近2年,因病毒感染機(jī)臺導(dǎo)致軟體病毒擴(kuò)散,造成不同廠區(qū)機(jī)臺連帶受感染的案例不在少數(shù),2020年多達(dá)30件,2021年光是上半年已逾60件,其中包含因停工、支付勒索贖金等因素造成損失金額逾50億的案例。
數(shù)位時代「瘋雲(yún)」起,AI、雲(yún)端與萬物聯(lián)網(wǎng)影響的不只是IT資訊技術(shù),在網(wǎng)網(wǎng)相連,內(nèi)外網(wǎng)互通有無的數(shù)位環(huán)境下,但凡IT遭駭或中毒,OT(Operational Technology)營運資訊也無法獨善其身,一損俱損。趨勢科技副總經(jīng)理暨TXOne Networks執(zhí)行長劉榮太認(rèn)為,360°保護(hù)廠房資安,隔斷與零信任是相對好的防護(hù)策略。
天外飛來一隻病毒 護(hù)國神山也想哭
時間拉回2018年8月3日,護(hù)國神山臺積電傳出生產(chǎn)設(shè)備遭病毒感染,導(dǎo)致竹科、中科及南科部分產(chǎn)線機(jī)臺停擺。臺積電指事發(fā)原因為「新機(jī)臺在安裝軟體的過程中操作失誤」,病毒透過新機(jī)臺連接到內(nèi)部電腦網(wǎng)路造成病毒擴(kuò)散。
在太歲頭上動土的病毒是惡名昭彰的「想哭」(WannaCry),是一種將電腦加密的勒索病毒,透過破壞電腦系統(tǒng)檔案要求使用者付出虛擬貨幣(如比特幣)才能解毒。臺積電2天後公佈事件影響評估,預(yù)計第3季營收減少約3%,相當(dāng)於76-79億元,報廢晶圓數(shù)逾一萬片,受影響客戶包含蘋果、超微、輝達(dá)、聯(lián)發(fā)科、賽靈思等大廠。
臺積電是IT、OT資安觀念相對成熟,防護(hù)措施相對完善的領(lǐng)頭雁,仍因此付出不小的代價,反觀國內(nèi)其他高科技製造業(yè)或傳統(tǒng)製造業(yè)的資安防護(hù)觀念與做法仍存在不小風(fēng)險。
| 圖1 : 趨勢科技副總經(jīng)理暨TXOne Networks執(zhí)行長劉榮太 |
|
劉榮太觀察,近2年,類似臺積電因病毒感染機(jī)臺導(dǎo)致軟體病毒擴(kuò)散,造成不同廠區(qū)機(jī)臺連帶受感染的案例不在少數(shù),2020年多達(dá)30件,2021年光是上半年已逾60件,其中包含因停工、支付勒索贖金等因素造成損失金額逾50億的案例,「尤其高科技晶圓廠、自動車、製藥業(yè)等高產(chǎn)值業(yè)者更容易成為駭客鎖定的目標(biāo)。」
除了臺積電,航運龍頭馬士基(Maersk)、默克(Merck)大藥廠、俄羅斯石油巨擘Rosneft、烏克蘭央行等都曾遭殺傷力更勝「想哭」(WannaCry)的新種勒索病毒NotPetya襲擊,造成龐大損失。
目標(biāo)式勒索成攻擊主流 劍指製造業(yè)
如果過去駭客需要耗費8-10個月時間完成「任務(wù)」,如今只要花1-2個月時間攻破安全性相對薄弱的製造業(yè)工廠便能取得報酬,加上加密貨幣興起大大降低失手風(fēng)險,害怕停工更勝於中毒的製造業(yè)工廠很容易成為砧板上的魚肉,任人宰割。
趨勢臺灣資安應(yīng)變服務(wù)團(tuán)隊(CSIRT)資料顯示,目標(biāo)式勒索在2021年逐漸成為攻擊主流(42%),較2020年的35%高出7個百分點(圖二)。攻擊目標(biāo)以製造業(yè)為主,其中以高科技製造業(yè)佔比最高(61%),傳統(tǒng)製造業(yè)(15%)排名第三(圖三),細(xì)分之下又以製造業(yè)供應(yīng)鏈為主要被攻擊對象,其中以零組件供應(yīng)商(48%)佔比最高,代工廠(24%)次之,品牌商(14%)排名第三。
| 圖2 : 目標(biāo)式勒索漸成攻擊主流。(Source:TXOne Networks) |
|
| 圖3 : 製造業(yè)成駭客攻擊目標(biāo)。(Source:TXOne Networks) |
|
蘋果等品牌業(yè)者最忌商業(yè)機(jī)密外洩,因此相當(dāng)不樂見因為供應(yīng)鏈製造工廠遭駭導(dǎo)致資料外洩,因此近兩年開始嚴(yán)格要求供應(yīng)鏈相關(guān)業(yè)者強(qiáng)化資安措施,在品牌客戶施壓下,製造業(yè)者不得不全力投入資安防護(hù)。
劉榮太指出,注重OT資安的業(yè)者有三大族群,一是IT資安布局相對成熟的業(yè)者,二是工廠自動化程度高的業(yè)者,三是具有資安危機(jī)意識者。進(jìn)一步觀察,臺灣製造業(yè)對資安的重視程度不若歐美日等國,資安採購的主要驅(qū)動因素有二:一是法規(guī)限制,二是災(zāi)害發(fā)生後的應(yīng)變措施。
仔細(xì)觀察,大公司、超大公司或中小企業(yè)對資安的處理方式與態(tài)度各異,大公司、自動化程度越高、毛利越高的公司越關(guān)注,如半導(dǎo)體晶圓廠;不少製造業(yè)上市公司正在補(bǔ)IT漏洞,如果出事當(dāng)然要買好買滿,可惜多數(shù)業(yè)者只有靠防火牆或防毒軟體「護(hù)體」,日常實務(wù)中的資安管制則付之闕如,因此很容易被駭客攻陷;中小企業(yè)推動資安防護(hù)腳步更慢,資安意識相對較薄弱,多數(shù)仰賴經(jīng)銷商維護(hù)資安或直接委外。
| 圖4 : 掌控及部署工控環(huán)境難度高。(智動化製圖;資料:TXOne Networks) |
|
供應(yīng)鏈資安佈署動起來 SEMI E187正式運作
隨著資安問題受重視,未來勢必有更多國際大廠要求供應(yīng)鏈業(yè)者具備一定程度的資安部署。美國拜登(Joe Biden)政府已於2021年5月簽署改善國家網(wǎng)路安全行政命令(Executive Order 14028),其中包含強(qiáng)化軟體供應(yīng)鏈安全及軟體弱點如何補(bǔ)強(qiáng)等內(nèi)容。
環(huán)環(huán)相扣的關(guān)係容易讓駭客鑽漏洞入侵至供應(yīng)鏈其他業(yè)者或用戶內(nèi)部,因此,未來美國品牌業(yè)者極可能反過來要求供應(yīng)鏈科技公司注意資安佈署,包含臺灣各產(chǎn)業(yè)供應(yīng)鏈成員,換言之,未來由品牌端要求廠房落實資安將成「標(biāo)配」,不想失格就必須積極部署資安。
劉榮太指出,所幸臺灣大型晶圓廠、封測廠等早已積極強(qiáng)化資安架構(gòu),努力提升供應(yīng)鏈的安全性,因此目前臺灣市場因供應(yīng)鏈緊密連結(jié)而導(dǎo)致的連環(huán)性攻擊不多見,以單點資安災(zāi)害居多。
為強(qiáng)化資安及推動供應(yīng)鏈安全,半導(dǎo)體晶圓產(chǎn)線設(shè)備資安標(biāo)準(zhǔn)(SEMI E187 - Specification for Cybersecurity of Fab Equipment)已於2022年1月正式運作,這是第一個由臺灣產(chǎn)業(yè)主導(dǎo)制定的半導(dǎo)體國際標(biāo)準(zhǔn),內(nèi)容涵蓋四大層面:作業(yè)系統(tǒng)規(guī)範(fàn)、網(wǎng)路安全相關(guān)、端點保護(hù)及資訊安全監(jiān)控,主要聚焦作業(yè)系統(tǒng)的長期支援、網(wǎng)路傳輸安全、網(wǎng)路組態(tài)管理、弱點掃描、惡意程式掃描、端點防禦機(jī)制、存取控制及Log記錄等議題。
落實資安需克服2痛點:設(shè)備相容性與人才
在大環(huán)境帶動下,過去對於資料外洩較不在意的工廠端也意識到強(qiáng)化廠房資安的重要性。不過,在協(xié)助業(yè)者擬定資安對策的過程中,TXOne Networks發(fā)現(xiàn)仍有需克服之處,「主要是電腦設(shè)備IT與OT的相容性問題以及人才不足問題。」劉榮太指出,避免駭客入侵不能只是防堵IT或OT,如今的駭客只要透過IT就可能入侵工控場域的OT,對電腦加密就可能直接打到生產(chǎn)線。
另一方面,不少IT設(shè)備雖然使用最新產(chǎn)品,但產(chǎn)線端卻可能沿用老舊設(shè)備,或者CPU跑不動防毒軟體,還有一種狀況是新舊設(shè)備無法相容,比方電腦作業(yè)系統(tǒng)是早已終止支援的Windows XP作業(yè)系統(tǒng),凡此種種都會影響資安防護(hù)的執(zhí)行與成效。
此外,全方位資安人才稀缺也容易拖累資安部署的速度,特別是同時了解IT、OT的資安專才,臺灣這類人才可能只有個位數(shù),「誰來負(fù)責(zé)梳理企業(yè)的資安準(zhǔn)則,決定哪些關(guān)鍵設(shè)施、機(jī)臺需要保全,進(jìn)而找到務(wù)實的解決方案,這些都需要投入時間與資源。」劉榮太認(rèn)為,數(shù)位轉(zhuǎn)型過程中引發(fā)的資安風(fēng)險是很新的課題,資安人才本來就少,加上OT資安需要同時了解資安與OT產(chǎn)線,未來更需要加速培養(yǎng)人才以填補(bǔ)人力空缺,他也不建議工廠資安直接使用IT管理軟體,「由於許多現(xiàn)場人員並不清楚該如何配合與操作,所以安全管理的劃分也要調(diào)整,建議以機(jī)臺出發(fā)。」
目前趨勢科技或TXOne Networks致力於協(xié)助客戶一起探索數(shù)位化之後的各種資安防護(hù)可能性,但他認(rèn)為,過程中,龍頭企業(yè)可以做出良好示範(fàn),找出最佳實務(wù)(Best Practice),比方SEMI E187即為一例。
沒有牆的世界 資安落實靠零信任
數(shù)位化讓世界越來越平,隨著雲(yún)端服務(wù)使用率的提升,未來勢必出現(xiàn)更多雲(yún)端資安事件。另一方面,加密貨幣興起改變了OT資安威脅模式,而Covid疫情則加速數(shù)位化轉(zhuǎn)型,讓駭客威脅日益擴(kuò)大。IDC研究指出,高達(dá)45%的IIoT資料會透過Edge Computing處理分析,未來多達(dá)60億的IIoT裝置將連結(jié)Edge Computing,此一趨勢除了帶動資料管理需求,工控資訊安全與維護(hù)更成為迫在眉睫的課題。
然而,臺灣製造業(yè)仍普遍存在內(nèi)外網(wǎng)串聯(lián)而且完全信任的狀況,以至於一旦遭駭或中毒就很容易全軍覆沒。曾經(jīng)某上市公司發(fā)生整廠病毒流竄事件,因為內(nèi)外網(wǎng)相連而且完全信任,某個環(huán)節(jié)中毒後便一路從四川廠打到蘇州廠,再從蘇州廠打到崑山廠,最後從崑山廠打回臺北廠……,對此,劉榮太呼籲,IT與OT隔斷才能相對安全。
IT與OT隔斷會是未來廠房資安運作趨勢之一。產(chǎn)線網(wǎng)路隔斷可以有效將感染或中毒事件縮小到一個機(jī)臺,避免產(chǎn)生骨牌效應(yīng),部分晶圓廠甚至讓每個機(jī)臺都做保全,也有採取一條產(chǎn)線做保全的做法,萬一發(fā)生問題只影響一條產(chǎn)線或僅需讓一條產(chǎn)線停工;第二個趨勢是未來業(yè)者可能在機(jī)臺上安裝防毒軟體;第三個趨勢是未來很可能由供應(yīng)商出具機(jī)臺無毒證明,這些做法都是未來落實廠房資安的可行選項。
以TXOne OT零信任資安解決案為例,就是以零信任資安模式,透過學(xué)習(xí)運作,打造基準(zhǔn)線,進(jìn)而擬定OT防禦政策,也就是在新設(shè)備進(jìn)入廠房時即啟動整體學(xué)習(xí)機(jī)制,同時納入應(yīng)用軟體服務(wù)以及網(wǎng)路溝通等內(nèi)容,透過全方位點對點及多層次資安保護(hù)模式,確保應(yīng)用軟體、設(shè)備、控制及網(wǎng)路安全,從進(jìn)場檢測、端點保全到公控網(wǎng)路保全提供三階段資安方案,360°保護(hù)資安,落實OT零信。
劉榮太進(jìn)一步說明,以往資安有牆內(nèi)牆外之別,牆內(nèi)信任,牆外不信任,但這些「牆」已經(jīng)逐漸消失,由於雲(yún)端普及化,很多員工根本不在牆內(nèi)工作,而是在牆外的星巴克工作,所以O(shè)T零信任的精神是,不能因為使用者可以登入或有帳密就代表可信任,跳脫牆的概念檢視及確保資訊安全才能將任何可能的資安意外扼殺在搖籃裡。
| 圖5 : 工控資安最佳建議。(智動化製圖;資料:TXOne Networks) |
|
強(qiáng)化廠房資安 落實4件事
趨勢科技資料顯示,可預(yù)見的未來,目標(biāo)式勒索攻擊仍將持續(xù)肆虐,可能利用APT手法進(jìn)行勒索病毒攻擊,以伺服器為主要目標(biāo),駭客也會跟著重要資料往雲(yún)端移動,而供應(yīng)鏈仍是常見的攻擊管道,透過軟體韌體、硬體植入惡意程式進(jìn)行大規(guī)模攻擊。至於駭客勒索方式也會同步進(jìn)化,包含單一勒索(檔案加密)、雙重勒索(外洩資料)、三重勒索(威脅發(fā)動DDoS攻擊),以及四重勒索(擴(kuò)大供應(yīng)鏈上下游的影響)。
不想任駭客魚肉,及早強(qiáng)化廠房資安為上策,劉榮太建議企業(yè)在守護(hù)廠房資安上宜落實以下四點:
1.強(qiáng)化資安防護(hù)基本功,如多層次防護(hù)及修補(bǔ)漏洞;
2.強(qiáng)化伺服器防護(hù)並落實嚴(yán)格的存取控管;
3.建立全方位資安可視性,如端點、伺服器、網(wǎng)路、雲(yún)端等;
4.遵守零信任原則。
此外,既有的駭客手法對雲(yún)端威脅仍具有一定程度的破壞性,如不嚴(yán)謹(jǐn)?shù)拇嫒」芾怼⒕W(wǎng)路釣魚、不安全的密碼或未定期變更密碼、已公佈的舊漏洞及新發(fā)現(xiàn)的漏洞等,仍需小心提防,才能永保安康。
