轉為有用攻防情資。足見藉由BAS的演練數據,不啻是強化藍隊的理想解方。
雲端服務助陣,落實IoT裝置安全防護
AWS解決方案架構師Jeff Chen指出,隨著連網裝置愈趨普及,相關的雲端側或設備端攻擊行為應運而生。
綜觀目前已見的攻擊面向,可發現其常見特徵,像是異常Payload、異常的網路組態、異常的數據發送特徵,另有針對認證與授權的冒用試探行為。
裝置製造商希望藉由適當防護,面對上述攻擊樣態。因此AWS推出「AWS IoT Device Defender」服務,除蘊含認證授權、加密等基本保障外,透過Audit及偵測的導入,亦建立自動化告警機制,並可針對識別出來的Issue,串接自動化處置機制;除用戶自行串接處理流程外,Device Defender也有標準的Mitigation Action提供選用。
具體來說,AWS IoT Device Defender提供了早期的信號辨識功能,讓用戶更早察覺潛在攻擊行為,或系統存在的權限設定漏洞,有助避免攻擊事件的發生。
離線備份與零失誤還原,形塑資料金鐘罩
Veeam Software台灣區資深技術顧問陳紹鵬表示,我們正面臨COVID-19(新冠肺炎)、勒索軟體兩種戰爭,兩者因應之道類似,面對勒索的「疫苗」就是確實備份。
所以Veeam提出獨特的3-2-1-「1-0」資料管理保護主張,增加了1份離線備份,並確保還原零失誤(備份可恢復性驗證)。
前述主張之目的有二。首先是「增加系統免疫力」。 勒索攻擊持續進化,備份架構也逐漸成為被攻擊目標,Veeam透過全新強化的Linux儲存庫,達到不可修改且免受惡意軟體攻擊的效果,實現企業的資料避風港。
其次是「提升數位應變力」。過去大家談RPO、RTO,但使用者的觀感才是重中之重,務求停機時間越短越好。透過Veeam,僅需2~5分鐘即可還原一台機器,將服務中斷時間降至最低。
分析重大資安事件,從駭侵趨勢思索自保對策
微智安聯執行長蔡一郎分享,許多國際組織都關注IIoT / ICS安全議題,積極探討產業化 IoT威脅,亦關心近兩年增溫的供應鏈資安風暴。
他歸納工控IoT的資安風險,包含可被公開搜尋的聯網設備與系統、可被利用來進行攻擊系統的軟體漏洞、系統故障導致裝置、設施損壞、駭客針對性攻擊及資料外洩、透過IT環境入侵的OT系統遭勒索攻擊、系統被操縱導致中斷,以及流程破壞。
他建議多觀察常見的駭客入侵手法,如REvil或Conti感染鏈,理解駭客對什麼有興趣,才能做好保護。
總括而言,工業4.0帶動智慧科技與工控系統的整合,導致資安威脅隨之日新月異,故企業須時時掌握資安威脅趨勢;尤其勒索軟體已成駭客的最愛,更應儘早建立對應的應變機制。
