資安的威脅近年正衝擊工業控制系統(ICS)所屬的OT領域,不僅是數位化轉型時所需面對的網路威脅,工控系統暴露在網際網路的問題,也都成為2019要正視的焦點。在2018年8月,台積電遭遇的資安威脅事件,更是敲響了高科技製造業的警鐘,僅僅因為新機臺上線時疏於防範,導致惡意軟體感染造成生產線停擺3天,讓全臺民眾都關注到產線資安問題的影響。

這起重大事故,突顯出管理結構面的問題,像是產線機臺設備、主控電腦與網路設備等,並未掌握在IT部門管控範圍,且工業領域存在很多老舊Windows電腦未更新。更關鍵的是,由於網際網路與IT通用系統架構的盛行與普及,以及工業控制系統面臨數位轉型的應用需求,雖帶來管理維運的便利,但也打破了原本的封閉性,讓IT世界的網路威脅,成為工控領域同樣要面對的挑戰。

不僅如此,還有多起鎖定工業控制網路的重大攻擊事件。像是在2017年發生的攻擊當中,就曾針對施耐德電機(Schneider Electric)的Triconex製程安全系統(SIS),造成中東的一家石油工廠因系統保護機制被觸發,致使生產流程中斷。事後,負責調查的資安公司直指與俄羅斯官方組織有關,而這也突顯國家級駭客帶來的危機。

由於OT領域的資安問題,不只是影響各產業的自動化生產線,也危及國家關鍵基礎設施,如油、水、電廠等,一旦遭破壞,將使運作中斷,影響劇烈。

SCADA的資安漏洞揭露數量,在2018年已經開始大幅增加

從工控系統相關漏洞揭露的趨勢來看,安全的問題確實備受各界關注,因為2018年漏洞數量已經大幅增加。

例如,美國國土安全部旗下工業控制系統緊急應變小組(ICS-CERT),不僅是在2015年就提出7大防護策略,同時也持續發出相關安全公告,提供漏洞與漏洞利用的即時資訊。

在2018年8月,趨勢科技旗下Zero Day Initiative(ZDI)漏洞懸賞計畫也來臺揭露全球資安漏洞新趨勢,當中提到,工業控制系統中的資料採集與監控系統SCADA(Supervisory Control And Data Acquisition)的漏洞數量持續飆升。

ZDI表示,隨著物聯網的應用,工控安全受到關注的比例也因此提高。不過,ZDI也認為,參與漏洞懸賞計畫的供應商,可以先知道問題進而修補,能避免形成大規模損害。

根據該組織的2018年中報告指出,2018年上半年發現的SCADA漏洞達202個,是2017年上半年的兩倍,當中以研華WebAccess軟體最多,其他包括台達工業自動化與Omron。

而在下半年,ZDI研究人員公開揭露的漏洞更多,透過他們的公開揭露漏洞頁面,我們可以看出,Wecon也被發現大量漏洞,ABB、Crestron、Fuji Electric、LAquis與Omron的漏洞數量也不少,其他還有像是施耐德電機、INVT等。而此漏洞激增現象,也突顯工控安全在2019年將持續為關注焦點。

工控設備暴露於網際網路的問題,且無驗證機制保護,需及早因應

再從另一個面向來看,關於工業控制與環境控制設備本身,沒有身分驗證機制,或使用預設密碼的狀況,也相當普遍,若直接或間接暴露在網際網路上,等於根本沒有防護可言。對此,在2017年2月,行政院國家資通安全會報技術服務中心曾經發出公告提醒。

事實上,網際網路具有高危險性,這樣的問題不可忽視。在卡巴斯基實驗室發布的「2018 上半年工業自動化系統威脅現況」研究報告中,關於主要威脅來源的統計,以網際網路最高(27.3%),可攜式媒體次之(8.4%),電子郵件社交工程第三(3.8%),其中,來自網際網路的攻擊比前一年同期增加7%。

2018年10月,根據國內資安服務業者安碁資訊的研究,臺灣暴露在網際網路的工控設備有5千多個,其中包括攸關民生的發電廠,安碁也因此向政府通報,而在他們12月提出的完整報告中,更是揭露最新調查結果,表示暴露於外的設備已高達10,546個。

從該報告中的工控協議統計來看,採用Siemens S7專有通訊協定數量最多,達4,230個,其次為Modbus公開協定、Ethernet/IP公開協定。安碁表示,這些工控協議多存在固有的設計瑕疵,例如缺乏認證、授權或加密,無法阻擋像是未授權指令和重放攻擊等一般攻擊,因此需要特別注意。

而且,為便於維運管理,許多工控設備提供網頁管理介面、SSH、Telnet等服務,但他們發現,有1,500個西門子、施耐德電機、Rockwell Automation的PLC控制器管理介面,直接暴露於網際網路,且存在使用預設密碼的問題。

整體而言,有高達5成的工控設備啟用網站服務,採用未加密的HTTP 傳輸,也有許多設備使用弱密碼或預設密碼,有心人士只要網路上取得設備操作手冊就可得知,更麻煩的是,許多設備的預設密碼是寫入韌體之中,用戶無法修改。此外,新版OWASP十大網站安全風險,也普遍存在於工業控制網路中。而在啟用遠端連線的設備中,使用未加密Telnet連線,要比使用加密的SSH數量略多。因此,臺灣企業需及早改善這部分,採用最小權限原則來減少攻擊面。

綜觀上述這些OT領域所面臨風險,還要注意的部分是,近年臺灣政府為協助產業轉型,智慧製造也是重點發展的議題,還有全球關注的工業物聯網(Industrial Internet of Things,IIOT)等議題,也因此,相關的資安環節需要更加重視。

熱門新聞

Advertisement