IoT是當前最熱門的科技發展趨勢之一,預計2020年全球將有208億個IoT裝置,全部的IoT裝置數量已經超越傳統的IT設備。不過,這種新型態的應用環境也加劇了網路風險的曝露。
隨著物聯網(IoT)世代的快速發展,在所有產業中,製造業的腳步亦緊跟物聯網的發展。在工業環境下,企業的製造和營運的安全威脅模式,逐漸從個人電腦、網際網路到IoT互聯不斷擴大;攻擊的目標也是一樣,由個人擴散到機器,手段從詐騙延伸至無人智慧攻防,愈來愈進階。在這樣的環境下,近5年以來國際間已經發生多起基礎設施及工廠的工業控制系統(Industrial Control Systems,ICS)因為遭受駭客攻擊,導致大規模停電、斷網或是金額損失的重大事件,例如:
- 2015年烏克蘭電力網路受到駭客以惡意軟體攻擊,導致數十萬戶居民大停電。
- 2016至2017年約長達2年時間,俄羅斯駭客駭入美國的電力供應網路系統。
- 2018年8月台積電病毒事件,造成晶圓出貨延遲,讓台積電當年第三季營收短少約52~78億元之多,也打破了台灣歷年來資安事件影響金額的紀錄。
專門攻擊IoT裝置的資安事件 大幅增加
許多人對於IoT裝置有些迷思,認為IoT裝置無機敏資料,且僅提供特定功能,因此影響極為有限;加上作業系統已經過客製化,因此安全上較不堪慮。事實上,駭客攻擊IoT裝置並不僅是單純想竊取IoT裝置的資訊,而是要將這些IoT裝置視為攻擊的跳板,進一步攻擊網路內其他IT(資訊科技)、OT(操作科技)的裝置。
Tenable技術顧問Richard Li表示,目前已經發現了知名的殭屍病毒Mirai,專門攻擊採用Linux 韌體的IoT裝置。變種的Mirai會利用一些路由器設備遠端執行漏洞,或是透過路由器的OS(作業系統)命令注入等漏洞進行攻擊;Mirai的變種Miori則會透過PHP框架的遠端程式碼執行漏洞散播。另外還有一種稱為Slingshot的IoT攻擊手法,駭客會透過IoT漏洞入侵並植入惡意程式,惡意程式利用系統漏洞取得權限、當作跳板,繼續攻擊企業內部伺服器。由於許多IoT裝置本身已存在潛在可利用的漏洞,使用不安全的網路協定、App或是提供不安全的軟體、韌體更新,並仍保留不安全的網路連接埠,且難以追蹤未授權的連線,因此也使得IoT 裝置容易被駭客所入侵。
Richard Li進一步指出,工業控制系統(ICS)的OT應用是一種獨特網路區域,通常採用高度敏感的系統,屬於關鍵設施不能中斷服務運作的一員,採取應用特殊的工業協定。目前針對OT環境的攻擊所帶來的危害,已超過數十億的損失。依據資料安全研究中心的統計,有90% 的受訪者在過去兩年間至少經歷過一次破壞性的網路攻擊,可見事態已經相當嚴重。他表示,駭客會先透過可利用的漏洞攻陷企業網路,再進入ICS網路進行攻擊。2017年,針對物聯網設備的攻擊增加了600%,針對工業控制系統的漏洞增加了29%,可見ICS系統被攻擊的比例已大幅增加。
工控系統(ICS)已成資安重點
工業4.0網路化的展開,其目的與精神是希望可以連結製造相關的元素、設備,進行普及的連結與優化,讓工業製造的環境與運作可以發揮出更大的效益與回應的速度,工業互聯網一但連結起來,著實威力不可小覷。但是過往工業控制系統環境中,是採取分段式網路來防禦可能的駭客突襲,這樣的方式逐漸無法足以承擔高端的安全防禦機制。
目前已經有越來越多的駭客與惡意程式針對工控系統進行攻擊,其影響所及往往不僅是單一企業,而有可能會擴及到公共基礎建設。從2013年伊朗侵入紐約大壩的C&C系統,到2015年「黑色能量」針對烏克蘭電力公司進行攻擊,以及駭客於2018年針對布里斯托爾機場的航班信息顯示系統進行勒索,已經有越來越多公共基礎設施遭受攻擊,影響到一般大眾的生活。因此,工業控制系統是不可被忽視的資安重點。
<本文取材自「資安人」>