物聯網世代的攻擊模式大至分成對人與對物的兩種攻擊,以人為滲透攻擊目標時,經常透過惡意程式滲透、詐騙等手法入侵,我們則可以使用防毒軟體、入侵偵測、SIEM安全紀錄監控、內網BYOD、BYOC管理等解決方案來面對威脅。面臨針對物(智慧控制設備)為滲透攻擊目標時,採用弱點探索與攻擊等手法,或是進一步採用主動式安全強化的解決方案,針對硬體安全識別、資料隱私保護、固定功能服務安全確保等方式來進行防護。
IT與OT網路從以往實體隔離,轉變為跨網域結合
近期,經常看到IT與OT的樞紐造成網路實體影響的網路攻擊越來越常見(如勒索軟體攻擊),這些事件經常造成設備被破壞,系統停機、故障,其造成的後果不僅是設備本身,還包括產能、交貨延遲、公司信譽、股價等影響,影響層面相當廣泛。從技術面來探討, IT與OT網路也從以往採用實體隔離,轉變為跨網域結合,未來更將朝向整合式IT與OT安全防護,因此我們也必須開始吸取整合相關的技術與網路安全的知識,如此才能全面防護資訊安全。
Palo Alto Networks系統工程師Allen Chen表示,以目前的ICS/SCADA網路安全面臨的挑戰,其中包括需要管理網路整合與遠端存取、保護未修補或是無法修補的舊系統,同時必須提高網路的可視性和區隔性的功能,以阻止APT進階式威脅,並安全地轉移到工業物聯網架構,降低合規成本與工作量,同時解決執行時間與安全性要求。
來自Nozomi Networks亞太地區與日本通路銷售總監Dung Hua則表示想要掌握企業內的裝置設備狀況,建議我們首先做好資產盤點知悉自己的重要設備的狀況,並同時執行即時網路監控、透過即時過程監控,來確保系統的安全性。但是,我們都知道許多大型企業由於設備繁多、分布地點較廣,想要全面掌握所有設備的狀況,是件相當耗時費事的事,但是這基礎工夫我們又不可缺少。 Dung Hua更進一步分享,對於大家常提到有效地掌握網路系統所面臨的威脅的需求,他表是可以參考採用具有異常和特徵碼檢測混和威脅與異常偵測的進階網路安全監控技術且這類的技術是基於特徵和行為的風險偵測的組合,可針對工控環境提供網路與作業程序風險的早期告警,事件關連可提供相關前後文記錄,加速回應時間,讓員工擁有足夠的資訊去快速反應,詳細的告警和事件資訊能加強風險管理,鑑識調查工具可縮短平均解決時間並提高員工生產力。
再標準的作業流程 人依舊是重要角色
協助整合國內產官學研各界技術創與累積的工研院資訊與通訊研究所,卓傳育博士表示,由於OT的營運目標首重可用性、穩定性和生產率,對於安全性則擺在次要的位置,許多設備採用已經停止支援的操作系統(EOS,End of support OS),導致難以升級或修補,且OT要求中斷時間短,想要進行重新測試和重新驗證的成本較高,想要進行實體隔離,也不像以前簡易,因為在標準作業程序中,仍需要人為參與,對於現今持續新增的智慧功能幾乎都需要依賴於網路的連接,也導致出新的安全挑戰。
卓傳育博士進一步表示,以美國國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)所分析的工業控制防護七項策略為例,其中以應用程式白名單(38%)為最重要的策略,其次分別為正確的配置/更新管理(29%)、減少受攻擊面(17%)、建立可防護的環境(9%)、管理認證(4%)、監控與反應(2%)、安全遠端存取(1%),可見建立應用程式白名單是最有效的防護策略。因此卓博士建議,面對惡意程式會自動變形爆炸成長的時代,應用程式白名單是最有效可行的防護策略,因為OT服務營運控制系統正面臨過時、不被支援的作業系統,以及幾乎不套用任何安全修正的營運環境,想要維持固定功能的日常運作,採用白名單或許其一有效的防護方式。
資訊安全防護無捷徑: IT與OT
由於工業系統的生命週期高達15~20年或更久,機器只要穩定運行就會儘量不更新或延後更新,使得內部系統充滿漏洞,風險極高,以往採用的實體隔離為基本保護策略,但資料交換區很可能是關鍵問題,功能越智慧就越難進行隔離。進一步,若想要阻止惡意程式、駭客利用漏洞進行攻擊,卓傳育博士也表示,可建立程序語義感知入侵檢測功能,針對控制流程進行完整性保證,並建立主動強固式作業系統,能夠安全執行程式,達到安全通訊的目標,才能夠確保系統不容易被入侵。
安全的解決方案策略並無捷徑,只有早期發現立即反應,執行主動系統安全強固,符合資安SOP管理(ISO27001),從供應鏈安全管理進行根本改善,確保安全生產設備、產品都符合零惡意軟件的應用程序白名單保護,並採取安全軟體開發流程強化,針對原始碼進行分析、模糊測試、滲透測試,才能確保系統的安全。資訊安全管理需要從行動化企業的資安趨勢開始,做到彈性、業務智慧化、行動化管理需求與人性化工作環境,資安團隊必須以科技管理及最小化資安風險來取代實體隔離與禁止,讓資安為企業創造價值而不是增加成本,運用科技化解決問題,以創造新價值來代替實體隔離。
我們都可同理,沒有任何企業管理層、廠站管理層或是現場設備層的每位工作者願意看到因為一個環節遇駭或人員的操作疏失導致產能下降、營收減少或是人機失衡,甚至影響企業的股價。因此,如何縮短IT與OT的差異性,是我們日後幾年大家努力朝向的的目標,讓IT與OT彼此相互運作是協作共生的。資安人媒體將持續報導、分享。
歡迎大家來信: iris.pan@newera.messefrankfurt.com
閱讀相關文章 < ICS工業控制系統下的OT(操作科技) 您有所不知! >