在智慧工廠中,ICS(Industrial Control System,工業控制系統)所曝露的資安漏洞正在不斷地增加,光是2017年就有197個系統漏洞被揭露,也代表有無數的工業控制系統如果沒有更新軟體或韌體,將會輕易地被無數的駭客利用病毒、木馬或惡意軟體來攻擊。
工業網路資安風險快速增加
在筆者寫此篇文章的同時,即傳出台積電工廠中毒的事件。事實上也已開始發生勒索軟體攻擊工業控制網路的案例,因為工廠不能停機,對勒索軟體來說更加有利可圖。所以除了偷竊機密及單純破壞之外,在不久的將來,透過勒索軟體來威脅破壞生產線將會是智慧工廠最頭痛的安全問題。為何工業網路安全會變成大家關注的問題,而且頻頻出事呢?肇因大致可歸納為三方面:
一、為資料整合開啟通道,導致有機可乘
傳統封閉式工業控制網路為實體隔離網路,除了拿USB或硬碟進去更新軟體或複製資料而遭到檔案型病毒感染之外,一般而言較少有機會讓駭客有機可乘。但因工業4.0的興起,工廠的工業控制網路為了要做資料整合而開始要連接雲端或大數據資料庫,因此開了一個網路通道以便連接到資料中心與資料庫整合,如此一來,等於也為駭客開了一個有機會入侵的通道。
二、工業設備欠缺軟/硬體安全認證機制
現在自動化惡意程式氾濫,駭客大量利用社交工具,誘惑使用者打開郵件中毒後,迅速埋入自動化惡意程式,不斷地掃瞄內部設備的弱點再予以攻擊。這種從內網攻擊內網的手法日漸成熟,使得傳統以外網為主要防禦的方式幾乎完全失守。所以現代化資安開始強調“Zero Trust”(零信任),也就是即使內部網路所連接的設備也要經過軟體及硬體的安全認證,否則不允許它連接上內部網路。可是在工業設備上幾乎沒有這些機制,一旦駭客入侵電腦且模擬成某一設備,幾乎無法可管。
三、工業控制系統資安意識亟待加強
目前工業控制系統安全概念遠遠不及辦公室OA(Office Automation,辦公室自動化)網路管理概念,因為OA管理人員已經跟病毒奮戰幾十年了,有非常高的憂患意識──懂得隨時更新軟體、不要隨便打開不明郵件、USB隨身碟要掃毒後才能接入電腦⋯等。而且架設多層防護,若有任何入侵事件,至少可在第一時間從相關設備中撈出完整日誌資料、做成分析報表,供資安人員做進一步的鑑識,能夠加速找出入侵原因以便修補漏洞。與工業控制網路長期以來一直是封閉的網路環境、幾乎沒有架設任何防禦機制相比,完全不可相提並論。
若不正視上述肇因,在工業網路走向更開放、整合更多設備與資料的趨勢下,安全問題只會更加地嚴重,完全看不到回頭路了。
一般企業資安保護架構
一般企業辦公室在資訊及網路安全的保護架構上,大致會安裝及實施下列設備及服務(參考下圖):
1、特徵碼阻擋型設備:例如防火牆(Firewall)/防毒牆等設備,利用特徵碼過濾出疑似惡意程式並將其擋在門外,不讓它有進入的機會,也就是將外網及內網分開。
2、威脅情報資料庫設備:有些廠商蒐集了惡意程式會回連的IP地址等資料,匯總成資料庫。當惡意程式感染內部電腦後,中毒的電腦所做的行為或會連接的IP地址被設備偵測到後,立刻加以攔阻及回報,例如:IPS(入侵防護)/IDS(入侵偵測)設備。所以內網一旦中毒感染,仍有機會捕捉到病毒的蹤跡。
3、異常行為分析及回報系統:像SIEM(SecurityInformation Event Management,安全資訊與事件管理)系統,不斷地蒐集及分析從所有資安及網路設備回報的大數據,並做出報告及預警。這樣的系統在內網遭受到未知病毒攻擊時,仍有機會透過日誌分析找出可能攻擊的途徑,及未知病毒的攻擊(零時差攻擊)。
4、資安風險評估:在重視安全的企業或政府的IT部門,每年找資安顧問來做弱點掃描及安全風險評估是必備的重頭戲,甚至像金融業也將此訂為行業標準,以透過顧問服務及時找出問題並加以補強。
OA網路的安全基礎架構圖
智慧工廠資安建議措施
在那麼嚴謹周密地保護、大量預算以及資安專家的投入下,一般企業及政府的資安事件仍層出不窮,試想目前的工業控制網路所投入的安全設備及預算,可能不及一般企業IT網路環境的1/10,可見得工業網路一旦接上雲端或外部網路,會帶來多麼大的資安風險及衝擊。所以為了加強在工業控制網路上的安全控管,筆者建議可先著手以下措施:
一、多層次的保護
傳統做法只會架設一層防火牆在工業網路及OA網路的中間,一旦此防線被突破,工業網路便完全失守。也就是說,工業網路內其中一台電腦中毒,所有的HMI(Human Machine Interface,人機介面 )、資料庫、PLC(Programmable Logic Controller)便形同沒有保護。所以,第一步可在資料庫及HMI各加上一層防火牆,如此就算被突破也能從防火牆的日誌中查出蛛絲馬跡。不過一旦導入多層次防護,防火牆的管理及設定就會變得非常複雜,因為有一利必有一弊。
二、引進安全資訊與事件管理(SIEM)系統
其次,可引進SIEM工具,加強所有設備的Log蒐集及分析。以現階段來看,工業網路若發生資安事件,往往礙於蒐集資料不齊全而無法馬上鑑識出原因、及時找到解決方法。如果有架設SIME報表工具,就能每天24小時不斷地蒐集網路及資安設備的Log,一旦有事件發生,資安顧問進來協助鑑識就會容易許多。
三、定期進行資安風險評估
再者,須定期實施資安弱點掃瞄及風險評估。由於駭客手法日新月異,建議可找一家可靠的資安顧問公司來做定期服務,找出需補強的弱點,將可大幅降低被駭客入侵的風險。然而要實施以上步驟,可能要準備不少預算及人力。客觀來說,要晉身為「智慧工廠」所需投入的成本,是比現在一般老闆們所想像的超出許多。
結語
有鑑於工業控制網路的爆炸性成長,近來許多資安廠商紛紛搶進此市場,推出許多針對SCADA(Supervisory Control and Data Acquisition,監控及數據收集系統)和HMI所設計的資安防護,或是以AI及機器學習做訴求的工業網路安全防護相關設備及軟體。而資安標準的建立,也開始在IoT及工業設備中發酵。可預期的是,將會有一堆新的工業控制網路的安全廠商如雨後春筍般冒出。當然,駭客們也會不斷地研發新的攻擊技巧及惡意程式。因此預估未來幾年從事資安工作的人才會更加搶手,而資安公司的股價也將不斷地攀升,可以給各位讀者作為未來工作或公司投資找到新方向的參考。
(本文作者為瀚錸科技總經理)