去年本土能源業遭勒索軟體襲擊導致當機,引發高度關注的因素,主要在於以勒索取財為目的的攻擊活動居然成功滲透進入關鍵基礎設施,直到惡意程式發作時才被發現。
回顧過去全球工控領域的資安事故,主要是國家級駭客組織攻擊油水電等關鍵基礎設施,自從2017年勒索軟體開始演進成蠕蟲,不僅衝擊聯邦快遞(FedEx)等全球知名企業,2018年更是導致台灣半導體龍頭業者鉅額損失。2020年在COVID-19大流行之際,能源業者還遭到勒索軟體感染被迫中斷服務,這些OT領域的資安事故接連爆發,勢必吸引駭客組織相繼仿效發動攻擊。
安碁資訊資安長顧寶裕指出,行政院自2017年開始就特別強調關鍵基礎設施(Critical Infrastructures,CI)的重要性,目前定義涵蓋八大領域,包括金融、能源、水利、交通、醫療、通訊、高科技園區、政府機關,萬一遭遇惡意攻擊導致無法正常運作,衝擊相當大,不僅影響人們的生活、損害經濟發展,甚至對於國家安全都有相當大衝擊。
安碁資訊提供的資安服務主要協助能源、水利、交通等跟OT環境直接相關的關鍵基礎設施保護(CIP),其中涵蓋的關鍵資訊基礎設施保護(CIIP)。以水庫為例,保護機制有許多層面,例如防範暴雨、地震等天災不屬於資訊的範疇,即便是國際恐怖組織破壞性活動,亦不涵蓋於關鍵資訊基礎設施保護範圍。CIIP主要著重於水庫、煉油廠、發電廠等場域的資訊基礎設施是否存在漏洞,讓駭客攻擊可利用來滲透入侵。
工控應用場域防護需求各有不同
前述提到的交通、能源、水資源應用場域防護方式相較辦公室環境差異相當大,廠區依賴工業控制系統(ICS)確保穩定、持續生產,也就是說,為了讓產線順暢,基本上需要進行的控制,顧寶裕以發電廠的鍋爐舉例,鍋爐底層不斷燃燒煤炭讓水產生水蒸氣上升帶動氣渦輪機運轉,藉此發電並遞送到開關廠。開關廠透過高壓電塔,傳輸到各地變電站進行減壓,降到110伏特才輸送到實際用電場所或住家。
整個發電過程經常被詬病是空氣污染元兇,主因來自燒煤炭產生的廢氣中含硫,屬於毒性物質,必須有所控制,在排放廢氣之前須先進行處理,包括脫油、除塵等程序,符合環保標準才允許排放。發電過程包括鍋爐溫度、水溫、排放的廢氣標準等,全部環節皆要有所控制,就得透過工業控制系統協助。
「就像是一台電腦主機,目的性是確保生產流程順暢運行。大部分廠區是全年無休,不能停機,若有駭客成功滲透進入,破壞脫硫設備,排放的氣體含有毒性,一旦被環保單位監測發現時有權要求停工,帶來的損失無法預估。」顧寶裕說。
工業控制系統組成包含底層感知器量測、可編程邏輯控制器(PLC)、有線/無線網路、人機介面(HMI)等,電廠的工作人員全年無休輪班,在控制室中監看廠區狀態,例如脫硫程序結果必須低於標準值,一旦超過須立即發出告警通知,所需要的資安防護項目較IT不同。
依據OT環境弱點制定資安管理規範
隨著外部環境改變須留意衍生新的資安風險,例如因應疫情,遠端桌面已成為被廣泛利用的標的,攻擊者著眼點為居家辦公人數相當多,遠端桌面使用率大增,使得RDP成為駭客發動攻擊手法。顧寶裕引述Claroty公司2020年上半年度工業控制系統風險與漏洞報告指出,2020年上半年揭露的工業控制系統漏洞中,70%以上皆為遠端利用,包含遠端執行程式碼(RCE)佔49%、41%讀取應用程式資料、39%導致阻斷服務(DoS)、37%逃避資安防護機制。
過去的攻擊活動主要目的是竊取機敏資料,例如智慧財產權、製程相關參數等營業秘密,如今攻擊目標已轉移到OT環境,鎖定遠端操作關鍵基礎設施的控制系統與邏輯控制器,造成實體損壞讓生產中斷。美國關鍵基礎設施的工控系統網路緊急應變小組(ICS-CERT)公告的漏洞,相較於2019年,水處理部門增加122.1%、關鍵製造業增加87.3%、能源部門增加58.9%。從揭露漏洞數量可發現,以往封閉式環境如今開始連網後,首要任務必須先更新修補漏洞,否則恐讓攻擊者輕易地藉此滲透入侵。
總體來看,顧寶裕指出OT環境安全性盲點讓攻擊者有機可趁,包括資產缺乏可視性、零時差攻擊風險、缺乏員工教育訓練、未認清IT與OT資安問題不一致、誤以為IT資安防護的設計適用於OT、欠缺事故應變計畫與專業資安技能。若僅仰賴網路實體隔離,欠缺警覺心,未能即時察覺到違反資安管理辦法的行為,例如透過隨身碟存放檔案,仍可能成為資安破口。最經典的事故為2010年Stuxnet蠕蟲攻擊伊朗核電廠基礎設施,賽門鐵克曾經進行感染回溯分析,發現Stuxnet傳播過程中會記錄路徑,經過追蹤發現維運供應商網路或筆電是最佳攻擊入侵管道。
發展垂直領域防護準則控管風險
針對工控環境本身的設備故障、人為操作錯誤,廠區本就有制定緊急應變的標準作業程序,如今隨著資安攻擊次數增加,同樣必須由具備知識與實戰經驗的維運人員制定有效的應變作業程序。
顧寶裕說明,安碁資訊為OT環境制定的資安防護政策,參考美國政府提出的CyberSecurity框架,依據識別、保護、偵測、應變、回復,共五大面向進行規畫。資產盤點與掌控風險建立可識別能力,可說是安全防護的最基本須具備,可基於IT領域的方法論(例如ISO27001)實施,最終產生資產清冊。至於風險評估,OT環境亦可參考美國國家標準與技術研究院(NIST)發布的SP 800-82 r2文件,強調風險評估須鑑別威脅、弱點帶來的衝擊,以及發生機率,評估ICS潛在事故對組織任務衝擊時,應同時考慮對實體程序與系統的衝擊,且務必考慮對人身安全(Safety)、受控過程、ICS環境與範圍更大的實體環境影響。
依據「資通安全責任等級分級辦法」規定,主管機關可另定系統防護基準,對此,催生出經濟部能源及水資源領域工業控制系統資安防護基準,經行政院核定,由經濟部於2020年4月20日已正式公布,預期將有助於落實風險控管措施。