IIoT 資安所 普渡模型 ICTD AI

依循普渡模型制定防護策略 降低惡意攻擊活動滲透機率

增強威脅偵測準確度 避免干擾工業場域運行

2023-07-12
過去三年的全球疫情造成影響不可小覷,成為推動台灣製造業數位轉型的強大動力。財團法人資訊工業策進會資安科技研究所(資策會資安所)資深工程師黃鼎傑觀察,當工廠開始朝向智慧製造邁進,首要做法是在老舊機台上增加安裝感測器等,或者在網路攝影機運行影像辨識,建構工業物聯網(IIoT),藉此提高生產力與保障產品品質。惡意攻擊者亦可循此途徑入侵OT營運場域,散佈勒索軟體,要求支付贖金否則讓產線停擺。

黃鼎傑認為,連通性打破了過往IT與OT的隔閡,有助於把傳統手工藝轉換為數位化。根據HMS Networks最新發布的「2023年工業協定市場分布」調查,採用TCP/IP協定的工業乙太網,佔全球工廠自動化新安裝節點市場的68%(去年為66%)。前述的節點,即為連接到工業現場網路的機器或設備。其次是PROFINET和EtherNet/IP之間的競爭依然激烈,市場份額各為18%,但是EtherCAT也持續強勁增長,以12%的市場份額穩居第三。

值得留意的還有無線通訊技術。HMS Networks的調查報告指出,2023年由於在工廠自動化中引入了更多的無線工業網路解決方案,無線增長加速至22%。典型的應用場景包括替代電纜的應用、無線機器接入以及與移動工業設備的連接。

然而,隨著聯網裝置數量增多,許多裝置依循TCP/IP標準規範時,也為駭客提供了更多滲透入侵的機會。

工業通訊協定的轉變

傳統的工業通訊協定正經歷著一個轉變期。黃鼎傑以Modbus舉例,它由原本依賴RS232的實體線路傳輸,演進到Modbus over TCP,透過TCP封包增添表頭,以提高穩定性和可靠性。儘管傳統協定仍然存在,但現在大多需要具備「Over TCP」的能力。除非是特定關鍵基礎設施如核電廠等,由於其更新週期長達數十年,可能仍依賴舊有技術。為了即時收集資料和掌握運行狀態,連通性成為必須解決的問題,舊技術將被逐漸淘汰。

在數位化的浪潮下,台灣的製造業正積極尋求轉型。隨著工業的數位化、優化,乃至數位轉型,工控場域安全性成為一個不可忽視的要素。這不僅涉及到工廠操作的效率,更是關乎到生產線的穩定性與安全性。

台灣的製造業,特別是中小型廠商,因經濟考量往往仍使用較為老舊的機具。過去,這些機具多不具備連線功能,難以即時監控其運行狀態。然而,現在為了提升效率和可控性,許多廠商選擇在這些機具上加裝感測器。通過感測器搭配Wi-Fi等無線通訊技術,廠商能夠蒐集機台的運行數據。

這種方式可以視為數位化的過渡期策略。舉例來說,某些廠商使用感應式電壓或電流監測,來掌握機台的用電量和運作狀況。此外,還有廠商為了避免刀具老化影響產品品質,增添外掛設備進行量測,達到預測性維護的效果。

制定IIoT場域安全策略 

儘管無線傳輸資料為製造業帶來便利,但工廠環境中的無線訊號干擾成為一個挑戰。此時,第五代行動通訊(5G)的引進,為解決這個問題提供了可能性。5G的高頻寬和低延遲特性,可能成為工業4.0時代的選項之一。

不論IIoT場域採用的是工業乙太網、無線傳輸技術、5G支持大量裝置的連接,皆意味著網路的攻擊面擴大,可能面臨更多的安全威脅。在這個情況下,工廠必須採取措施,以確保數據的安全和隱私。

在進行數位轉型的過程中,IIoT場域安全策略的重要性不容忽視,須建立一個全面的保護體系。黃鼎傑指出,首先,需要確保感測器和其他連接裝置的安全,包括定期檢查和更新設備零件,以及使用加密機制來保護資料的傳輸。其次,企業應該加強網路安全,例如部署防火牆、入侵檢測系統來保護工廠網路。

偵測精準度為工控場域安全指標 

由國際自動化學會(ISA)提出的普渡模型,如今已成為關鍵基礎設施的常識。黃鼎傑過去六年來實際觀察,製造業在理解普渡模型的概念上已有所進步,且資安相關技術供應商也會依循普渡模型論述。

黃鼎傑說明,普渡模型是一個描述工控系統層次結構的模型,從Level 0到Level 5。Level 0包含基本的實體控制流程,如感測器和致動器,它們通常透過雙絞線或單芯線進行通訊。Level 1是基礎控制層,包含控制致動器的邏輯。在這一層,可程式化邏輯控制器(PLC)是核心元件。

過去,Level 1的PLC通常是封閉式運行,與Level 0之間沒有網路連線。隨著數位化的應用,PLC開始具備網路連接功能,例如通過Modbus over TCP等外掛模組。這使得Level 1成為潛在的網路攻擊目標。

Stuxnet蠕蟲和Triton/Trisis病毒是兩個著名的工控系統攻擊案例。Stuxnet是一種針對伊朗核電廠的蠕蟲,而Triton/Trisis病毒成功滲透並控制製程安全系統。這些攻擊不僅可能導致工業操作的中斷,還可能威脅到人員的安全。

美國非營利組織MITRE的Engenuity ATT&CK評估計畫,正是基於Triton病毒的攻擊手法、技巧與程序(TTP),制定了102個測試項目,以評估工控場域的防護機制是否具有足夠的效力。

「MITRE的評估計畫強調偵測精準度。對工控場域而言,過度的阻擋措施可能會干擾正常的工作流程,因此,偵測精準度成為重要的指標。當系統偵測到異常活動時,重要的是及時通報,而不是立即採取阻擋措施。這使得現場工程師和資安專家能夠根據具體情況,做出明智的判斷,選擇最適合的應對策略。」黃鼎傑說。

資策會資安所資深工程師黃鼎傑指出,隨著聯網裝置數量增多,透過TCP/IP標準規範溝通,也為駭客提供了更多滲透入侵的機會。企業可從強化威脅偵測能力著手,緩解潛在資安風險。

為了強化台灣工控場域的安全等級,資安所團隊也首次參加評測,展示自主研發的技術如何有效偵測威脅。資安所開發了工業物聯網威脅偵測系統(ICTD),結合人工智慧(AI)和規則基礎模型來解析網路流量,並識別潛在的攻擊特徵。透過技術移轉,資安所已開始協助本土廠商提升研發能力,將這些模組整合到他們的解決方案中。

實際上,工控場域的工作流程通常較為單純,可使用白名單策略,僅允許特定的應用程式運行,從而降低被惡意軟體感染的風險。ICTD系統採用規則基礎模型可快速設置白名單,並利用AI模型深入解析行為,以洞察潛在的資安風險,有助於增進工控場域面對複雜威脅的抵禦能力。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!