如何建構IEC 62443-2-4 & 3-3防護基底
近年由於製造業積極推動數位轉型,使OT與IT邊界漸趨模糊,因而成為資安攻擊的主要目標,導致工控資安攻擊事件加劇,屢屢釀成營運中斷、產線停擺等憾事。有鑒於台灣身為全球製造重鎮,面對2023年更複雜的供應鏈攻擊,急需強化OT安全防護;企業應依據IEC 62443標準,定義內部不同人員當共同遵循的安全準則,以期從根本做起、徹底強化工控安全防線。
依據IEC 62443-2-4規範,要求IACS服務商提出安全計畫
所謂工業自動化及控制系統(IACS),由底層而上,依序為Level 0設備層、Level 1 PLC或IPC工業控制層、Level 2~3則匯聚SCADA、MES等重要監控系統,再往上便屬於IT層。而Level 3、4之間有一條紅色界線,可稱為IDMZ (Industrial Demilitarized Zone),其概念類似企業用來隔離Internet和Intranet的DMZ,惟此處主要用以隔離IT與OT層,像是企業若欲從IT層更新OT設備或IACS相關數據,相關機制通常都會建立於IDMZ區域。
論及國際工控物聯網的惡意威脅,肇因於現在OT環境開始走向智慧製造、自動化控制與監控,因而與網路連結在一起,使得常見的網路攻擊現身於工控場域,包括DDoS、中間人攻擊、惡意程式感染、針對智慧聯網裝置的篡改與毀損,乃至於APT攻擊、供應鏈攻擊。因應這些威脅,IEC 62443當中有哪些標準規範可供對應?主要重點有二,一是IEC 62443-2-4,另一為 IEC 62443-3-3。
IEC 62443-2-4內含12個Domain。一是解決方案人員編組,二是確保方案與安全策略之間直接關聯,三是透過風險評估與建模、在OT環境中建立安全架構,四是對於無線網路的安全要求,五是對於安全儀表系統(SIS)的要求,六是針對工業自動化方案的配置管理要求,七是針對遠端存取的相關要求,八是針對事件處理的要求,九是帳戶管理要求,十是惡意程式防護,十一為Patch管理,最後十二則談到備份/復原。
安華聯網舉出IEC 62443-2-4相關用例。譬如此規範中的SP.07.01,係指遠端存取下的安全工具及軟體要求,意即IACS服務提供者應有能力確保自動化方案中所使用的所有遠端存取應用程式,皆是被安全及工業自動化社群所接受、可被信賴、甚已經過檢驗的。另外的SP.07.02,規定服務提供者必須針對自動化方案中使用的遠端存取應用程式,提供安裝、配置、操作和終止等詳細說明。
落實3-3標準,強化工控系統安全等級
至於 IEC 62443-3-3,用於規範系統安全要求與分級;其中控管項目相當多,而保護等級則分為SL1~4、意指對抗威脅的強度高低。
在進行 IEC 62443-3-3評估時,有幾個值得留意的名詞,包含SL-A,SL-C及SL-T,分別代表現在達到的成熟度、目標成熟度、控制系統可協助達到的成熟度。假設今天我要評估某工廠的資安要求,須先經過風險評估程序,確認其架構與傳輸管道的安全等級,比較現實和目標的差異,再選擇合適的控制方案或流程來達成預期的安全等級目標。
值得一提,在設計及實作IACS控制措施時,其限制因素迥異於一般IT環境,應考量是否衝擊OT環境的可用性與完整性。例如在IT環境,為防止密碼遭暴力破解,通常規定在嘗試錯誤超過一定次數後、就進行鎖定,但在OT環境為避免系統中斷,則不能這麼做。簡言之,在OT環境所規劃的任何安全記錄或控制措施,都不容許對基本功能產生不利影響。
具體來說,IEC 62443-3蘊含FR1~7等七項基本要求(Foundational Requirements),分別為識別和認證控制、使用控制、系統完整性、數據機密性、限制資料流、及時回應事件、資源可用性。例如針對FR1,列有SR 1.1規範,要求控制系統應提供足以識別與驗證所有人類使用者的能力,由此衍生3個等級的進階要求(RE),1~3級依序是唯一識別與鑑別人類使用者的能力、不受信任網路的多因素身分識別能力,以及所有網路的多因素身分識別能力。
上述提到的RE 3要求,意指所有網路都不可信任、即為時下各界倡議的零信任原則,故需針對所有存取者執行多因素身分認證,像是以App、生物識別、OTP、硬體Token或結合Location做認證登入,須組成兩項以上因素、才符合要求。
安華聯網強調,企業欲落實工控資安策略,並非單純導入IEC 62443-2-4與 IEC 62443-3-3即可,應進一步建立Cyber Security Management System(CSMS)管理體系,打造一套足以貫穿IT與OT的一致性資安管理架構,當中涉及ISO 27001的Domain,包括資安政策、組織、資產管理、身分識別暨存取控制、數據流保護,也牽涉IEC 62443的Domain,涵括OT場域的人員、資料、流程、系統、元件相關安全管理。另一方面,為防止CSMS體系失效,可考慮在IT與OT之間的重要出口設置HA架構,以避免單點失效。
遵循IEC 62443標準制定的準則,企業可大幅降低遭受網路攻擊的機會。安華聯網已成功協助研華與友訊科技等知名工控與網通產業客戶導入軟體安全開發生命週期,並取得IEC 62443證書;安華聯網也是第一個台灣資安廠商取得IEC 62443 CBTL資格,能提供完整的在地化服務,包含IT與OT的資安合規諮詢、技術支援及產品測試,協助客戶更快速取得國際認證,滿足愈來愈嚴格的資安要求。