將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2019/6/13

融合IT與OT領域知識 全面防治針對性攻擊入侵

多重防禦工業場域 降低惡意程式感染風險

洪羿漣
過去的工廠自動化主要仰賴RS485序列埠串接,其後工業乙太網逐漸發展,迄今已有半數以上工廠大量仰賴RJ45乙太網路傳輸,TXOne Networks總經理劉榮太觀察,再加上新興的物聯網應用興起,以往封閉的OT(Operational Technology)環境也必須具備接取網際網路服務的能力,進而推動OT與IT的整合實現轉型目標,但如此一來,過往工業環境少有的資安風險也隨之大增。


近年來OT與IT的融合,幾乎已成為業界共識,畢竟能掌握生產線的資訊,才有能力運用IT技術即時採取行動。儘管即時性並非新議題,問題在於究竟可以達到多快速的水準,劉榮太以實際接觸的電子廠客戶為例,已提供訂單客戶遠端連線登入查看生產製造進度的機制,由此可見,產線環境勢必得建置工業物聯網(IIoT)閘道器,並且接取網際網路連線,雖然可便於客戶隨時追蹤訂單進度,卻也因此帶來潛在風險性。

提及工業自動化,早在十多年前就已開始發展機器之間相互串連,只是限制在應用場域內部,並未開啟對外連線的接口。隨著乙太網路成為主要傳輸的媒介,把機器運作產生的資料遞送到SCADA,藉此統一監控與產出統計報表,甚至是直接把資料拋送到ERP核心系統,意味著節點之間必須建立連接關係,同時也衍生出新的資安風險。

抵禦外部威脅有賴IT與OT協同合作

過去OT團隊只負責生產,資安不在考量範疇,當然不同國家的工業化程度不盡相同,使得OT環境中的資安技能落差相當大;至於IT團隊過去的工作亦同樣單純,只要維運資料中心與辦公室即可,如今OT場域也納入,對於IT而言可說是新的挑戰。

「其實實務上我們遇過全數委由IT或OT其中一方來負責安全性的作法,不論交給哪個團隊都會有盲點。讓IT人員負責確實安全程度較高,但是OT的人會覺得非常不方便,最典型的例子即為隨身碟,OT團隊必須用來更新韌體或設定檔,但是隨身碟可讀寫的特性具有潛在風險,較嚴格控管的IT政策會禁止使用,對OT而言自然無法接受。」劉榮太說。

因此安全性政策若交給其中一方來負責,都會衍生不同問題。最佳的做法,應該是IT與OT各自貢獻所長,畢竟即便是相同產業的需求也未必皆一致。就高科技製造業來看,晶圓廠已屬於相當先進的智慧工廠,但是本土有更多的工廠自動化程度相當低,產線彼此之間是獨立運行,需要人力執行資料交換,當然,自動化程度愈低,萬一遭受惡意程式感染不會擴及整個廠區,對於資安問題也就較不關注。

生產製造場域開始出現APT攻擊

半導體廠之所以相當重視資安,即是因為產線彼此之間相互連通。劉榮太以全球知名的鋁業公司挪威海德魯(Norsk Hydro)為例,日前爆發遭受APT攻擊,被植入LockerGoga勒索軟體,瞬間多達160個工廠遭受影響,使得原本自動化生產切換為手動,影響所及除了商譽,同時股價也應聲下跌。假設同樣事件發生在傳統PCB(印刷電路板)工廠,若尚未具備自動化生產能力,即便APT攻擊手法再厲害,也只能單點式滲透,對於企業而言損失有限。然而工業4.0已經成為製造業的顯學,可有效地改善製程、提高良率,確實是本土製造業發展轉型的目標,與此同時,亦必須扭轉舊思維,改以安全為首,才得以降低產線遭受攻擊的損害。

台灣製造業以往處理OT的問題,只有中毒事件,直到WannaCry出現後開始影響生產線,才引發社會高度關注。劉榮太指出,從2018年底至今,實際協助客戶處理資安事件發現,即使是智慧型工廠也會遭遇APT,挪威海德魯並非LockerGoga勒索病毒唯一受害者,全球各地大約有多達五家國際級企業皆受感染。

LockerGoga最大的特點是有攻擊者遠端操控散佈與啟動執行,並非如同WannaCry蠕蟲具有自我複製能力,可說是典型的APT攻擊。「我們過去談工業控制系統(ICS)或工廠被APT時,例如知名的Triton惡意程式,大多會認為主要是針對關鍵基礎設施所設計,智慧工廠應不至於遭受波及,但是從WannaCry出現後,工廠環境才驚覺到外部攻擊危險性,如今LockerGoga的出現則是更進一步,智慧工廠過去可能不小心感染病毒,接下來則可能遭受APT,影響所及是產線恐因此中斷,ICS勢必得建立保護措施。」

專為工控環境設計入侵防護裝置

趨勢科技與工業通訊廠商Moxa共同成立的TXOne Networks,在2019年漢諾威工業展中首次揭露專為工控環境設計的入侵防護(IPS)原型機,儘管尚未到銷售階段,在產業需求的驅動下,TXOne先展示現階段研發成果,讓企業藉此理解可解決的問題。

「如今應用環境的改變,增添了許多新問題,市場上卻缺乏可用的解決方案,既然IT部門採用了趨勢科技的防禦機制,製造場域也期待運用IT技術控管,趨勢科技自然必須得協助解決安全性問題,因此才成立TXOne。」劉榮太不諱言,事實上,兩家公司在各自領域皆為知名技術供應商,只要把商標放在一起,透過合作方式亦可協助客戶解決問題,之所以特地成立新公司,主要是著眼於市場潛力相當大,若兩家公司各自把人才、資金、經驗、專利技術等資源投入,更有機會滿足未來龐大的需求量。


▲TXOne Networks總經理劉榮太提醒,工業4.0已經成為製造業的顯學,過去製造環境以生產力掛帥,安全議題通常不是考量重點,如今則必須以安全為首,才得以降低產線遭受攻擊的損害。


TXOne成立的目的是為了提供資安解決方案,本就是趨勢科技所擅長;Moxa貢獻的則是領域知識,以及現階段的硬體都是由Moxa設計提供。其實要提供工業控制場域適用的硬體並非易事,例如TXOne為工控領域設計的IPS設備,外型約手掌大小,可適應工業惡劣環境。之所以如此設計,在於工廠環境的機櫃,在建造初期並未考慮延伸性,思維是一次建置要運行二十年,因此機櫃通常為滿載狀態,根本沒有空間可額外增添設備。

此外,環境溫度也是考量要素,若工廠環境中平均超過五十度,設備外殼極可能因此熔化。「所以我們設計的IPS外殼,經過測試可承受負40到正75度,一般IT廠商生產的資安設備根本無法直接部署在工廠環境。」 目前TXOne正積極發展的三大方向,劉榮太說明,首先是邊境防禦,在介接的管道實施保護措施;其次是網路配置透過切分網段來降低擴散感染風險;第三是在ICS環境中,執行關鍵任務的SCADA、MES、ERP系統建立白名單機制,建立多重防禦來降低惡意程式感染風險。

這篇文章讓你覺得滿意不滿意
送出
相關文章
趨勢科技和 Moxa 共組公司 開發 IIoT Security
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章