跨界交流增進關鍵基礎設施安全

2017 / 03 / 14

編輯部

2015年底烏克蘭電廠及三家配電公司遭受駭客攻擊，駭客透過釣魚郵件與惡意程式入侵電廠內部IT網路，並在竊取權限與相關資訊後利用VPN進入工業控制系統(ICS)網路的資料採集與監控系統(SCADA)，在數小時內導致營運數次中斷，約22.5萬用戶受到停電影響。這起首次因駭客入侵而實際導致電廠中斷供電的事件，引起各國政府對關鍵基礎建設安全的高度重視，紛紛強化相關防禦措施。

過去在行政院資通安全會報的要求下，台電、自來水公司與中油等經濟部國營事業單位在2008年已建立起資訊分享分析平台(Information Sharing and Analysis Center, ISAC)，能即時通報資安訊息，使各營運據點採取立即行動。此外，先前的資安辦公室與國土安全辦公室三年前開始要求進行網路攻擊演練，三年下來，演練更加貼近真實，透過各種情境設計模擬關鍵基礎建設營運中斷後的處置應變。而今不只是國營事業單位，在「資通安全管理法（草案）」的規範下，提供能源、水資源等關鍵基礎設施的民間企業也需實施資通安全維護計畫並接受資安查核。

IT與工控網路特性不同需有不同管控重點
整座城市大規模停電已不再是電影情節，而在生活中真實上演。談起關鍵基礎建設資安工作的推動，經濟部國營事業委員會科長鄭春光指出，困難點在於工程人員與IT／資安人員對彼此領域的認知差距，工程人員不了解資安，資訊背景的資安或稽核人員亦對工控系統了解不深。「過去在廠區工作的工程人員直到Stuxnet蠕蟲入侵並破壞伊朗的核能設施後，大家才知道資安問題的嚴重性，」他說。

經濟部國營事業委員會科長鄭春光指出，工程人員與IT／資安人員對彼此領域的認知差距是推動資安的困難點。

一般IT系統的資訊安全三大重點是C、I、A（機密性、完整性與可用性），並以機密性為首要，然而對ICS系統來說順序則是A、I、C，系統可用性才最優先。舉例來說，當一般IT防火牆偵測到異常活動，可以設定為自動斷開連線，但ICS的防火牆不能如此設定，即使有異常也不能斷線，除非發生造成系統失靈，讓操作人員無法控制的重大異常事件，會進入安全模式(Fail-safe)後才停止。另外，由於工控系統與作業系統的相容性要求高，作業系統一有更動對工控系統來說，一定會受影響，因此實務上工控系統上線後幾乎不會更新修補程式與升級系統，除非是在工廠設備定期維修期間才一併處理。

除此之外，由於ICS系統有特殊的通訊協定，如Modbus等，若廠區佈署一般在IT系統網路所使用的防火牆將無法識別並檢測所傳輸的封包，對工控網路來說將形成一大風險。鄭春光建議，佈署工業專用防火牆才比較適合工控系統網路。或者透過確實的實體隔離以及設定軟體白名單方式，都是ICS網路可用來降低資安風險的安全措施。

USB隨身碟容易造成實體隔離的漏洞
然而即使已經採取實體隔離，可能的風險還包括人員將已中毒的USB隨身碟帶到工控系統網路中使用。根據美國國土安全部的報告，2013年就有一家發電廠的委外廠商工程師誤將一個已感染病毒的USB隨身碟插入內網電腦，使渦輪控制系統中毒，並導致中斷營運三周。因此，進入工控系統網路使用的USB隨身碟需做好實體保管及軟體白名單管理，以拒絕APT惡意程式，不在白名單上的USB隨身碟無法讀取其內容，而被置入惡意程式的白名單USB，透過HASH值比對，只允許已知的合法應用程式在控制系統內執行。也就是透過人員管理(people)、流程管理(process)並搭配產品技術(product)等3P原則的落實，來確保實體隔離的成效不被破壞。

推動關鍵基礎設施資安防禦工作不容易，除了一般IT網路環境外還需做好工控系統網路的管理。過去工程人員總認為工控系統網路是封閉環境，不易遭受攻擊，然而從伊朗核電廠的Stuxnet到烏克蘭電廠攻擊事件在在顯示，網路犯罪集團已越來越熟知工控系統專業知識，因而成功發動攻擊。尤其未來當智慧工廠應用更為普及，廠區對生產效率的追求更加注重，封閉網路逐漸接軌IT網路時，資安管理勢必將更顯重要。

在「資通安全管理法（草案）」的要求下，關鍵基礎設施提供者都需建置資安維護計畫並落實資安通報，相信透過ISAC平台的建立，防守端加強資訊分享與交流，將能降低駭客攻擊所造成的損害，如同烏克蘭電廠遭受攻擊，透過資訊即時分享，讓所有相關單位可以在第一時間適當回應與處置，實際避免災情進一步擴大。

關鍵基礎防護端點安全資安