延續(xù)自這兩年來(lái)疫情肆虐全球期間,推動(dòng)基礎(chǔ)建設(shè)及產(chǎn)業(yè)數(shù)位轉(zhuǎn)型需求大增,工業(yè)電腦(IPC)應(yīng)用也越來(lái)越普及,隨之造就營(yíng)運(yùn)技術(shù)(OT)資安領(lǐng)域的完美風(fēng)暴。由於皆採(cǎi)用PC + Windows OS架構(gòu),讓駭客只須採(cǎi)用與資訊科技(IT)同一套「解決方案」,就能入侵OT產(chǎn)線設(shè)備,也促使資安軟體業(yè)者開(kāi)始與IPC硬體業(yè)者積極整合以協(xié)同解決。
根據(jù)Cybersecurity Venture研究,近年來(lái)伴隨著物聯(lián)網(wǎng)、AI技術(shù),帶動(dòng)工業(yè)4.0、智慧製造的浪潮,讓工廠遠(yuǎn)端操作需求不斷提升,並為此設(shè)立了大量感測(cè)器,以及監(jiān)控各處數(shù)據(jù)的零組件所形成的網(wǎng)路架構(gòu)。卻常因?yàn)閱我辉奶幚硇苡邢蓿狈?nèi)建安全防護(hù)功能,也讓駭客擁有更多可趁之機(jī),據(jù)統(tǒng)計(jì)只須平均耗時(shí)5分鐘,就能針對(duì)剛連線的裝置攻擊。
生產(chǎn)線又為了提高效率,而從前端ERP接單,直接連結(jié)到後端MES流程高度整合,用來(lái)蒐集數(shù)據(jù)的感測(cè)器也會(huì)互相串連,形成範(fàn)圍更廣的工業(yè)物聯(lián)網(wǎng)系統(tǒng)。因大量將IT與OT融合的佈建下,促使原來(lái)受封閉式網(wǎng)路保護(hù)的OT端大量暴露在網(wǎng)路威脅之下,形成一場(chǎng)完美風(fēng)暴,單一漏洞可能很快就會(huì)成為入侵公司網(wǎng)路的起點(diǎn)。截至2021年全球因資訊安全事件已造成6兆美元的成本損失,建議企業(yè)應(yīng)透過(guò)更完整由端到雲(yún)的資安防護(hù),以確保在資安環(huán)境數(shù)位轉(zhuǎn)型,免於資安威脅。
其中,工業(yè)控制系統(tǒng)(ICS)環(huán)境的資安防護(hù)便在「防患於未然」,以免遭遇巨大的資安危機(jī)。依趨勢(shì)科技研究觀察2020年10大勒索病毒家族,皆鎖定感染OT、ICS為攻擊目標(biāo),臺(tái)灣科技製造業(yè)也成為駭客發(fā)動(dòng)勒索病毒攻擊的受駭者。且在最新針對(duì)日本、德國(guó)及美國(guó)的工業(yè)網(wǎng)路資安調(diào)查中,也顯示有高達(dá)61%的受訪製造業(yè)者都經(jīng)歷過(guò)資安事件,甚至造成43%企業(yè)產(chǎn)線停擺4天以上,劇烈衝擊著製造業(yè)營(yíng)運(yùn)。
Gartner也預(yù)測(cè),企業(yè)在2023年因?yàn)镃PS(Cyber-Physical Systems)遭受攻擊,造成的財(cái)務(wù)損失已超過(guò)500億美元;加上受到資安攻擊衍伸的相關(guān)賠償、訴訟、保險(xiǎn)、監(jiān)管罰款,以及人為失誤所產(chǎn)生的責(zé)任損失將持續(xù)擴(kuò)大,顯示OT安全性勢(shì)必成為製造業(yè)營(yíng)運(yùn)的一大挑戰(zhàn)。
因應(yīng)現(xiàn)今只要有資料的地方,就必需要有安全的考量。否則可能發(fā)生蒐集不到,或是蒐集了錯(cuò)誤的資料,甚至是資料被鎖住不能用的情況,所以必須在每一個(gè)環(huán)節(jié)做足準(zhǔn)備。趨勢(shì)科技執(zhí)行長(zhǎng)陳怡樺便強(qiáng)調(diào):「對(duì)製造業(yè)而言,資安應(yīng)該就是製程的一部分,千萬(wàn)不能當(dāng)成附加成本。務(wù)必讓臺(tái)灣製造的所有元件與成品,都能有資安思維在其中,才能夠幫助世界數(shù)位轉(zhuǎn)型的成功更安全。」
依趨勢(shì)科技觀察,現(xiàn)今政府與銀行雖然一直都是駭客主要攻擊目標(biāo),但2020年製造業(yè)與醫(yī)療業(yè)遭受攻擊的狀況更嚴(yán)重。由於臺(tái)灣GDP有30%以上都是來(lái)自於製造業(yè),在全球製造業(yè)重組供應(yīng)鏈扮演要角,半導(dǎo)體產(chǎn)業(yè)更被譽(yù)為「護(hù)國(guó)神山」,撐起了全世界數(shù)位轉(zhuǎn)型的半邊天,鎖定OT環(huán)境進(jìn)行攻擊的勒索病毒也與日俱增,對(duì)於製造業(yè)已是當(dāng)務(wù)之急。
最近臺(tái)灣政府積極在五加二產(chǎn)業(yè)創(chuàng)新的基礎(chǔ)上打造新一代六大核心戰(zhàn)略產(chǎn)業(yè),便特別強(qiáng)調(diào)「資安即國(guó)安」的重要性,已在《產(chǎn)業(yè)創(chuàng)新條例》條文中將新增資通安全產(chǎn)品或服務(wù)投資抵減優(yōu)惠項(xiàng)目,包含:終端與行動(dòng)裝置防護(hù)、網(wǎng)路安全維護(hù)、資料與雲(yún)端安全維護(hù)有關(guān)的硬體、軟體、技術(shù)或技術(shù)服務(wù),及跨終端、網(wǎng)路、雲(yún)端的資通安全技術(shù)服務(wù)等。藉以鼓勵(lì)產(chǎn)業(yè)加速或提前導(dǎo)入資安產(chǎn)品或服務(wù),儘速完備臺(tái)灣產(chǎn)業(yè)資安聯(lián)防體系,確保可在國(guó)際供應(yīng)鏈上取得客戶信賴,並能因應(yīng)國(guó)際日益嚴(yán)重的資安攻擊與威脅。
| 圖1 : 因大量將IT與OT融合的佈建下,促使原來(lái)受封閉式網(wǎng)路保護(hù)的OT端大量暴露在網(wǎng)路威脅之下,形成一場(chǎng)完美風(fēng)暴,單一漏洞可能很快就會(huì)成為入侵公司網(wǎng)路的起點(diǎn)。(source:arbor-technology.com) |
|
法人協(xié)助推廣零信任 降低資訊存取前端風(fēng)險(xiǎn)
另隨著近年來(lái)美中科技戰(zhàn)導(dǎo)致供應(yīng)鏈重組等因素,全球企業(yè)的營(yíng)運(yùn)模式正大幅改變,使得資安不再只是單純的技術(shù)議題。若是遭遇網(wǎng)路端攻擊,現(xiàn)行普遍使用防毒軟體打造防火牆雖也一樣有效,但在駭客規(guī)模逐步企業(yè)化,漏洞偵測(cè)工具及加密等攻擊手法不斷精進(jìn)之後,資安漏洞未來(lái)只會(huì)持續(xù)增加、防不勝防。
企業(yè)必須確保用戶能在任何環(huán)境、從任何地點(diǎn)無(wú)縫存取必要的應(yīng)用程式與數(shù)據(jù);同時(shí)控管不同網(wǎng)路、裝置與地點(diǎn)的存取權(quán)限並執(zhí)行適當(dāng)?shù)陌踩雷o(hù),才能因應(yīng)目前混合辦公與數(shù)位優(yōu)先的互動(dòng)模式。已有業(yè)者開(kāi)始引進(jìn)美國(guó)積極提倡的「零信任(Zero Trust)」概念,要求每個(gè)資源使用控制權(quán)限都有明授予的特權(quán),強(qiáng)調(diào)當(dāng)用戶和裝置每次存取企業(yè)網(wǎng)路資訊,皆需經(jīng)過(guò)驗(yàn)證帳密、生物特徵,藉此降低安全風(fēng)險(xiǎn)。
根據(jù)思科(CISCO)最新發(fā)表《安全成果研究第二卷》(Security Outcomes Study Volume 2)調(diào)查報(bào)告中也指出,現(xiàn)今共有88%臺(tái)灣受訪者的公司已投資「零信任」策略、68%穩(wěn)定執(zhí)行、20%公司在技術(shù)部署已臻成熟。另有86%受訪者表示,公司正投資於「安全存取服務(wù)前端」(Secure Access Service Edge ,SASE)架構(gòu),其中68%反映導(dǎo)入進(jìn)度良好、18%指出技術(shù)部署已至成熟階段。
IPC大廠提升供應(yīng)鏈互信 確保雲(yún)端與邊緣運(yùn)算資安
值得一提的是,考量供應(yīng)鏈牽一髮動(dòng)全身的特性,在分工細(xì)膩、認(rèn)證嚴(yán)格的高科技產(chǎn)業(yè)尤其如此,供應(yīng)商必須承認(rèn)資安絕對(duì)不是單家企業(yè)能獨(dú)善其身,以免若出現(xiàn)嚴(yán)重的資安疏失,將會(huì)嚴(yán)重?fù)p及供需雙方信任的基石。
且隨著人工智慧(AI)、邊緣計(jì)算、5G、網(wǎng)路虛擬化等新一代技術(shù)發(fā)展,使企業(yè)需要更高速、安全、彈性的網(wǎng)路架構(gòu),都讓資安問(wèn)題從過(guò)去單純的security,又多了一層safety考量,企業(yè)已難存有僥倖的心態(tài),更應(yīng)該要清楚意識(shí)到,絕對(duì)不可能有「絕對(duì)的安全」!
甚至必須在採(cǎi)購(gòu)流程裡,強(qiáng)制納入供應(yīng)商的資安能力評(píng)估,進(jìn)而透過(guò)不同規(guī)模的聯(lián)防,才有利於爭(zhēng)取時(shí)效,將安全融入產(chǎn)業(yè)生態(tài)中,讓參與聯(lián)防的所有上、中、下游夥伴,能持續(xù)交付、提供安全的產(chǎn)品與服務(wù),實(shí)現(xiàn)防護(hù)資源的最佳化。「在資安防禦上,需要講求零信任,而在聯(lián)防上,供應(yīng)鏈則需要相互信任。」
工業(yè)電腦大廠立端科技近年來(lái)也強(qiáng)化對(duì)於電信邊緣運(yùn)算及工業(yè)物聯(lián)網(wǎng)布局,以網(wǎng)安為核心,協(xié)同各垂直市場(chǎng)技術(shù)領(lǐng)導(dǎo)夥伴,提供SD-WAN及NFV等網(wǎng)路虛擬化應(yīng)用的網(wǎng)路白牌設(shè)備解決方案,共獲得Verizon在內(nèi)的全球20大電信營(yíng)運(yùn)商認(rèn)可,已完成超過(guò)20萬(wàn)企業(yè)SD-WAN站點(diǎn)部署。進(jìn)而宣佈與臺(tái)灣大學(xué)電機(jī)系團(tuán)隊(duì)進(jìn)行產(chǎn)學(xué)合作計(jì)畫(huà),打造新一代無(wú)線入侵偵測(cè)與防禦系統(tǒng),提升立端產(chǎn)品無(wú)線網(wǎng)路傳輸?shù)陌踩浴?/span>
研華公司則展示其WISE-STACK私有雲(yún)工業(yè)物聯(lián)網(wǎng)解決方案在智慧工廠的應(yīng)用,透過(guò)研華邊緣設(shè)備原本的安全機(jī)制與資安共創(chuàng)夥伴合作整合,將硬體、韌體、軟體、服務(wù)與顧問(wèn)打包成一套完整解決方案,讓資安貫穿整個(gè)物聯(lián)網(wǎng)基礎(chǔ)架構(gòu)與應(yīng)用情境,以確保裝置連接由端到雲(yún)端的安全防護(hù),解決不同產(chǎn)業(yè)對(duì)生產(chǎn)數(shù)據(jù)的安全疑慮,以加速實(shí)現(xiàn)智慧製造數(shù)位轉(zhuǎn)型過(guò)程。
智慧工廠從底層端點(diǎn)生產(chǎn)設(shè)備本身內(nèi)建資安防護(hù)軟體,到雲(yún)端服務(wù)的應(yīng)用之間,皆可依資安特性分層,並透過(guò)可視化工具即時(shí)監(jiān)控生產(chǎn)與資安可能產(chǎn)生的威脅,包括:第一層在既有邊緣設(shè)備,提供的白名單/UTM防護(hù)方案;第二層WISE-STACK私有雲(yún)工業(yè)務(wù)聯(lián)網(wǎng)解決方案,提供IaaS及PaaS多樣的資安機(jī)制;第三層與共創(chuàng)夥伴的資安軟體防護(hù)機(jī)制合作,多層式防護(hù)以保障數(shù)據(jù)安全、降低資安風(fēng)險(xiǎn)。
| 圖2 : 透過(guò)研華邊緣設(shè)備原本的安全機(jī)制與資安共創(chuàng)夥伴合作整合,將硬體、韌體、軟體、服務(wù)與顧問(wèn)打包成一套完整解決方案,讓資安貫穿整個(gè)物聯(lián)網(wǎng)基礎(chǔ)架構(gòu)與應(yīng)用情境。(攝影:陳念舜) |
|
整合工控軟硬體同中求異 全方位解決供應(yīng)鏈資安疑慮
趨勢(shì)科技與工業(yè)電腦廠商合組的工業(yè)物聯(lián)網(wǎng)資安公司TXOne Networks(睿控網(wǎng)安)執(zhí)行長(zhǎng)劉榮太進(jìn)一步指出,如今工控資安最大的問(wèn)題約可歸納為IT與OT聚合(Convergence)而成,「由於現(xiàn)代OT工控環(huán)境大量使用IT的技術(shù),充斥著大量多樣的端點(diǎn),不僅存在著有自身尚未修補(bǔ)的安全漏洞,還要添加其他IT環(huán)境的弱點(diǎn),但OT卻往往沒(méi)有與IT環(huán)境同樣的防護(hù)措施,這也為駭客提供了各式各樣的攻擊機(jī)會(huì),面對(duì)更嚴(yán)重的威脅。」
其中OT架構(gòu)主要可以分為三層,第一層為服務(wù)層,囊括應(yīng)用程式等服務(wù);第二層則是ICS工控系統(tǒng);第三層,也就是最底層的設(shè)備、裝置等,但無(wú)論是攻擊任何層級(jí),都可能造成製造廠商一整條線停擺,導(dǎo)致面臨嚴(yán)重生產(chǎn)問(wèn)題。若是供電系統(tǒng)、水庫(kù)等相關(guān)類型的關(guān)鍵基礎(chǔ)建設(shè)受到攻擊,所造成的可能是民生問(wèn)題,甚至危及廠房整體運(yùn)作與人身安全。
然而,因?yàn)楣I(yè)與資訊產(chǎn)業(yè)的需求不同,前者實(shí)際運(yùn)作的工作場(chǎng)域更常處?kù)稇敉鈽O高溫或極低溫,或者像在船上要防摔、列車上要防震等,許多地點(diǎn)電源不也穩(wěn)定,大型機(jī)臺(tái)須兼顧節(jié)能又不能延遲而影響運(yùn)轉(zhuǎn)。劉榮太說(shuō):「過(guò)去資訊業(yè)談的資安,優(yōu)先順序通常是『C-I-A』,也就是機(jī)密性、正確性、可用性。」
但是工廠卻是相反,最重要的是先時(shí)時(shí)確保運(yùn)作,還要考量實(shí)體的人身安全,比如系統(tǒng)問(wèn)題可能造成毒氣外洩、鑽油平臺(tái)失誤會(huì)造成生態(tài)災(zāi)害等等,這些都是可用性的範(fàn)疇,應(yīng)先確保人命安全、場(chǎng)域可用,接著才會(huì)考慮正確與機(jī)密性。
因此,有別於資安防護(hù)在傳統(tǒng)IT領(lǐng)域是用來(lái)監(jiān)管異常事件,OT人員更在乎機(jī)臺(tái)哪裡出問(wèn)題,所以不能直接採(cǎi)購(gòu)IT的管理軟體供營(yíng)運(yùn)端使用,對(duì)於安全管理的劃分也要調(diào)整成從機(jī)臺(tái)角度出發(fā),使得製造業(yè)很難找到既能保護(hù)工控環(huán)境的資產(chǎn)設(shè)備安全無(wú)虞,又兼顧生產(chǎn)線效能及營(yíng)運(yùn)順暢的解決方案。加上OT的場(chǎng)域與資安部署較為碎片化,將會(huì)有愈來(lái)愈多新型態(tài)技術(shù)加入環(huán)境中,無(wú)論是資安業(yè)者或是企業(yè)端皆須與時(shí)俱進(jìn),以防堵網(wǎng)路攻擊的威脅。
劉榮太強(qiáng)調(diào):「OT資安必須要Top-down,而非過(guò)去Bottom-up的思維!」即除了要針對(duì)既有漏洞補(bǔ)丁(patching)之外,還應(yīng)導(dǎo)入零信任(Zero Trust)、微分割(Micro Segmentation)等架構(gòu),阻斷所有機(jī)臺(tái)都要存取的資料庫(kù)、HMI等不該連結(jié)到的端點(diǎn)藉由虛擬修補(bǔ),來(lái)因應(yīng)場(chǎng)域端點(diǎn)無(wú)法停機(jī)修補(bǔ)的困難;以信任(白)名單限制重要端點(diǎn),只能執(zhí)行允許的應(yīng)用程式。或是運(yùn)用AI機(jī)器學(xué)習(xí)、自動(dòng)化等技術(shù)程序,更為了解攻擊途徑或守法,以儘量降低風(fēng)險(xiǎn)。
TXOne Networks亦非透過(guò)完全客製化方式去滿足所有工廠多變環(huán)境下的客戶需求,而是針對(duì)相同垂直領(lǐng)域客戶,提供不同模組化架構(gòu)的ICS網(wǎng)路資安防護(hù)解決方案。目前專為供應(yīng)製造業(yè)現(xiàn)場(chǎng)所需的首創(chuàng)原生OT端點(diǎn)防護(hù)資安解決方案TXOne StellarProtect,便為了保護(hù)在各種嚴(yán)苛環(huán)境中的現(xiàn)代化OT設(shè)備需求的端點(diǎn)而設(shè)計(jì)。
除了結(jié)合機(jī)器學(xué)習(xí)與ICS信任根(root of trust,RoT)技術(shù),蒐集了1,000多個(gè)ICS 軟體憑證與授權(quán),並已預(yù)先完成確認(rèn)可信任標(biāo)的檔案,還要認(rèn)得工控大廠的通信協(xié)定;再搭配內(nèi)建的ICS應(yīng)用程式行為學(xué)習(xí)引擎,不必連上網(wǎng)路,就能用來(lái)防範(fàn)已知及未知的惡意程式攻擊,或人為操作失誤所造成的營(yíng)運(yùn)中斷,協(xié)助企業(yè)在營(yíng)運(yùn)不受干擾的情況下,快速滿足OT不同場(chǎng)域、特定用途等需求。
| 圖3 : TXOne Networks針對(duì)相同垂直領(lǐng)域客戶,提供不同模組化架構(gòu)的ICS網(wǎng)路資安防護(hù)解決方案,以滿足在所有工廠多變環(huán)境下的客戶需求。(攝影:陳念舜) |
|
同時(shí)強(qiáng)調(diào)從機(jī)臺(tái)一落地到進(jìn)入工廠場(chǎng)域,製造業(yè)者就可以開(kāi)始利用TXOne StellarProtect來(lái)驗(yàn)證防毒,機(jī)臺(tái)廠商也會(huì)要求更上游IPC供應(yīng)商必須在交貨組裝前,同樣通過(guò)驗(yàn)證與記錄,成為機(jī)臺(tái)的安全履歷,才能符合「零信任」要求。
從而確保關(guān)鍵ICS可正常營(yíng)運(yùn),並避免重複掃瞄惡意程式的動(dòng)作影響效能,協(xié)助身處不同數(shù)位轉(zhuǎn)型階段的企業(yè)簡(jiǎn)化與解決複雜多變的資安問(wèn)題,在不影響效能、不中斷營(yíng)運(yùn),以及能應(yīng)付任何環(huán)境條件下,提高生產(chǎn)力與資安營(yíng)運(yùn)效率。
。
總結(jié)
除了上述常見(jiàn)的OT工控環(huán)境資安問(wèn)題,已有資安軟體與工業(yè)電腦大廠聯(lián)手解決之外,隨著近期元宇宙(Metaverse)概念被熱議,也有專家提醒,隱私與資安將成為影響元宇宙發(fā)展的最大黑洞!
目前元宇宙可被理解為是沉浸式的社群連結(jié),也是VR/AR的應(yīng)用提升,但也勢(shì)必要搜集大量的眼部活動(dòng)、表情、語(yǔ)音、生物特徵或周遭環(huán)境等數(shù)據(jù);因此不論是穿戴裝置遭駭客入侵,或是元宇宙入口平臺(tái)的數(shù)據(jù)遭濫用,又例如虛擬資產(chǎn)被盜等網(wǎng)路資安風(fēng)險(xiǎn)事件,到了元宇宙時(shí)代並不會(huì)消失,過(guò)去駭客可能透過(guò)PC、手機(jī)入侵系統(tǒng),將來(lái)也可能利用頭上的VR/AR裝置,同樣需要精密的資安防護(hù)。
臺(tái)灣工研院智慧機(jī)械中心經(jīng)過(guò)智慧製造技術(shù)驗(yàn)證場(chǎng)域,整合AR/VR遠(yuǎn)距沉浸式協(xié)同工程與零信任(Zero Trust)資安防護(hù)架構(gòu)等技術(shù),協(xié)助產(chǎn)業(yè)導(dǎo)入智慧製造系統(tǒng)解決方案及新生態(tài)體系,從點(diǎn)線面提供單站智慧化、產(chǎn)線數(shù)位化、跨域雲(yún)端管理等全方位技術(shù)服務(wù);同時(shí)輸出智慧製造SI系統(tǒng)整合服務(wù),佈建東南亞市場(chǎng)海外產(chǎn)線,提升臺(tái)商競(jìng)爭(zhēng)力。
現(xiàn)在只要透過(guò)與研華合作開(kāi)發(fā)的智慧機(jī)上盒SMB,就能連上工研院VMX機(jī)械雲(yún),使用所有「零信任」資安防護(hù)功能模組SaaS軟體;再向下連結(jié)機(jī)臺(tái)、裝置等硬體,達(dá)到國(guó)際端點(diǎn)傳輸資訊安全的最高等級(jí),如同動(dòng)態(tài)防火牆,不像一般VPN架構(gòu)洩漏帳密就破功。進(jìn)而與達(dá)梭系統(tǒng)合作,將SMB從新舊不同機(jī)臺(tái)蒐集到的Edge Computing資訊上傳達(dá)梭系統(tǒng)(DASSAULT SYSTEMES)的3D EXPERIENCE平臺(tái),用於戰(zhàn)情室建構(gòu)Digital Twins、元宇宙等體驗(yàn)活動(dòng)。
| 圖4 : 現(xiàn)在只要透過(guò)工研院與研華合作開(kāi)發(fā)的智慧機(jī)上盒SMB,就能連上機(jī)械雲(yún),使用所有「零信任」資安防護(hù)功能模組;再向下連結(jié)機(jī)臺(tái),點(diǎn)對(duì)點(diǎn)傳輸資料。(攝影:陳念舜) |
|
**刊頭圖(source:iiot-world.com)
