根據報告指出,勒索惡意程式從感染到擴散只需四十五分鐘,這意味著我們安全防禦要更加的加快腳步。勤業眾信風險諮詢服務執行副總簡宏偉表示,企業內IT與OT資通訊安全機制的防護,尤其是關鍵基礎設施單位,大家要有更警覺性自問「內外網隔離是否是真的安全? 」。
台灣自七十年代後,突飛猛進躍入高科技製造工業場域,至今我們大家有目共睹。製造生產的企業廠商,電子半導體、石化、鋼鐵、能源等產業,在國際地位上,享有一定的名聲,尤其是半導體產業。
國內製造產業從代工、研發、製造生產,大部分重度使用工業控制系統(Industrial control system, ICS),是透過ICS電子科技方式來管理工廠的生產、製造、營運等,隨著網路科技技術的擴延,工業控制系統ICS從早期封閉專屬性的運作環境,逐步整合至今的企業網路架構內,當內網與外網路相連之際時,此刻製造業也與攻擊者的距離愈來愈近成為勒索的目標。
多事之秋時期 製造業一路挺過來
依稀記得,十年前被大家號稱為最惡病毒Stuxnet(震網),當時伊朗核電廠受到Stuxnet病毒的感染最為嚴重,受感染的標的物為西門子自動化資料採集與監視系統(Supervisory Control And Data Acquisition,SCADA),因為當時這起威脅事件,大家逐漸開始反思「所謂封閉系統的安全無虞」,我還能相信嗎?
2021年迅速竄起的駭客集團Lapsus$,其攻擊目標專挑高科技廠,例如Nvidia、三星等,手法為採用善用人性弱點的社交工程攻擊手法,進入企業內的系統竊取機敏資料,並以勒索、威脅向受害企業,索取高額的贖金,只因駭客看中高科技產業的經濟量能。與民生、國家安危有關的關鍵基礎設施資安事件,2021年美國位於佛羅里達州的一家淨水廠,駭客從遠端入侵淨水廠內部的網路及電腦軟體程式,遙控調高淨水的化學濃度量劑,幸好當時及時被工作人員發現異常,未釀成無法挽回的大禍,萬一發生不幸所受波及的不僅是淨水廠的損失,更嚴重的一面,則是大眾人們生命的安危。
因此,無論是工業控制系統運作的安全與企業商業機密資料的保護,對製造業而言,至關重要,從生產、營運甚至到企業的商譽,均為重中之重的關鍵要素,無法等閒視之。
防禦威脅攻擊的腳步 你跟上了嗎?
威脅攻擊不再只是資訊科技IT(Information Technology),營運科技OT(Operational Technology)已是正在進行式發生中。根據報告指出,勒索惡意程式從感染到擴散只需四十五分鐘,這意味著我們安全防禦要更加的加快腳步。勤業眾信風險諮詢服務執行副總簡宏偉表示,企業內IT與OT資通訊安全機制的防護,尤其是關鍵基礎設施單位,大家要有更警覺性自問「內外網隔離是否是真的安全? 」。簡宏偉歸納幾點常見因為資安漏洞讓安全產生威脅的狀況,尤其製造業提供給大家參考自我檢測。
- 機台汰換的過程中,是否有檢測機台的安全性,然後再進行安裝使用?
- 生產檔案、機台設定檔案的安全性,是否有經過檢測?
- 戰情室所進行的資訊蒐集、分析等與機台間串流,是採以單向還是雙向的傳輸?
- OT機台和設備是否是與公司、工廠的IP基礎設施共用?
- 企業、工廠,IT與OT平日安全流程上是否有確實執行資安防護的步驟?
以上五點答案是YES的企業,微乎其微,但是也不是做不到,而是我們要先建立一個思維,內外網隔離不一定是安全的觀念,駭客威脅的手法愈來愈精細與惡意軟體模組化,駭客集團特別喜愛針對製造業廠房機台設備,因為早期為傳統城堡式的資安防護對於目前的網安威脅防護力有限,因此,我們要思維的防護需要具備深層的縱深防禦,簡宏偉強調目前國內外極呼籲大家,資安的防禦思維Zero Trust零信任架構,也就是要破除大家對內外網隔離均是安全的執著思維。
聚焦零信任架構,導入三階段
零信任Zero Trust 簡要意涵就是八個字「永不信任,始終驗證」,企業帳戶最小權限化是防禦的根基,該如何賦予系統權限的使用,帳戶的應用連結關係等等,關乎企業資料保護安全控管機制建置的重要一環。對於企業網路系統建構零信任架構的方向,簡宏偉提醒企業可以階段性的導入,從三階段進行,第一階段身分認證、第二階段設備認證、第三階段信任推斷,這三階段依序導入目的是確保使用者、設備和使用者行為的一致性。因此,簡宏偉針對內外網隔離的安全性提供大家一個思考,企業不能單單聚焦考慮內外網隔離,而還要進一步聚焦企業內外網路系統的安全架構、思考零信任架構該如何設計,如何避免資料外洩與受到入侵威脅。
新興科技蓄勢待發 資安防護策略不可缺
這幾年,新興科技發展蓄勢待發,工業控制系統、車聯網、5G應用、物聯網、智慧製造與建築甚至醫療的議題,從資服業者的角度觀察,勤業眾信執行副總經理簡宏偉表示新興科技的發展中,含藏著許多要留意的安全重點,例如企業的網路安全策略的框架除了符規之外,是否還能強化自身企業的需求; 企業與上中下游廠商所串起的供應鏈,彼此的資訊安全該如何檢視與要求; 企業雲端上的應用該如何將雲端安全標準導入服務等等,這些與企業營運成長均息息相關。
根據勤業眾信年度「建構關鍵基礎設施的網路安全防護」報告中提到,因為數位化革命的帶動下,IT與OT的融合愈來愈緊密,駭客攻擊的風險急遽上升,將製造業視為勒索威脅的頭號目標。再者Deloitte亞太區資訊安全顧問團隊,發現近幾年高科技製造業所發生的威脅勒索攻擊的場域中,最常見的就是傳統式OT或ICS系統(關鍵基礎領域系統通常為十年以上系統),因此OT與工業控制系統(ICS)的安全保護戶與運作的安全機制是接下來幾年的重點工作,同時IT與OT之間的界線是彼此逐漸更加緊密的融合協作。
ISA/IEC 62443適用於各產業之工控網路安全標準
對於高度量能的新興科技,在資訊安全的種種威脅下,該如何防禦呢? 勤業安全顧問團隊建議企業可從三個面向著手,首先是企業內組織中的安全委員會或是安全團隊,將IT 與OT身分的成員均衡的納入團隊中,如此才能夠有雙向溝通與目標共識的前進。再來就是,事件通報的處理,尤其是第一時間,發生事件狀況當下,不分彼此(IT還是OT問題),而是第一時間通報,以降低威脅風險的提高為優先考量,讓企業受損以最低限度為重。最後就是,資安標準的依循,例如,SEMI E187標準,這主要是針對機台設備系統、網路、端點安全等所制定的標準、針對汽車範疇網路安全考量的車聯網車輛網路安全ISO/SAE 21434標準,以及工業自動化和控制系統的國際安全標準的ISA/IEC 62443等。
以ISA/IEC 62443為例,ISA/IEC 62443為目前全球唯一,適用於各產業之工控網路安全標準,其中涵蓋面非單只針對管理面、設備面來制定標準,而是整體全面性包含管理、流程、技術與系統的標準設定,甚至到元件(component)技術安全的制定,因此讓工業應用的各環節角色人員,操作者、整合者及製造商都有其依循的標準規範,來降低風險。
最後,我們回應Deloitte亞太區資訊安全顧問團隊所言「專業團隊的努力達成,才是確保關鍵基礎架構免受資安威脅的要素」,所以,企業內的人員、流程和技術,既是建構安全基礎建設的三大支柱外,也是安全的關鍵核心。 IT與OT加油!
文章首圖來源: Photo by Nick Fewings on Unsplash