近年來,製造業網路安全(資安)事件頻傳,勒索軟體發生機率連年提高,尤其駭客組織轉型成勒索軟體即服務(Ransomware as a Service, RaaS)的模式之後,攻擊目標已從大型企業轉向中小企業。目前製造業面臨哪些工控資安挑戰?又該如何因應呢?
(圖片來源:123RF)
隨著製造業快速朝數位化、智慧化轉型,其面臨的網路安全(資安)問題也急遽升高,攻擊威脅不再僅針對資訊科技IT(Information Technology),營運科技OT(Operational Technology)也早已籠罩在看不見的陰霾當中。尤其越來越多涉及獨特技術或高產值的製造業者,更已成為駭客組織的覬覦對象。
資安長在工控場域面臨3大挑戰
雖然各產業工業控制(工控)系統所需的資安佈局各有不同,但也有著共同的趨勢。工控資安廠商TXOne Networks(睿控網安)於5月13日發布新聞指出,根據該公司調查全球505位資安長(Chief Information Security Officer, CISO)在工控場域普遍面臨的資安挑戰,前三名分別為:
- 隨著工業聯網設備激增,企業掌握自身資安現況的複雜度亦隨之提升。然而,資安人員往往受限於只能看見自己負責的項目,如機台、網路、終端設備等。對此,企業應在保持高度資訊安全的同時,思考如何兼顧運營效率,以穩定地提升整體資安覆蓋率。
- 在高度複雜的工控環境中,亟需針對工控環境特殊需求量身定製的資安解決方案,以應對急遽變化的資安威脅型態。
- 當企業導入供應鏈以及第三方服務商所提供的軟硬體服務時,唯有將老舊的系統完整納入資安守備範圍,以此提升對資安態勢的掌握度,並且防堵攻擊破口。
針對台灣的調查結果也與全球趨勢一致,然而台灣受訪者針對可支用的資安經費,則面臨相較其他地區有更大的壓力。
TXOne Networks執行長劉榮太表示,Living-off-the-land這類手法是近幾年很棘手的攻擊方式,由駭客寄生內部合法軟體進行惡意行為。由於往往是針對式的攻擊,並且常採用無檔案攻擊,所以逃避過許多常規資安的偵測。現今企業在資安成熟度上存在分水嶺,可大致分為資安前段班和後段班。資安後段班的企業在基礎資安已部分部署,應更著重提升資安覆蓋率,以建立強固的安全防護。資安前段班的企業產業複雜度高、機台規模多,且基礎資安部署都到位,因此更需要有可協助資安人員綜觀全局的工具來找出可疑之處,以加強偵測及回應能力,提升組織的資安前瞻免疫力。而這兩者皆需要採用可克服工控場域特殊限制的解決方案,讓企業即使在有限人力下也能進行更有效的資安防護。」
工控資安4大發展現況
此外,網路資安廠商 Fortinet於7月2日發布的《2024年OT與網路資安現況調查報告》(2024 State of Operational Technology and Cybersecurity Report),乃是針對台灣及全球超過 550 位來自製造業、醫療製藥等行業OT專業人士進行調查的結果。調查報告發現:
1、針對OT系統的網路攻擊持續增加,恢復運作的速度成關鍵
根據調查,去年只有49% 的受訪者表示經歷了僅影響OT系統或同時影響 IT和OT系統的入侵事件。然而2024年,有73% 的受訪者表示歷經了 IT 及 OT 系統的入侵;其中,只針對OT系統的入侵事件更從去年的17%增長至24%,且呈現逐年增長的趨勢。有鑑於攻擊增加,有46% 的受訪者表示,他們判斷成功抵禦與否的關鍵,在於系統恢復正常運作所需的時間。
2、企業遭受入侵頻率急升,成長近3倍
2024年有31% 的受訪者表示遭受超過6次的入侵,相較於去年的11% 成長近3倍。值得注意的是,相較去年,惡意軟體攻擊的頻率有所減少,然而其他的攻擊類型皆持續增加。其中,網路釣魚及商務電郵是最常見的入侵方式,行動裝置安全漏洞和網頁入侵則是最常見的技術。
3、資安威脅更甚以往,可視化程度和偵測方法應加速跟進
調查報告顯示,認為自家企業OT系統具備完全可視化的受訪者比例,從去年的 10% 下降至 5% ;然而,認為具有75% 可視化程度的受訪者比例則有所增加,說明了企業對其安全態勢有更貼近現實的認識。儘管如此,仍有56%的受訪者表示,曾遭受勒索及破壞性軟體的入侵,這樣的比例相較於2023年的32%顯著上升,表示企業在網路可視化程度和偵測能力方面仍有進步空間。
4、OT安全正成為企業高層的關注焦點
越來越多企業將OT場域的安全管理與資安長(CISO)的策略更緊密結合,調查數據顯示,具備這種傾向的企業比例已從2023年的17% 增長到今年的27%。於此同時,將OT安全責任轉移至其他最高管理層職位(C-suite角色,包括CIO、CTO和COO)的比例,在未來一年內預計將會提升到60% 以上,清楚地顯示出企業組織在2024年後對OT安全和風險管理的高度重視。
發展IT和OT融合的安全營運,實現全方位OT資安防護
Fortinet台灣區總經理吳章銘表示,台灣的製造業和重要公用、民生等產業,隨著網路基礎建設的升級越來越仰賴OT環境運作,而台灣在AI等前沿科技發展之下,已成全球供應鏈中的要角,OT組織內部的資安韌性強化將更顯重要。
在《2024年OT與網路資安現況調查報告》中,也建議企業可採行幾項具體步驟來解決OT安全挑戰。首先是分段部署,建議企業在所有的存取點實施網路策略控制,透過創造網路區域與分段,建立出一個具高度防禦力的OT環境。其次,企業必須能看見及理解OT網路上的所有內容。一旦建立了可視性,企業需要保護任何看起來易受攻擊的設備,這需要專為敏感OT設備設計的保護性補償控制。再者,企業應朝向IT和OT融合的安全營運(IT-OT SecOps)方向發展。為達到這個目標,企業安全團隊必須在安全營運和事件回應計畫中特別考慮OT,其中一種作法是建立包含組織OT環境的回應劇本。同時,組織也可採用專為OT環境設計的威脅情報和安全服務。
為應對快速變化的OT威脅和持續擴大的攻擊面,許多企業採用了來自不同供應商的安全解決方案,這導致了過於複雜的安全架構。整合型、一致性、平台式的安全方法,可以幫助企業整合供應商並簡化架構,建立整合性同步保護IT 網路及OT環境的強大安全平台,透過集中管理來提高組織安全效率。