過去人們鮮少探討工業控制系統(ICS)的資安議題,彷彿OT(Operational Technology)世界不會遭遇駭客攻擊、加密勒索等風險;但近年情勢丕變,工控資安事件的發生頻率明顯攀升,從關鍵基礎設施到世界級高科技製造業都無法倖免,不禁讓人納悶,為何工控資安威脅會從無到有,而且有恃無恐地在臺灣落地?
中華資安國際總經理洪進福指出,關鍵原因是工廠智慧化吸引駭客。工廠欲提升生產效率、增進營運競爭力,積極導入智慧聯網技術,引用大量資通訊技術來建造虛實整合系統(Cyber-Physical System)、數位分身(Digital Twin)與智慧機上盒(Smart Machine Box, SMB)等智慧製造系統,如此一來,原本封閉的機臺設備開始連網,使OT與IT網路產生連線,導致OT承襲了過往IT場域的各種資安風險,也接連釀成產線中斷、資料外洩、智財權外流等商譽財務損失。
實際資安健診統計 多數OT環境存在資安缺口
中華資安國際以自身執行過的多家能源、交通關鍵基礎設施、以及高科技智慧製造業的工控資安健診結果,發現超過五成OT場域存在資安缺口。雖然理解OT場域的業主將工廠持續運作視為最高原則,資安防護不能影響生產,但是針對企業賴以維生的OT場域進行資訊安全檢測、營運風險評估,確實是目前關鍵基礎設施與智慧工廠的當務之急。
「正所謂『富貴險中求』,當業主提升效率和競爭力的同時,也因為連網承擔了比以往更大的風險」洪進福說,業主必須務實面對資安風險,企業才有機會穩健成長。以國內推動智慧機上盒為例,政府要協助國內機械與製造業導入設備聯網、生產管理可視化與智慧化應用,所以,積極推廣SMB,政府同時也意識到SMB連網造成的風險,因此邀請中華資安國際共同輔導相關單位強化SMB資訊安全,針對智慧機上盒之開發廠商與使用單位執行OT資安教育訓練、源始碼檢測、弱點掃描、滲透測試等,協助工控場域人員提升資安意識與發掘受測系統的潛在漏洞,以降低遭駭客入侵的風險。
他山之石可以攻錯 常見的OT四大資安痛點
2020年以來,臺灣不少高科技製造業與關鍵基礎設施,遭駭客攻破,進行加密勒索攻擊,中華資安國際也協助部份受駭的高科技製造業與關鍵基礎設施進行資安鑑識及OT資安健診,除了分析駭客入侵管道,也檢視網路架構安全,提供強化改善建議,避免再次遭駭。從諸多場域發現的共通現象是OT與IT沒有適當的隔離控制措施,惡意程式可從IT設備橫向入侵OT網路對產線重要資產造成危害,依實際鑑識與資安健診經驗,可歸納出OT環境存在四大資安痛點,分別是「可視性」、「漏洞修補」、「邊界防禦」與「落實度」。
「可視性」是指管理者對OT場域中的資產掌握度甚低,無法全面盤點資產清單、網路拓樸及資產間的傳輸鏈路關係,存在幽靈資產也不自知。「漏洞修補」是指OT環境中的資產常因要求可用性的緣故,無法即時安裝更新以修補漏洞,也沒有任何補償措施,讓過時的IT漏洞攻擊仍可以對OT造成嚴重的傷害。「邊界防禦」是指OT環境的隔離性與控制措施不足,如存在跨IT/OT的RDP遠端桌面連線或是未授權的Internet連線行為,根據專業機構CyberX Labs統計,OT環境中至少有四成比例可連接Internet,以中華資安國際的檢測經驗,更高達五成的OT網路可以連網,高於國際專業研究報告所揭露的比例數字;至於為何如此,原因不外乎是使用者為求方便,改變若干設定,遂使得OT設備出現幽靈連線行為,且無對應的管控措施,造成OT網路曝險。「落實度」則是指多數的OT場域發生資安事故後,才發現日常生產與維運作業並未按照內部資安規範執行,如應隔離而未隔離、未關閉非必要服務Port、未更改工控設備預設密碼等諸如此類的「不小心」疏失,當四大痛點被串聯起來時,通常就是重大資安事故與鉅額損失。
OT資安健診,掌握工控系統潛在風險是規劃資安防護的起手式
洪進福強調,了解風險才能管理風險。要了解OT場域的潛在風險,最有效的方法就是OT資安健診,因此,中華資安國際特別利用「非侵入式的網路封包分析」技術,透過交換器連接埠的鏡像,間接側錄OT場域的訊務行為,藉此洞悉整個產線與工業控制系統的設備資產、網路拓撲,以及其使用的網路協定,藉此建立OT場域的資產可視性、建立正常行為基準線(Baseline),藉此掌握OT環境的系統、網路的資安漏洞,在評估過程中,100%不影響任何OT設備的運作。
為了管理風險,中華資安國際在執行OT資安健診服務、協助用戶檢測惡意活動與建立安全行為基準線的同時,也會提供風險評估服務,並執行風險緩解措施。中華資安國際綜觀OT資產配置、網路架構及資料流傳輸鏈路,深入分析曝險介面與駭客可能的攻擊路徑,建立STRIDE威脅模型,藉以定義風險級別、掌握曝險程度的高低,再據此設計最適當的資安防護、偵測與控制機制。
OT SOC監控,7 x 24偵測異常與應變處理
執行非侵入式檢測的目的是協助智慧製造場域與關鍵基礎設施建立正常行為的基準線,OT SOC則是持續地監控OT場域通訊活動有無偏離基準線的狀態。假使 OT 設備的訊務行為未逾越基線,都視為正常、無需加以干涉,但相反的,萬一哪天有設備的行為出現偏差,開始做出像是封包重送、流量攻擊與控制命令植入攻擊等異常行徑,不論背後原因為何,偵測機制都會立即發出警訊,以利管理者趕緊應變處置,避免事態擴大。
「現階段智慧製造場域與關鍵基礎設施的OT SOC監控,就是塑造一個類似『觀察員』的角色。」洪進福進一步說明,「觀察員」駐守工廠,在資訊交換節點上持續側錄訊務,接著中華資安國際與OT領域專家密切合作,將收集到的訊務進行分析,區隔哪些指令屬於正常、或是屬於不正常,針對經判斷為異常的部份,則依據該場域既定的SOP審慎處理,做到既能控制威脅、又絕不影響產線運行。
面對威脅需超前部署,料敵從寬,禦敵從嚴
總括而論,OT場域的資安缺口成因,主要源自於不安全的連網,以及未修補的設備弱點,加上供應鏈安全問題(例如,把有資安疑慮的機器帶進廠區)與資安規範落實度,多項因素的交疊,才會造成各種威脅輕易潛入OT場域。
儘管情勢險峻,OT業主可以與專業的資安夥伴合作,執行OT資安健診、盤點資安缺口,持續性地OT SOC偵測監控,並搭配虛擬修補技術,為一些無法修補的老舊系統建立防禦措施,可以大幅提高駭客攻擊門檻。
考量IT和OT場域架構有顯著差異,中華資安國際在協助智慧製造工廠或關鍵基礎設施部署防護架構的過程中,會充份援引IEC-62443、NIST SP800-82、NIST SP800-64、NIST SP800-115與ISO 27001等國際標準,做為OT場域的資安管理框架,在維持ICS可用性的最高指導原則下,解決OT場域的資安痛點,又可以幫助企業追求工廠智慧化的策略目標。