統一蒐集監控IT/OT 威脅情資加速辨識異常

2022-10-17
隨著IT與OT環境紛紛導入雲端、邊緣運算,甚至開始採用5G通訊,提升工業場域數位化程度,企業須隨時掌握最新外部威脅情勢並採取對應的資安措施來保護關鍵資產,首要關鍵即是提升風險與威脅的可視性。TXOne Networks(睿控網安)專為工控領域研發的Stellar解決方案,能辨識老舊與現代化資產,維運人員可透過StellarOne集中管理主控台的單一操作介面加以控制與管理,避免惡意程式侵害產線正常營運。

TXOne Networks執行長劉榮太指出,當OT場域發生資安事故,災害未必只及於資料外洩,更可能牽涉到人身安全。約莫十年前,較常見的資安危害是DDoS、資料外洩事件,幾年前駭客組織盈利模式改變,改以勒索軟體為主軸,並且要求支付虛擬貨幣迴避追蹤。假設是廢水處理廠區遭勒索軟體入侵,影響程度可能是不可逆的環境汙染或人命傷害。

為OT場域引進零信任策略可說是目前主流做法。零信任之所以被關注,主因為邊界防護策略不足因應現代攻擊手法,零信任的「永不信任、始終驗證」核心思維逐漸為企業與組織所接受,無須仰賴邊界執行防禦。針對OT場域零信任,例如新添購的機台設備,TXOne StellarProtect可在測試運行過程中先行偵測,以免夾帶惡意程式。進而辨識關鍵應用程式與憑證,非經授權不得運行。

IT與OT逐漸合併擴大攻擊面

當前市場上探討的IT與OT聚合議題,不僅只是把異質場域的網路互連,更重要的是OT場域運用了新興IT技術。劉榮太舉例,日前參觀位於德國的賓士(Mercedes-Benz)56號工廠(Factory 56),為新一代S-Class生產基地,廠區大約部署400台AGV自動搬運車,負責運送汽車零組件,交給機器手臂組裝。車廠員工則是負責品管(QC),運用影像辨識技術偵測,發現異常裝配環節才須介入排除問題。如此一來,可大幅降低人力的需求,大部分都是機器在執行日常工作任務。

問題是當OT場域生產線運用大量IT技術,例如自動化運算、影像辨識、邊緣運算等,攻擊者一旦成功滲透進入內網,即可在IT與OT環境橫向移動,尤其是防護力薄弱的OT環境,可能釀成更嚴重損害。

劉榮太以實際發生在美國客戶工廠的案例指出,當客戶發現OT環境遭受入侵,代表IT部署的保護機制失去作用。當前攻擊者發動APT,欲達到惡意加密勒索生產線系統的目的,通常是從外網滲透入侵,藉由IT環境為跳板,移動到OT場域。當然若IT環境部署的防火牆、防毒軟體等資安防護方案得以有效地偵測發現並發出告警,OT場域即可保障安全無虞,問題就在於現代化APT攻擊多數有能力繞過偵測告警。

他強調,前述客戶之所以有能力發現攻擊活動,主要是內部SOC團隊從IT環境部署XDR方案中發現異常指標,經過追蹤調查才驚覺惡意程式已橫向移動進入OT場域,在資安事故發生前先行阻斷避免損失。「儘管如此,客戶工廠總共27座之多,網路斷線徹底清查機台設備,總共花費十天時間。從發現遭入侵當天,花費2週時間才得以復工。對於台灣多數製造業而言,停工2週,導致的損失恐難以估計。」

OT SOC團隊即時監控降低災損

依據美國國家標準技術研究所(NIST)提出的網路安全框架(CSF),定義了識別、防護、偵測、回應、復原等五大落實安全防護指引,可讓企業建立網路安全生命週期的風險管理。因此首要任務須先辨識資安風險環節,並施以保護措施,萬一攻擊繞過防護措施成功滲透,則必須在最短時間內釐清問題根源,採以偵測與回應機制輔助執行。

想要在攻擊活動發生當下發現異常,可能得仰賴SOC團隊,完整蒐集路由器、防火牆、防毒軟體等資料,先經過關聯分析與過濾,並且納入人工智慧應用輔助加速判讀。既然IT與OT聚合成趨勢,SOC團隊理應也須掌握OT場域完整資料,否則即便IT環境部署最先進的防禦技術,也難以保證百分之百安全。各家企業數位化程度不同,資安技術導入狀況亦有差異,可行性較高的做法,劉榮太認為,初期應先設立IT SOC與OT SOC兩組團隊,下一步再予以合併降低成本開支。

IT SOC與OT SOC之所以初期得分屬兩個團隊,他說明,OT SOC需要的技能不僅只有資安,更重要的是避免為了確保安全無虞導致生產線中斷,或許可借助OT領域的時效性網路(TSN)協定,讓端點彼此之間溝通的網路封包得以最小延遲時間傳遞,確保達到即時安全監控。

至於企業到底該投入資源內部成立OT SOC,發展出最適合自家場域的防護措施,或是該選擇委外維運,本就得依據安全成熟度、人力資源、成本預算等因素來決定。不論如何,OT SOC監控有其必要性,假設可有效地發現異常,及時應變處理,才得以強化製造場域的資安管理措施,確保營運不中斷。

供應鏈安全聯盟共享情資強化防禦 

近期國際資安市場上探討最多的供應鏈安全議題,身為全球供應鏈重要成員的台灣亦相當關注。劉榮太指出,多數業主理解資安必須聯防以發揮最大效益,供應鏈也逐漸在落實,例如華碩成立高科技資安聯盟,涵蓋上游IC設計、封裝測試、系統組裝等,可如同資安資訊分享與分析中心(ISAC)模式,讓企業彼此相互分享情資,來強化產業應對資安威脅的能力。其次是上市櫃公司代表共同發起的台灣資安主管聯盟,整合產業的力量提升資安韌性,目前由81家公司資安主管攜手組成,藉由情資分享鞏固台灣眾多產業安全。

TXOne Networks執行長劉榮太指出,台灣半導體業在全球市場地位舉足輕重,提出第一個資安標準SEMI E187,讓製造商與採購方可依循,未來資安防護能力亦將成為訂單合約的關鍵要項。

更值得一提的是台灣推出半導體業界第一個資安標準SEMI E187,由台積電、工研院、TXOne Networks等共同推廣,確保半導體供應鏈的製造商交付機台設備不得潛藏惡意病毒。劉榮太強調,台灣半導體業在全球市場地位舉足輕重,當相關產業鏈都遵循相同標準時,對於市場而言意義非凡,未來資安防護能力將成為接獲訂單的關鍵要項。

劉榮太不諱言,其實供應鏈資安最困難的是深度與廣度,意思是製造設備產品遵循標準可確保安全性,但是產品搭載的眾多軟體未必有能力即刻檢測發現漏洞,仍須持續不斷地強化以增進供應鏈數位韌性。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!