過去OT場域管理者優先關注的安全議題莫過於工安,至於資通訊方面,總認為廠區為封閉環境,惡意程式根本無法入侵,直到遭受勒索病毒感染才發現實際上並非如此。以次世代防火牆起家的Fortinet,伴隨企業數位轉型一路持續發展,已擁有廣泛產品線與OT領域專才,其DPI(深度封包檢測)技術可辨識OT場主流協議,藉此攜手生態系共同推動工業物聯網(IIoT)安全。
台灣製造業推動資安面臨的挑戰,Fortinet台灣區總經理吳章銘引述經濟部工業局發布的《供應鏈資訊安全管理強化教戰守則》內容指出,200人以上製造業的資安發展阻力,依序是內部技術能量不足(41.2%)、公司對資安投資報酬率缺乏了解(40.0%)、內部員工欠缺資安意識(33.8%)。反映在本土汽車零組件、水電、建築耗材產品等規模不大的工廠,為了趕上工業4.0浪潮,或者是因應供應鏈對於資安的要求,須得增添防護機制,多數僅導入部署防火牆來因應,仍有相當大改善空間。
OT場域可視化為資安成熟度奠基礎
綜觀過去十多年來OT基礎設施爆發的重大攻擊事件,吳章銘表示,最早發生於2010年的蠕蟲病毒Stuxnet破壞伊朗核武計畫的離心機,可算是首個針對工業控制系統的蠕蟲。2017年醫藥大廠默克(Merck)遭遇Petya變種病毒NotPetya,估計營業損失大約10億美元,商譽受損更是難以估算。近幾年,OT場域頻傳遭到勒索病毒感染事件,主因是製造業積極地推動工業4.0計畫,透過大量資料分析輔助決策,藉此突破既有生產力與產品良率,問題是多數企業只專注在發展數位化應用,卻未考量整體安全防護機制框架,以為部署網路防火牆即可萬無一失。
根據Fortinet日前發布的《2022 OT與網路安全現況調查報告》發現,93%的OT場域在過去12個月中至少被入侵一次,更有78%的受訪者表示,過去一年內曾經歷三次甚至更高頻率的資安事件,較2021年增加15%。吳章銘特別強調本次調查報告發現四大重點,包含:OT可視化程度低引發安全風險疑慮、OT場域入侵事件危及整體營運、權責不明確15%資安事件認定應由IT負責、安全成熟度提升中卻仍然存在漏洞。
「可視性」為OT資安成熟度的關鍵要項之一。吳章銘進一步說明,OT資安成熟度區分為四個層級,Level 1須落實可視性與隔離管制(Segmentation)、Level 2為建立存取模式分析、Level 3是可預測行為模式、Level 4引進協調(Orchestration)與自動化(Automation)技術。欲強化OT場域的可視性,首先須具備探索(Discovery)連網裝置的能力,進而識別與分群分類,才可依據風險程度施以保護措施,並且在事故發生當下立即處理降低災損。
攻擊入侵事件與營收呈現正相關
隨著外部威脅持續演進,惡意攻擊者不再需要投入研發病毒程式,只要支付費用即可由國際駭客組織代為發送惡意程式來達到目的,使得OT場域入侵事件危及整體營運成為當前棘手的問題。
Fortinet的《2022 OT與網路安全現況調查報告》統計,企業最常遭遇的外部威脅入侵手法,依序是惡意軟體(44%)、網路釣魚(41%)、駭客入侵(39%)、行動裝置的資安漏洞(37%)。造成的影響範圍,52%企業認為將營運中斷事件會影響到生產效率與人身安全,42%為機敏資料外洩。至於災後回復時間,90%需要數小時或更長時間才能恢復。
吳章銘認為,值得留意的是較少被討論到的OT權責不明確,15%受訪企業表示資安事件應由資訊主管負責。事實上,超過三分之一受訪者表示,OT安全的責任在於IT部門主管,問題是IT人員不見得都懂得工業製造環境。OT人員則認為防火牆等資安防護技術本就是IT部門管理範疇,即便被部署到製造現場亦是如此。
從調查報告不難發現,欲落實OT安全,最大的障礙並非技術,而是組織文化。既有OT人員已習慣的工作模式,優先任務是保證產線的穩定性、高可用性,就算是IT人員認為危險程度極高的漏洞,修補程式更新安裝完成後得重新開機,仍須安排在特定時間才允許執行,無法在第一時間降低遭攻擊的風險。為了增進OT領域的資安防護能力,大型企業已陸續增設資安長的角色,且層級必須為高階管理層,用意即為打破既有組織文化慣性,整合跨部門資源,讓資安防護措施真正落實。
安全織網落實IT/OT零信任控管
該調查報告亦發現,56%的組織資安成熟度達Level 3,較2021年上升12%。儘管OT安全成熟度逐漸提升,但部分組織中仍存在漏洞問題,吳章銘表示,主要因素不外乎人才難尋,以及組織改變速度趕不上資安需求,於是市場上開始提出資安協調(Orchestration)與自動化(Automation)技術,藉由機器學習與人工智慧應用來補強。
總體而言,欲克服OT安全挑戰,吳章銘建議,首先要落實OT場域的端到端可視化,並且集中監控。其次是建立零信任安全存取,確保未經身分驗證與授權的使用者、設備、應用程式,不得接觸到企業重要的數位資產;身分驗證通過亦僅開放最小權限,同時依據用戶角色、行為模式、IP位址、作業系統環境等風險分數,觸發採用多因素驗證機制再次確認身分。第三是部署網路存取控制(NAC)輔助管理,例如FortiNAC,確保只有經過授權的用戶才得以存取特定數位資產,並且持續監控行為模式。第四是資安工具與異質工業設備供應商的相互整合,降低管理的複雜度,以減少攻擊面。
「近期Fortinet為OT安全擴展生態系,新增了ABB、西門子、施耐德等國際知名老牌廠商,藉由合作夥伴關係彼此建立協調,運用自動化來輔助處理安全問題。」吳章銘說。
Fortinet北亞區技術總監劉乙指出,Fortinet建構的安全織網(Security Fabric)技術範疇涵蓋IT與OT環境,可視為驅動企業數位化創新的網路安全平台,以便建立零信任存取、安全驅動型網路、動態雲安全、人工智慧輔助安全營運。針對各式不同物聯網場域,Fortinet可先行協助進行連網裝置資產盤點與分類,透過FortiGate實施可視性與隔離管制、FortiNAC零信任安全管控,再針對裝置類型自動套用最小權限,非允許者予以分段隔離,且禁止接取網路服務。終端裝置則藉由部署FortiEDR,避免感染勒索病毒。