【聚焦應用程式白名單，生產內網管理也必須重視】惡意威脅無孔不入，機臺安全從4大防護面向做起

高科技製造業最關注的產能與效率，但在資安風險的衝擊下，造成產線中斷，損失動輒上億元起。例如，今年台積電所發生的機臺中毒事件，由於新機臺上線過程的疏於防範，導致惡意軟體的感染，前前後後花了至少3天處理，才讓受感染的各個廠區生產線，恢復運作。

面對機臺中毒這樣的威脅，往往歸咎於廠區內生產線資安未能落實，該如何做好機臺相關的防護，就是大家最關心的事情。

而且，由於這樣的事件，已經為高科技製造業帶來鉅額損失，我們需要設法預防這樣的事件再發生，同時，也要考量事件發生後所帶來的危害，並且提出應變計畫，才能降低營運風險。

在因應策略上，除了參考美國國土安全部工業控制系統緊急應變小組（ICS-CERT）的7項建議策略，如果要避免同樣的機臺中毒、感染擴散問題再發生，這次我們也找到多家資安與系統廠商，請他們提出應重視並考量的防護面向。

防護面向一：新機臺上線過程

新機臺若要正式上線，企業該如何做好防毒掃描的工作？首先，是做好設備供應商的管理，而就企業本身來看，也要有相關的檢查作業程序，但如何能讓管理落實，可能是更大的問題。

臺灣賽門鐵克首席技術顧問張士龍表示，在新機臺未連線之前，可採用USB掃毒碟的方式，接到電腦上自動執行病毒掃描，完成後可以產出報告回存USB儲存裝置，再以其他電腦將報告印出。之後，需經由長官看過報告才能批准上線，接著，再由後面的施工人員執行新機臺配線的程序。

談到管理，資拓宏宇資訊安全服務事業部副總經理吳黎權有同樣看法，也認為要以權責畫分（Separation of Duties，SoD）的方式來考量。舉例來說，平時沒有使用的埠，就要封起來，例如，有的企業是直接用一塊塑膠面板，將沒有使用的埠以實體方式擋住，而且，任何新機臺上線之前，都要經過申請的流程，之後管理網路的人員，才會進行下一步動作。

畢竟，新機臺上線過程若有疏於防範的可能性，企業在內部控制上就必須要有對策，來強化檢查作業程序的可控性，也增加管理面上的透明度。

在檢查作業方面，相關設備在上線前要經過模擬環境測試的步驟，也是一大重點要求。精誠資訊數位應用整合事業部協理賴哲維表示，掃毒是基本的程序，現在新的資安工具都內建多家防毒引擎，可提高已知病毒偵測率，他並以新伺服器進入機房的情境來舉例，通常要經過病毒過濾、弱點掃描，而在OT環境的話，還要搭配的是韌體安全掃描，再來就是透過模擬的環境來測試。

關於測試環境，趨勢科技臺灣區暨香港區總經理洪偉淦更是指出，首先，測試環境的新機臺一定要能連網，並要具有相應的網路安全機制（如IPS）監看流量，這樣一來，才能知道是否有防毒未掃出的問題。再者是避免誤判，他解釋，由於機臺廠商使用的命令語法可能因為不標準，造成IPS誤判為惡意而阻擋，衍生其他問題，同時，測試也是為了避免影響生產作業，否則，企業若將IPS即時阻擋功能關閉，只留下Log記錄功能，也就影響防護效果。

趨勢也提醒，一旦發現誤判的情形，就要進行相對應的調整，例如修正設備指令，或是修改IPS白名單，讓設備連線能夠正常，同時，一旦遇到病毒，又能擋住。否則，即便投資很多資安設備，都不能真正發揮很多功能。

綜合來看，面對新機臺上線過程的安全防護，必須藉由制度來落實管理，並透過模擬的測試環境，找出更多問題。不過，McAfee臺灣區總經理沈志明表示，一個機臺受到感染，為何為衝擊到同一個廠區或跨廠區的機臺，這突顯了不只是單一問題，因此機臺本身的防護措施就很重要。

圖片來源／趨勢科技

趨勢科技製造業機臺安全防護架構

關於製造業機臺的端點與網路安全，趨勢科技業提供的整體防護架構，包含自家多種端點與網路產品，在多個環節都有防禦的措施，他們也建議，要依照機臺種類性質，使用相應的解決方案，而這些機制也都需要經過測試，才能避免誤判。

防護面向二：機臺本身的資安防護

而在新機臺上線之後，若無法檢測出病毒，後續企業發現已感染其他主機，企業要如何能夠做到即時阻擋？簡單而言，可分成機臺安全與網路安全兩個層面來看。

先從機臺本身可搭配的防護措施來看，以端點防護廠商而言，McAfee與賽門鐵克均認為，採用應用程式白名單的機制，就是重要的思考面向。

McAfee表示，白名單比防毒軟體更有效，賽門鐵克則強調，防毒軟體其實不適合在OT環境去使用，因為本來就是定義在IT環境使用。

原因在於，這些廠區的生產不能中斷，系統沒有時間進行漏洞修補，若安裝防毒軟體，更新病毒碼也很不容易。此外，機臺設備底層作業系統也是管控的障礙，例如，不少高科技製造業的廠區中，仍有Windows NT等老舊系統在運行，也帶來相容性的問題。

因此，對於講求穩定、少變動的生產線機臺環境而言，透過應用程式管控（Application Control）功能的產品，就很適合企業以白名單方式進行控管，也就是僅允許已知的應用程式執行，讓惡意程式即使入侵也無法執行。而且，在白名單政策設成完畢後，後續幾乎不用做任何更新。

其實，金融業的ATM系統也有這樣的要求。像是自從2016年第一銀行ATM出事之後，金管會原本要求所有ATM，都要安裝防毒軟體或白名單，後來則改為統一實施白名單控管。

在應用程式白名單機制下，還有像是保護系統的記憶體也是重點，應該防止它受到緩衝區溢位攻擊，管控也要做到檔案層級，限制特定檔案不能被變更，以及鎖定系統資源與設定。此外，我們也看到各廠商也有不同關注的面向，像是賽門鐵克提到，白名單也要朝最小存取權限的控管來實作，當未來有同類型機臺上線，將可以套用同一白名單政策去防護。而McAfee表示，可針對每個機臺建立不同的政策，提供離線主機的管理方式，增加管控彈性。

在應用程式白名單的防護之外，趨勢科技也提到了混合式的作法。由於機臺種類各式各樣、規格不一，白名單的機制是一種方式，但防毒軟體與虛擬修補也是能夠因應的作法，必須要看機臺電腦本身的效能與系統設計而定，或採輕量的方案，甚至，有些機臺可能連白名單、虛擬修補的方案，都無法執行，這時就要採用硬體產品的方案，在機臺連線的網路，搭配含IPS功能的工業防火牆，來阻擋惡意的攻擊。此外，網路流量及活動的透視與分析也很重要，因為實質阻攔雖然有效，但或多或少對產能造成影響，不一定能全面施行。

因此，他們認為，需要看機臺種類性質來決定，該採用什麼樣的解決方案，同時這些方案也都需要經過測試，否則，像是白名單機制在機器學習下，系統若沒有學好，也是有誤判的可能性。而採取混合型的模式，是現階段他們認為可行的方式。

基本上，像是賽門鐵克、McAfee與趨勢科技等業者，對於既有機臺設備要如何增加防護，都已經有應用程式白名單的解決方案。那麼，新型生產機臺設備的部分，他們也表示，現在有少數設備商與他們合作，讓機臺設備在出廠時，就預先載入白名單的安全機制。例如，國內工業電腦大廠研華科技表示，他們提供給工業客戶的公用工具軟體中，包含了McAfee主動防護，與Acronis備份還原的方案，省去企業分別採購軟硬體或PoC等整合上的麻煩。

換個角度來看，不只是資安廠商，製造業對於設備商也必須有所要求，甚至施壓，來改變整個產業過去對於資安重視程度不足的問題，在機臺出貨時保障安全，後續如何確保正確的配置和修補程式更新，避免遭弱點攻擊，將是機臺設備廠商與製造業間的挑戰。

不過，各資安業者均表示，要從產業面、供應鏈來改變，可能沒有那麼快。

圖片來源／McAfee

McAfee製造業機臺安全防護架構

對於高科技製造業，所面臨的生產機臺安全問題，以端點防護產品聞名的McAfee，特別強調了應用程式控管的白名單技術有效性，以禁止各式程式運作，僅允許已知的應用程式執行，讓各式端點裝置都能以最少的變動，來維護這類設備系統執行安全監控。

防護面向三：生產線內部網路安全

雖然說，不少廠商均指出，應用程式白名單即是工控設備最重要的一環，也是最後的防線。不過，在機臺本身的防護之外，對於新機臺在開機後，若發生病毒自動感染其他主機，網路層能否具備即時偵測或自動阻擋，也是資安防護上的一些重要觀念。

在常見的資安防護建議中，提到應對裝置採取網路區隔（Segmentation），以減少病毒擴散影響範圍，另外，就是要做到網路流量監控。即便企業不願意採取阻擋的方式，相對地，也需透過即時偵測能力，便於快速啟動資安應變。

在防止威脅擴散的作法上，除了部署應用程式白名單於工業主機，做到端點防護，對於生產線內部網路，有些業者建議可採更細的網路切割管理。像是在廠內區域之間，部署具有工控網路協議解析能力，與內建IPS能力的網路閘道設備，以減少病毒橫向擴散至其他VLAN的風險，當發生問題時，就不會影響到全部的設備。

至於如何做網路切割，一般建議是可以依照生產線的重要程度，以及機臺安全風險性來考量。

從這次各家廠商的建議來看，有作法是建置網路流量監控系統，並整合防火牆以自動關閉廠區間之網路，但也有更多廠商認為防火牆是基本配備，但作用並不大，因為廠區內有些埠必須要啟用，而沒有辦法管控，因此，也難以偵測到各式進階威脅，而IPS功能的重要性較高，部署在各廠區或網段之間，以達即時偵測與阻擋感染蔓延、擴散。

而在每個重要網路節點，佈置適當防火牆、入侵監測系統等設備之外，企業無法掌控機臺所處生產內網環境現況，因為，許多企業並未導入資安盤點、網路流量監控、資安事件監控平臺。

以資產盤點而言，很多企業拿出來的可能只有一開始的廠區設計圖，很多電腦名稱可能也都一模一樣，有一些系統甚至已經跟資訊網路連結，但這些狀況並未在資安部門的管理範圍。

想要妥善管理工業設備資產與網路，一如IT環境的資安盤點與網路監控，都必須掌握生產線網路環境的資產數量、類型、網路拓樸與數據流向等資訊，這些都是網路管理的基本功，否則難以做好即時的資安事件應變。

而現行OT環境的網路監控，市面上已經出現不少專用解決方案，並以被動式監控為主，這主要是因為不容易對原有OT網路造成衝擊或影響，像是引發生產線運作中斷的風險。提供這類型產品的資安業者，在臺灣市場，我們可以找到Claorty、Cyberbit、Darktrace與SecurityMatters等廠牌。

在產業物聯網的環境下，由於網路協定的不同，精誠資訊表示，每一種環節的數據傳輸，規律是不一樣的。因此，一些工業控制系統資安防護方案，會選擇與工業通訊大廠Moxa等OT設備商合作，以蒐集網路封包的方式，掌握資產的細部資訊與對應關係，學習每一個設備的行為模式，並透過深度封包檢測技術，而在這裡，同樣可以借用白名單的概念，自動產生白名單的控管政策，以識別安全性弱點、錯誤配置、故障或政策漏洞。

舉例而言，當有一臺異常設備進來時，透過這類OT網路監控工具，就能發現與平常設備的行為不一樣，像是找出橫向感染等問題，這也意謂著，要有工具能快速找出設備資產的細節，發生的時間點，以及傳輸內容是否合理。

因此，借助工業控制系統的資安解決方案，即時監控與偵測OT網路的各個層級，也是一種可行作法。

但由於管理面基本功的不足，因此，趨勢科技也建議，規範需要訂出來，企業必須要知道設備功能與位置，誰是設備管理者，甚至機臺主控電腦存取權帳密的管理，若沒有中央控管的方式，一旦遇到資安事件，應變的難度就很高。

至於跨廠區之間的網路安全問題，在一般的網路隔離方式之外，精誠資訊也特別提到隔離層的機制，可採取類似零信任區或微隔離（Micro Segmentation）的作法，同樣是借助了白名單的概念，在網路與網路之間，應該設立檢查的機制，來防範威脅擴散。

圖片來源／精誠資訊

Cyberbit製造業機臺安全防護架構

針對製造業生產機臺內部網路，建立網路可視性，也是重要的作法。Cyberbit在SCADAShield的工業控制系統資安解決方案之中，以深度封包檢測偵測網路架構關係對應、設備資產、安全性弱點與異常活動等，並偵測流量是否帶有惡意活動，協助做到事件調查與處理。

防護面向四：事件發生後的災難應變與復原

關於機臺安全問題，引起的資安事件處理，現在也是製造業必須重視的部分。一旦發生問題，才能確定影響範圍、找出原因，以及預估損失。其實，這也就與先前提到的，工業設備資產與網路可視化（Network Visibility），息息相關，企業團隊才能快速反應，並降低資安事件對企業營運帶來的風險。

不過，資安事件處理應變的範疇不僅於此，後續要關注的面向，還包括法規上的要求、報告上級主管機關，以及是否對外公開說明細節。不論是對公司合作伙伴、投資人，或是對企業商譽的影響，若能及早確定影響範圍、找出原因並公布，也意謂著企業在事件應變具備足夠的能力，降低不同層面帶來的影響與衝擊。因此，作法上，企業應該要建立標準應變措施，或是有一定程度的沙盤演練。

至於事故後的機臺復原工作，針對備份還原系統預先該如何規畫，也很重要，考量的重點，可以放在減少人為介入，以及減少停機時間。

對此，研華科技提出關於備份還原系統的3個要點，首先，由於機臺操作人員非IT工程師，因此，基本備份的流程，必須做到全自動，不需人為介入。第二點，在單一機臺整機還原時，可用一鍵還原或是透過圖形操作介面進行操作，甚至做到自動回復，減少人為的操作，才能有效縮短停機時間。最後一點，針對不同系統的生產機臺，也都要考量能用相同的標準流程來完成，才能加速還原工作的進行。

圖片來源／資拓宏宇

Claroty製造業機臺安全防護架構

現在的OT網路監控系統，幾乎都強調支援多種工控系統通訊協定、製造商機臺，並對應工控安全標準ISA99的5個層級，提供各式監控與偵測能力， OT網路監控系統Claroty也是一例，可預警網路異常狀況，並提供OT網路遠端支援安全機制。

 相關報導  生產機臺安全亮紅燈，防護威脅迫在眉睫