隨著資訊科技(IT)與營運科技(OT)逐漸融合,過往封閉的工業場域開始大量部署聯網裝置或感測器,蒐集生產線每個工作流程產生的數據,進而引進人工智慧(AI)演算模型輔助分析,來提升故障預測、優化資源調度與製程等能力,以突破生產力與產品良率瓶頸,創造經濟效益。
然而物聯網的普及也讓各式聯網裝置成為攻擊者覬覦的標的。西門子(Siemens)製程工業自動化副協理范栩指出,西門子可說是實踐工業4.0的先驅,憑藉在全球眾多事業群的經驗,西門子參與了多種垂直領域的自動化基礎架構專案計畫。范栩發現,將OT與IT完整的融合,讓資料隨時隨處可取得以便輔助商業決策,已是當前製造業數位化轉型發展趨勢。問題是OT現場工程師、廠務等工作原本並不熟悉IT維運管理與資安意識,工作流程中可能會忽略必要的安全措施,或是沿用原廠早已不再修復安全漏洞的老舊系統設備與應用軟體,這無疑增加了資安風險。
欲將資安落實到OT場域,也就是製造現場層級,范栩認為,難度相當高。他說明,首要因素是工廠的機台設備生命週期過長。製造業的設備機台價格相當昂貴,部署完成後往往須服役20年以上,早年設計時難以預知日後的安全威脅,還須持續地修補更新漏洞,若不尋求專業協助,很難有效維持產線設備的安全性。
AI驅動的安全運營對抗攻擊威脅
回顧近幾年全球最關注的資安事件,Fortinet資深技術顧問冼柏齡認為,美國輸油管業者Colonial Pipeline遭受的勒索軟體攻擊最具標誌性。該事件不僅造成重大經濟損失,更是首次使美國政府因資安事件宣布進入緊急狀態。雖然這已是三年前的事件,但美國關鍵基礎設施至今仍持續面臨類似威脅,突顯出資安問題的嚴峻程度。
在Fortinet每年發布的資安調查報告中,顯示台灣製造業是勒索軟體攻擊的主要受害行業。而其中,LockBit勒索軟體即服務(RaaS)對企業造成的危害最為嚴重。這些攻擊大多起因於用戶不慎點擊釣魚郵件或釣魚網站。冼柏齡指出,隨著生成式AI應用日趨廣泛,釣魚手法也變得越來越難以識別。他說明,運用生成式AI產生的圖片與郵件內文幾可亂真,即使提高警覺也難以完全避免上當,對OT運營構成嚴重威脅。
「面對這些新型態的資安威脅,Fortinet提倡不應僅依靠人力對抗,而是應該讓機器處理適合它們的工作,將人力資源保留給更關鍵的任務。」冼柏齡說,Fortinet在OT領域提出AI驅動的安全運營解決方案,包括基於網路資訊流、日誌記錄、端點行為模式和資安情資服務的四大AI與機器學習應用面向,以對抗新型和未知的資安威脅。
機器的身分認證 物聯網資安扮要角
在聯網裝置日益增長的應用場景中,機器的身分認證已經成為確保資安的關鍵。全景軟體總經理室資深顧問邱志成觀察,眾多國際資安標準,例如車聯網的ISO 21434、智慧電網的IEC 62351、半導體產線設備的SEMI E187等,都強調了為機器賦予身分認證的重要性。這不僅是未來的趨勢,更是即刻必備的機制。
實現機器身分認證的過程主要涉及兩大方面。邱志成說明,首先須為機器配發憑證,以便於管理。這包括憑證的申請、撤銷、更新、查詢、下載、同步等功能,有效確保設備的合法性。其次,機器必須建立信任根(RoT),作為信任的基礎。邱志成表示,「全景軟體與英飛凌合作,利用OPTIGA TPM、OPTIGA Trust M安全晶片和PUF技術,根據獨特的物理特徵生成機器的唯一身分識別碼。」
此外,針對機器的生命週期管理,從晶片的生產製造到組裝、銷售、使用,乃至於最終的報廢,都必須受到嚴格的資安管控。在工廠生產階段,全景軟體的程式碼簽署系統和金鑰硬體安全模組(HSM)扮演著關鍵角色。產品到達客戶端後,則可提供再次驗證、自動更新、安全啟動進行管控,以免遭偽冒。
針對IT與OT融合環境,仍存在運行數十年且不易更換的設備,資策會資安科技研究所(資安所)組長黃鼎傑指出,資安所提供ICTD資安監控服務,可讓工控設備運用AI模型輔助異常偵測。主要是基於非監督式學習演算法及特徵共享機制,建立工控設備端點的正常行為模型,增加工控設備端點的防護能力並強化廠區運作的安全性。此外,2023年資安所也提供工控資安賦能解決方案ICSentry平台。藉由ICSentry平台,可提供工控資產的健診服務,協助企業快速了解整體工控網路的狀況,同時執行監控維運。甚至亦提供紅隊演練,以及改善的建議,強化落實工控安全防護。