在國內出現許多跟OT應用有關的資安事件後,大家對於工控設備與物聯網裝置的安全性,有了更多的關心與重視。本文即針對高科技製造業的OT應用環境及物聯網裝置,探討工業環境下可能面臨的資安威脅與解決之道。
IT(資訊科技)人員對於IT設備的資安維護其實已相當熟悉,但對於生產線上的OT(操作科技)設備則相對比較陌生,這也給了駭客入侵的可趁之機。傳統IT領域重視資料的機密性與完整性,但OT設備則更著重於可用性與人員安全,但為了因應遠端連線的需求,OT設備從比較封閉的環境下逐漸打開網路大門,面臨與IT設備同樣的安全威脅。
通過網路行為特徵 阻擋異常操作的威脅
想要找出網路環境中潛在的威脅,目前除了防毒軟體外也已有其他的選擇,例如:Darktrace的企業免疫系統,是一種網路防禦機器學習技術,正如人體免疫系統會了解身體的正常情況,識別和消除一些不符合正常發展模式的異常值,其將相同的邏輯應用於企業和工業環境。在機器學習和人工智慧運算法支持下,企業免疫系統技術可替代為網路中的每個設備和用戶學習獨特的「行為模式」,若發現異常網路作業,便可進行隔離以確保系統安全;且可與其他資安系統相輔相成,提供中心監控功能,防止機密資料外洩,能對異常作業進行虛擬隔離,但又不影響正常工作的運行,相當適合IT與OT環境的運作。
監控特權連線 避免異常資料存取
從許多企業實際案例中,可以發現很多機密資料的外洩,通常是透過合法授權的帳號進行存取,一般的資安管理系統並無法識別與阻擋這些機密資料的外流。立寶科技產品經理汪育慶表示,機密資料的外洩,通常是透過員工有意、無意的操作,或經由外部承包商授權帳號進入系統,或因帳號密碼被駭客竊取,透過特權帳號進入系統存取;此外,也有些是經由程式之間的資料分享,導致資料存取過程中被竊取。他指出,FUDO PAM特權連線監控解決方案,可監控伺服器連線,記錄連線使用者的行為動作,包含滑鼠移動軌跡、鍵盤輸入以及傳輸的檔案,不需安裝任何代理程式(Agent)在被監控的伺服器上,也不需要在用戶端安裝任何軟體觀看/稽核記錄下來的監控內容。它可以監控內部員工、外部承包商或合作夥伴等在伺服器上的動作行為,管理者亦可即時監看,若發現異常動作便可即時阻擋,提供高科技製造業絕佳的資訊保護能力。
要解決物聯網裝置的安全問題,可先從設備製造的源頭做起,
例如:對晶片韌體進行加密保護。
工控機與物聯網裝置的安全挑戰
而針對更為廣泛的機台聯網甚至是物聯網裝置,又該如何防範資安威脅?互聯安睿資通技術長何宜霖表示,可以有以下作法:
1、從設備製造源頭開始進行安全檢測
物聯網裝置為提供操作上的便利,常提供網頁介面進行操作,因此駭客可透過瀏覽器漏洞對物聯網裝置進行攻擊。且很多人在安裝了物聯網裝置後,幾乎都採用預設的帳號與密碼,使得駭客要掌控這些物聯網裝置變得易如反掌。此外,物聯網裝置大多採用無線技術傳輸訊號,這也讓駭客可以非接觸式地從空中攔截訊號來加以破解,趁機入侵物聯網系統。要解決物聯網裝置的安全問題,可先從設備製造的源頭做起,包括:在產品的開發階段便做好設備安全檢測,對產品的韌體做好保護,以避免被駭客破解;在網頁介面、應用程式的安全性上,也要將已知的漏洞補上。另外,使用者也要有足夠的安全意識,不要使用預設的帳號與密碼,才不會給駭客可趁之機。
2、多層次的應用程式白名單技術
國際間與台灣本地都發生過工業機台(工控機)與物聯網裝置遭受入侵的事件,導致工廠生產與運作都遭受到重大損失。工業技術研究院副組長卓傳育表示,工控機器設備每天進行的工作相當固定,物聯網裝置也幾乎是全天候運作,只要設備運作正常,管理者通常不會特別注意是否有異常或已被駭客入侵,因此成為駭客下手攻擊的首要目標。傳統防毒軟體採用黑名單概念──即發現黑名單中的惡意程式被執行便加以警示阻擋,但這種作法難免會出現漏網之魚,導致系統遭受惡意程式感染。應該採用應用程式白名單概念,只有列在白名單中的應用程式才允許被執行,包括程式所進行的系統呼叫、控制流程等,這種多層次的應用程式白名單技術,才能主動做好OT設備的資安。
3、晶片加密技術的聯網安全
想要在產品的開發階段做好資訊安全工作,可以嘗試從晶片加密開始做起,國內提供晶片加密方案的尚承科技執行長賴育承表示,資訊安全是開發物聯網裝置的首要工作,以PiLock晶片加密技術為例,能在產品開發階段保護韌體安全、對晶片韌體進行加密,使其在生產製造過程中不被破解,短時間即可做好韌體加密保護工作。其亦可以協助廠商在物聯網裝置的生命週期間,無論是韌體保護、韌體更新、晶片製造、產品交付的過程,都能夠做好安全防護工作,一方面保護廠家的智慧財產,也可避免產品被駭客破解注入惡意程式。
想要避免物聯網裝置被駭客入侵,可以從建立網路安全邊界做起,做好內網隔離的工作。此外,企業也應該經常性地進行場域的弱點掃描檢測,發現裝置與系統的弱點,以便能及時地加以補強,讓駭客無可趁之機。