在數位轉型的風潮之下,為了因應各種資料交換與分析的需求,IT(資訊科技)與OT(營運科技)環境的融合已成必然的趨勢,但這也打破了過往OT環境的網路實體隔離,減少了一些保護,再加上OT環境的設備往往採用相對老舊的作業系統平臺,不僅存在著許多漏洞,而且因為需要持續運作,即使有對應的修補程式與軟體、韌體的更新版本,也不易找到合適的空檔來套用,結果導致OT環境面臨極大的資安風險。

而在今年的Cybsec 2020臺灣資安大會的OT安全論壇當中,資誠(PwC)智能風險管理諮詢公司風險及控制執行董事張晉瑞認為,我們可以透過資訊安全認證與資安框架的導入,持續落實與強化工控系統安全。

工業控制系統的資安問題,來自外部威脅、政府管制,以及內部風險

工業控制系統(ICS)或OT相關的網路威脅,已經是真實發生的事件,張晉瑞舉出一些實例來證明。回顧過去這十多年,全球各地已陸續發生相關的重大資安事故,像是:2008年土耳其輸油管線被攻擊,2010年伊朗核電廠遭到Stuxnet惡意程式攻擊,2015年烏克蘭因惡意程式攻擊發電廠的SCADA系統,而發生大停電,以至2018年WannaCry勒索軟體攻擊臺灣半導體公司,到了今年,也出現攻擊廢水處理設施的攻擊事件。

而在設備製造商的部份,政府也開始祭出鐵腕,對於沒有做好產品安全的業者提出法律控告,例如,美國聯邦交易委員會就針對網路設備廠商發起訴訟,去年7月達成和解,但條件是導入軟體安全防護計畫,確保他們生產的無線網路路由器和網路攝影機是安全的。

另一個資安風險的議題,是與近期興起的工業4.0、智能製造(Smart Manufacturing))的風潮有關,企業必須儘快發展,而廠商的解決方案未實現完整的資安風險控管框架。有企業在完成相關的規畫之後找上PwC,請他們幫忙評估安全性,結果發現當中對於這方面並未多做著墨,例如,在設計這類解決方案時,因為想要得到效果,對於存取權限的提升、變更的程序,並無考量安全性的因素,。張晉瑞認為,當中可能存在6大風險:未訂定資訊安全政策、未訂定開發及維護管理標準作業規範、產品存取控制技術老舊(明碼處理/未加密)、供應鏈安全交互關係不清(多個供應商各自該負起的責任)、無資訊安全事故管理機制、沒有資安資產盤點管理。

而關於OT現場安控技術管理的問題,張晉瑞也引述PwC本身提出的OT網路十大常見的安全缺失來說明。舉凡OT系統的公開存取(從外面即可存取到OT系統)、OT網路的遠端遙控通訊不安全、安全更新有遺漏(沒有定期更新,產品生命週期長,但對於營運中斷的容忍度較低,難以停機更新)、日常的密碼相關作業不當(採用弱密碼或不用密碼)、防火牆組態與管理不安全、OT系統坐落在企業IT網路當中、OT系統連接企業IT網路的保護強度不佳、OT網路對外存取網際網路不設限、無線OT網路的加密與認證不安全(無線傳輸無加密或加密機制太弱)。而這些要點的產生,主要源於他們自身的全球網路環境進行的網路安全評估,以及滲透測試的經驗。而這些管理不周的環節,的確也吸引了駭客的注意。

在OT網路威脅影響的產業比例上,張晉瑞則引用ICS-CERT的調查結果來說明容易遭受攻擊的產業,當中比例最高的是能源業(占32%),關鍵製造業占26%,其餘產業都低於10%,而這兩種產業都導入了大量自動化、排程製造的機制,處於不能中斷、長期營運的狀態,可能沒有適當地進行更新,也沒有考慮得那麼多,因此容易受到攻擊。

為何工業控制系統的安全這麼難管理?在企業面臨的資安挑戰上,張晉瑞認為,可以區分為IT和OT兩大部分,其中的IT是指企業整體資訊治理,而OT是指工業現場資安管理。

對IT而言,他認為有六大問題,首先,工業控制系統難以盤點,因此無法管理(這些設備位於產線現場,IT人員不知道有多少臺、無法即時監控其狀態,而且它們可能從正式上線之後就從未關機,現場人員擔憂一旦將其關機,後續可能就無法重新啟動);第二,面對智能設備製造現場的網路環境,也缺少安全監測防護措施;第三,企業內未設置負責網路安全的專門組織和力量,沒有制定防護、應急和恢復的預備計畫(可能由IT人員兼任、處於人力與資源不足的狀態,且不像金融業有相關法律遵循要求);第四,普遍處於沒有任何防護手段的空窗狀態;第五,企業不了解本身的智慧製造系統資產,以及系統如何互聯;第六,對於當前的勒索軟體危害與安全事件發展趨勢和應對策略,缺乏了解。

在OT的部份,也有許多挑戰。例如,本身的資安認知不足(過去並未考慮資安防護需求)、不了解物聯網與雲端資安威脅及需求、內部沒有資安組織及合規知識、欠缺資安人力資源規畫、對自身資安應變措施一無所知,老舊設備無法更新資安修補程式,而在面對資安需求時,往往也需要供應商協助。

資安治理、IT安全、OT安全要均衡發展,可兼容NIST CSF、ISO 27001、IEC62443等資安管理框架

若要全面確保IT與OT整體安全防護,我們可透過資安認證與相關管理框架的導入來持續落實。從企業的角度來看,IT安全我們已投入許多資源來進行,雖然不同公司的成熟度有別,但至少對這個議題有一定程度的了解,然而,若公司的環境同時存在著OT設備與技術,我們並不希望顧此失彼,還是必須要關注相關的安全議題,因此,要追求的是企業整體資安治理,並且兼顧IT與OT這兩邊的防護。

在IT安全的部份,我們對於應用程式、系統如何設計、修改與管理,都較為熟悉,而從制度面來要求時,會透過ISO 27001來推動,當中融合資安管理制度與控制技術,至於OT安全的部份,則是遵循IEC 62443,並且融合物聯網與雲端的工業控制系統防護機制

然而,面對這樣不同的資安需求,只能各行其是嗎?張晉瑞說:「我們難道要左邊穿一件衣服,右邊也穿一件衣服嗎?兩邊的制度還不一樣,這很不合理。」因此,要從整個企業資訊安全的角度來考量如何管理,此時,我們可以參考NIST Cybersecurity Framework(CSF)這樣的框架,透過識別、保護、偵測、回應、復原等面向,來進行資安管理。

而在IT安全的作法上,我們可以運用ISO 27001的管理制度,來評估風險、重要性,再把資源放在較優先處理的部分,這是風險管理的過程;而OT安全的作法上,目前最熱門的議題就是關於IEC 62443的標準,它就是針對OT、工控系統的安全規範,而我們可以參考當中的要求來強化防護。

不過,這樣的局面可能會讓人感到混亂,因為一邊要做ISO 27001,但另一邊要做IEC 62443,張晉瑞說,「一家大公司同時穿好幾件衣服,很奇怪」,因此,他呼籲我們該思考的是,如何將這些資安規範融合在一起。

針對這樣的需求,張晉瑞也用他們為一家製造業控股公司的規畫,來說明實際的作法。一般而言,想要實現管理目標,固然有許多面向要考量,但相關的因應作為是可以兼容各種要求,舉例來說,IT的部份,我們可能已經導入ISO 27001,而有144個控制項,而在OT的部份,導入IEC 62443,又有一些必須採用的控制手段,甚至我們還可以將道瓊永續指數(DJSI)整合進去對應。

如果有些企業需要取得這樣的分數,由於DJSI近幾年來也開始針對資安層面提出問題,他們會詢問企業相關的控管防護程度、是否有所作為,然而,企業若被對方要求揭露這樣的資訊,張晉瑞說,難道要為了DJSI重新做一套?事實上,相關作為是一樣的,但提報給DJSI的作法是有對應的,而且是能符合當中的特定條款規範,以及提供回覆方式,因此,只需做一次就能因應多種相關的要求,就像「穿一件衣服,就能因應三種不同的場合需求」早上要開會、中午要與客戶見面、晚上要參加宴會,都只需要穿著同一套服裝,而這也是企業要追求的目標。張晉瑞強調,並不是透過一個個資安框架的導入來達成要求。

了解IEC 62443的基本架構與認證範圍

而在IT與OT並存的營運架構下,企業該如何檢視與實施資安控管與防護?基本上,我們可區分為5個層級,最頂端是企業管理層,接下來是業務邏輯層,當中有ERP等各種管理系統,也是IT安全過去經常要去強化的部份,再往下是OT的範疇,裡面包含了營運管理層(MES)、流程監控層(SCADA)、自動控制層(PLC)、現場設備層(感測器、致動器),而在後三層當中,就有工業控制系統的設備。面對這些層級,該把風險管理的重點擺在哪裡?我們必須要有制度規範來找出這些關鍵。

以IEC 62443而言,分成下列4個區塊。

第1部分(IEC 62443-1系列)是這項標準的概論與通用介紹,包含了4種規範。

第2部分(IEC 62443-2系列)是「政策」與「執行程序」,主要規範的對象是業主(Asset Owner),例如,高鐵公司想要管理自動控制系統的資安,因此想要推動相關的制度,該公司就是業主,他們就可以選擇IEC 62443-2-1,他們需要導入工業自動化與控制系統(Industrial Automation and Control System,IACS)的安全管理系統,而這系統就像ISO 27001的第二管理系統。

張晉瑞說,在規範當中,只要提到「Requirement」的部份,都是可驗證的(Cross-validation,CV)、驗證公司可發證書的;而對於提供解決方案的供應商要求,則是要參考IEC 62443-2-4的規範。

第3部分(IEC 62443-3系列)是針對「系統」。如果業主需要採用監控系統,有廠商想要投標、負責這項建置案,那麼,廠商所要遵循的標準,就是這邊的規範,要求遵循的對象正是系統整合者(System Integrator),而該廠商就要注意當中的系統安全要求,以及資訊安全等級區分。張晉瑞也舉例說明這邊的原則,例如,供一般人使用的可能是第一級,企業用的是第二級,軍用是第三級,需上到太空的是第四級。而有了這些依據,廠商就可以去規畫他們承包的監控系統。

第4部分(IEC 62443-4系列)是針對「元件」。一家廠商提供的解決方案,未必全部由他們生產、製造,可能會使用到多個元件,像是監視器、硬碟、路由器,廠商再將這些元件組成一整套系統,而元件的供應商可以考量是否遵循相關的OT安全標準。

以IEC 62443-4-2來看,所規範的就是元件本身的產品安全,是否符合技術規格的需求,不過,產品送驗時通常都是最佳狀態,但驗過之後,還是有可能因為受到修改而未能維持高水準,張晉瑞表示,因此,現在的趨勢是,驗證必須同時涵蓋IEC 62443-4-1(安全的軟體開發生命週期,SSDLC)。

簡而言之,如果你是元件提供商,就考慮IEC 62443-4-1、IEC 62443-4-2;如果你是系統整合廠商,就考慮IEC 62443-3-3、IEC 62443-2-4;如果你是業主,要知道如何管理,或是要求供應商該如何注意安全,就要注意IEC 62443-2-1、IEC 62443-2-4;其餘的部份(IEC 62443-1)是這項標準的指南,大家都可以參考。

IEC 62443可涵蓋SSDLC的整體與細部流程的資安要求

關於安全的軟體開發生命週期,企業IT人員相對熟悉,然而,對於OT人員而言,若要做好資安,也可以應用這樣的作法,並且參考IEC 62443的資安標準來驗證。

例如,在設計階段,我們把安全架構定義出來,執行威脅建模(Threat Modeling);在驗證階段,要做弱點評估(VA)、滲透測試(PT)、模糊測試(Fuzzy),以及第三方測試。若對照IEC 62443的要求來看,這些要求從頭到尾都可以涵蓋在IEC 62443-4-1,同時,在IEC 62443-4-2、IEC 62443-3-3、IEC 62443-2-2、IEC 62443-2-4,也都能涵蓋到部分要求。

基於這樣的規範設計架構,張晉瑞再次強調,企業在導入不同的資安認證標準時,如果不希望重複進行、每次都要從頭再做一次,可以參考這樣的作法來對應,並且能夠明白,當中採行的相關措施也能同時符合其他項目的要求。

張晉瑞以IEC 62443-4-1為例來說明,這部份已針對安全的軟體開發週期要求得相當詳細,分成8個類別、47個實作,如果這麼多要求都能夠做好,其實就等同於回歸到ISO 27001,而且做得更好,而且,也就順勢涵蓋到了ISO 27001,我們也不會重工,只是做得更精、更細。

省思這些規範要求存在的意義,張晉瑞感慨地說,能夠讓我們在整個軟體開發的過程當中,真正去思考資安這個元素,也才能知道在開發階段當中,工控系統應達成的資訊安全要求,而不是到後面出了包,才意識到當初設計時根本沒想到這些狀況。

此外,IEC 62443的應用,不只是針對產品開發時期的資安要求,也能用於資安事件的應變處理,PwC目前也針對IEC 62443設計出一套事件應變模型。張晉瑞表示,這個OT與我們在IT緊急應變的流程類似,從事前的準備、計畫、支援、演練,以及事中的威脅與應變識別,到事後的降低衝擊、消除與回復,都是相同的概念,這些也都可以放在原本的應變計畫當中。

建立統一的管理制度,將安全強化的資源放在重要、高風險的部份

關於IT與OT的融合,已是當前企業所必須面對的挑戰,然而,在資安防護的工作推動上,我們該思考的是如何提升效率,而不只是扮演救火的角色,疲於奔命卻仍舊處於事倍功半的狀態。

張晉瑞認為,要做好資安,並不只是區分IT與OT,各行其是,而應該要好好的一起做。

一般而言,我們往往若面臨資安問題、事故,就必須設法修補與善後,但不一定能掌握IT與OT資產的風險,以及重要性的高低,因此出現資源不斷投入,成效卻不彰的狀況。然而,企業的資源(人力、預算)有限,因此,我們還是要思考整體資安的管理,注意哪些組織要對流程進行管控、稽核,並且制定策略、實施正確的處置措施。

此時,若能有一套管理制度,企業就可以知道哪些是重要的、風險較高的部分,再將資源放在這邊,就能有效保護重要資產、大幅降低風險。而在實際營運的過程當中,我們也會面臨種種工作的要求,可參考資安認證的標準來驗證,舉例來說,在弱點更新的管理上,在ISO 27001裡面,我們可參考A.12.6技術脆弱性管理的規範,如果是OT的部份,則可根據IEC 62443-2-3 IACS環境的弱點修補管理來進行控管。

整體而言,張晉瑞建議,上述這些都是該做的項目,但我們應該想的是如何由上而下,而且是橫跨整個企業來施行,以及該把資源放在何處較適當。若能建立一套管理制度,就能夠幫我們找到開始著手的起點,知道從哪裡開始做,而相關規畫,企業可以自己做,或找專業顧問公司來協助。

 

熱門新聞

Advertisement