新興資訊科技(IT)技術推動各產業數位化程度提升、物聯網(IoT)應用場域發展更趨多元,尤其是以往封閉的工業控制系統(ICS)領域,已有許多攸關企業營運核心命脈的生產機台設備,具備連網功能,以便於有效地蒐集營運技術(OT)場域產生的資料,藉由IT技術建置的邊緣運算或雲端運算平台實作演算分析,輔助維運OT場域的生產線正常運行,建構成為工業物聯網(IIoT)進而逐步邁向智慧化製造。
根據趨勢科技日前發布的全球資安風險調查報告統計,54%企業認為內網資安風險評估不足,恐因釣魚郵件、釣魚網站、供應鏈等管道感染勒索病毒,造成營運被迫中斷。從實務面來看,企業不易精準評估攻擊面的潛在風險,使得高階管理層難以洞察資安現況,全球資安風險調查報告指出,僅有3%高階管理者有能力掌握當前面臨的網路風險。
工研院資訊所組長卓傳育指出,近年來台灣製造業為了避免遭勒索病毒襲擊,已陸續在工業物聯網場域導入防火牆與機台部署防毒軟體來執行偵測與回應,而為了讓高階管理者得以掌握資安治理成效,市場上興起採用第三方掃描工具從企業外部執行網路資安風險分析,例如SecurityScorecard、BitSight、OneTrust等,工研院亦自主研發CyberMeter,從企業外部掃描評估應用場域弱點,同時亦擷取暗網的情資、第三方資料庫,解析企業營運機敏資料是否外洩,以客觀的數據量化評估資安治理的完整度。
惡意程式可同時滲透IT與OT環境
當前製造現場運用於整合IT與OT技術建構的虛實整合系統(CPS),多數是奠基於Purdue企業參考架構(Purdue Enterprise Reference Architecture,PERA),從第0層的實體設備到第3層為OT範疇,常見的是製造執行系統(MES)、資料蒐集與監控(SCADA)等應用系統。第4層到第5層即為IT人員較熟悉的領域,例如產品生命週期管理(PLM)、供應鏈管理(SCM)、企業資源規劃(ERP),以及大數據平台、機器學習與人工智慧應用,輔助生產線活動以科學數據決策,逐步演進到智慧製造。
TXOne Networks(睿控網安)執行長劉榮太觀察,工業控制領域之所以重視資安,首要驅動力來自數位轉型,過去製造現場管理者從未思考過外部攻擊威脅的問題,畢竟產線、機台設備皆在封閉環境中運行,即便是被入侵,實體隔離的工廠環境也不至於大規模擴散,產線仍可繼續運行。
隨著數位化程度提升,工作流程可能是ERP系統輸入的訂單,須立即傳送到MES系統,此時IT與OT就已經開始連結。生產過程中的所有數據,須予以蒐集、整理、分析,產生報表呈現供高階管理層、訂單客戶稽核,抑或是擷取OT領域完整的資料,彙整存放到大數據平台,並採用機器學習演算模型分析,提高現場維運效率,更重要的是持續改善製程、配方以提高產品良率。大數據平台與演算模型環境,不論是自建部署於邊緣運算或外部公有雲平台,皆須透過網路介面溝通,資安風險也隨之產生。因為對於攻擊者而言,相同的惡意程式與滲透手法,可以從IT擴散到OT環境,直接威脅企業營運命脈。
四大準則強化工業物聯網資安韌性
儘管IT領域的資安防護技術發展已相當成熟,實務上卻未必可直接套用到OT場域。除了工廠環境的設備機台與資訊系統版本過於老舊,已無法支援安裝軟體建立偵測與防護,網路傳輸方面亦無法容忍延遲時間,否則控制及回饋訊號若差之毫釐將謬以千里。此外,OT場域環境條件相對嚴苛,可能是戶外極端寒暑雨雪的天氣、車船鐵道上的震動碰撞、廠房礦場的飛沙泥塵,傳統部署在資料中心的IT設備恐無法正常運行。
欲強化工業物聯網資安韌性,劉榮太建議,首要是應用場域採以網路微分段技術,並遵循零信任原則持續地驗證、僅開放最小權限。其次是藉由入侵偵測系統提供的虛擬補丁機制,一旦最新漏洞被揭露,得以即刻為設備機台或資訊系統建立防護。第三是實作白名單機制,讓單純功能的連網裝置僅啟動特定服務。第四是定期檢查與稽核風險指標。
至於方法論,劉榮太引用美國國家標準技術研究所(NIST)為關鍵基礎設施資安防護提出的網路安全框架(CSF),可依循識別、保護、偵測、回應、復原等五大功能面向,建立網路安全生命週期管理策略。他認為,目前工業物聯網資安防護概念尚在教育階段,多數OT人員普遍缺乏基本觀念,TXOne Networks的經驗是協助先從資產盤點開始著手,釐清工作流程中潛在風險環節,再引進適用於產線的保護措施,例如專為高度自動化智慧工廠設計的EdgeIPS智慧型入侵偵測防護、EdgeFire次世代防火牆、StellarProtect端點防護等,以因應攻擊手法變化,適時地提出精準防禦措施。
演算模型輔助即時判別異常行為
目前市場上聚焦工業物聯網安全防護的機制,卓傳育觀察,大多強調識別攻擊手法的有效性,才得以進一步依照保護政策,觸發執行偵測與回應。工研院研究計畫的作法是採用白名單機制,以正向表列方式只允許特定程式運行。假設營運環境較為單純,只要列出日常工作需要的程式,不符合正常行為即判定為惡意。
對於IT人員而言熟悉的白名單機制,技術層面相當單純,困難之處在於撰寫政策規則。卓傳育說明,IT部門可撰寫防火牆規則,控管網路流量進出,欲偵測工作流程的資安威脅,須得先了解日常作業規則,以便建立允許連線的白名單。工研院運用白名單機制發展的方案,可自動化建立規則,無須人力介入,藉由人工智慧技術學習正常連線行為的模型,部署到防火牆,以及端點環境的應用程式白名單,在系統運行期間演算分析,一旦行為偏離正常範圍,隨即發出異常警告,讓IT/OT維運人員盡快排除問題。
工研院基於白名單概念發展的行為分析模型,可讓物聯網裝置製造廠商在產品出廠前內建防護,或者是在機台前方部署微型防火牆,以過濾封包內容、杜絕惡意程式。此外,針對IT/OT協同合作的權責區分,不同組織文化答案各異,共通問題是資安治理主管與廠長的角色不同,萬一產線因配置資安政策規則導致生產力下降,須由廠長負責而非資安長,因此改由行為分析模型來定義政策規則,較容易獲得IT/OT團隊認同,避免責任歸屬的爭議。