趨勢科技執行長暨共同創辦人陳怡樺觀察,企業積極地發展數位化應用之際,駭客也觀察到商機,特別是COVID-19疫情壟罩全球的狀況下,勒索軟體、釣魚郵件、詐騙簡訊等手法更加活躍,大幅增長了220倍以上。她引述Gartner發布的調查報告指出,虛實整合系統(Cyber-Physical System,CPS)遭受攻擊造成的財務損失更高,因生產線停擺導致的損失,到了2023年預估將高達500億美元之鉅。
眾所周知,台灣出口外銷的比重,大部分為製造業所貢獻,電子半導體業更是肩負全球經濟復甦的重擔。隨著數位轉型腳步加快,藉由資料來輔助決策將成為虛實整合系統中不可或缺的一環。智慧製造從設計圖到生產,皆仰賴虛實整合系統控制,如此龐大的製程資料對於駭客而言可是攻擊牟利的最佳目標。因此在轉型過程中,資安防護措施勢必得納入考量,更須深入結合整體應用流程,藉此降低遭感染入侵的風險。
XDR為核心搭建統一威脅防禦平台
隨著各產業加快腳步發展數位化應用,企業已意識到資料的重要性,接下來要面對的是把各自獨立存放的資料孤島予以彙整,從中找出資料背後的意義,必須經由人員的訓練、公司的轉型,才能夠藉由資料分析輔助來解決根本問題並精準決策。
現代駭客攻擊為了利益最大化,會只鎖定標的發送釣魚郵件,一旦用戶點選惡意附件或惡意連結被滲透,攻擊者即可建立灘頭堡,持續潛伏且伺機橫向移動取得高權限帳密,藉此採以合法方式竊取機敏資料。萬一同時在IT與OT環境植入惡意加密程式,待入侵足跡抹除後開始執行,若非及早在活動階段發現異常,不僅機敏資料恐因此外洩,應用場域也將停擺。
要落實資料威脅防護,等同於企業運行的各個環節皆必須增添保護措施,也就是產生資料來源的IT/OT應用場域,資料須蒐集整合到資料湖(Data Lake),需有能力以統一平台控管方式監控虛實整合系統,進而建立關聯性以便即時察覺異常活動,才可追蹤找到威脅破口之處以及擴散感染的軌跡,徹底清除惡意程式。對此,趨勢科技整合旗下端點、網路、郵件等防護技術的Trend Micro Vision One威脅防禦平台,能以多層式偵測及回應(XDR)為核心,讓每個企業查看資安問題時可綜觀全局,指出IT/OT環境中最高風險環節。搭配TXOne Networks為製造業所開發的高適用性工控安全防禦架構,幫助各種領域的數位應用場景建立防護措施。
OT網路安全防護亟待解決
「工控領域的資安問題已逐漸形成『完美風暴』,」趨勢科技副總經理暨TXOne Networks執行長劉榮太指出,首要推動的力量竟是業界趨之若鶩的數位轉型。他說明,以前工廠從未思考過外部攻擊威脅的問題,產線、機械器具皆在封閉環境中運行,OT管理者自然不會考量資安相關問題。隨著時代變遷,企業資源規劃系統(ERP)輸入訂單時,可傳送給製造執行系統(MES),指揮管轄範圍的產線執行運作,進而從製造執行系統的資料庫獲取生產數據,產生統計分析報表,呈交給高階管理層。甚至企業開始選擇把OT機台的資料拋送到雲端,讓訂單客戶即時檢視生產配方。如此一來,以往的實體隔離已不復存在,IT與OT、OT與雲端,皆透過網路介面溝通,資安風險也隨之激增。
對攻擊者來說,從IT擴散到OT場域,技術難度並不高,畢竟有許多PC-based設備採用Windows作業系統建置,只要網路傳輸連通,沿用過去用來滲透IT環境的惡意程式即可。劉榮太引述趨勢科技2020發布全球OT/ICT調查報告提到,短短一年時間,就發現127種新的勒索軟體家族,其中有10個,在OT環境已造成損害,例如WCry、Locky、Cerber、Ryuk、GandCrab等,由此可發現,不論是IT或OT皆可採用相同勒索軟體發動攻擊。
趨勢科技針對國際製造業較知名的德國、美國、日本地區,訪談500家企業,藉此了解工業網路安全現況,詢問OT環境是否曾遭攻擊,61%回復確實發生過資安事件,其中有75%導致產線中斷,甚至有43%中斷長達4天時間。59%受訪者表示,OT網路安全最大的挑戰是缺乏專屬為工業控制系統設計的防禦方案。
五大要項實踐ICS資安韌性
IT領域發展資安防護技術至今已超過20年,但劉榮太觀察,實務上難以直接套用在工廠環境。以基本的防毒軟體來看,須即時更新特徵碼,但是在OT環境的設備,未必能直接連線接取網際網路,無法達到即時更新。另一方面,工廠環境的機台與資訊系統過於老舊,已無法支援安裝建立防護。
針對工業控制系統資安韌性的最佳實踐,劉榮太提出五大要項,首先是建立網路微分段,遵循零信任準則開放權限。其次是藉由入侵偵測系統建立虛擬補丁能力,在漏洞被揭露時即刻防護,解決老舊機台無法安裝修補更新的問題。第三是列出可信任的白名單,單純任務的裝置僅開放允許執行的功能,其他則予以關閉。第四是強化關鍵資產防護,以免被勒索軟體加密導致產線無法運轉。第五是定期檢查與稽核風險。
「以趨勢科技協助某半導體業者建立資安措施為例,半導體機台相當昂貴,機台裡面有PC模式,通常有九張板卡,為了確保安全,機台前方部署IPS,提供網路隔離與虛擬補丁。機台上面再依據型態增添白名單或防毒軟體,確保正確運作。」劉榮太說。
IT人員都理解,偵測與防護無法達到百分之百,勢必得儘速發現已滲透侵入的惡意程式,把攻擊活動破壞掉才可免於發生事故。至於OT環境,資安防護的觀念才剛開始教育,得從資產盤點開始著手,釐清工作流程中潛在風險環節,運用基於工業物聯網場域的XDR與可判讀機台日誌的統一控管平台,輔以解析攻擊活動軌跡,才能適時提出精準防禦策略,建立有效的保護措施。