製造業

根據報告指出，勒索惡意程式從感染到擴散只需四十五分鐘，這意味著我們安全防禦要更加的加快腳步。勤業眾信風險諮詢服務執行副總簡宏偉表示，企業內IT與OT資通訊安全機制的防護，尤其是關鍵基礎設施單位，大家要有更警覺性自問「內外網隔離是否是真的安全? 」。

台灣自七十年代後，突飛猛進躍入高科技製造工業場域，至今我們大家有目共睹。製造生產的企業廠商，電子半導體、石化、鋼鐵、能源等產業，在國際地位上，享有一定的名聲，尤其是半導體產業。

國內製造產業從代工、研發、製造生產，大部分重度使用工業控制系統(Industrial control system, ICS)，是透過ICS電子科技方式來管理工廠的生產、製造、營運等，隨著網路科技技術的擴延，工業控制系統ICS從早期封閉專屬性的運作環境，逐步整合至今的企業網路架構內，當內網與外網路相連之際時，此刻製造業也與攻擊者的距離愈來愈近成為勒索的目標。

多事之秋時期  製造業一路挺過來

依稀記得，十年前被大家號稱為最惡病毒Stuxnet(震網)，當時伊朗核電廠受到Stuxnet病毒的感染最為嚴重，受感染的標的物為西門子自動化資料採集與監視系統（Supervisory Control And Data Acquisition，SCADA），因為當時這起威脅事件，大家逐漸開始反思「所謂封閉系統的安全無虞」，我還能相信嗎?
2021年迅速竄起的駭客集團Lapsus$，其攻擊目標專挑高科技廠，例如Nvidia、三星等，手法為採用善用人性弱點的社交工程攻擊手法，進入企業內的系統竊取機敏資料，並以勒索、威脅向受害企業，索取高額的贖金，只因駭客看中高科技產業的經濟量能。與民生、國家安危有關的關鍵基礎設施資安事件，2021年美國位於佛羅里達州的一家淨水廠，駭客從遠端入侵淨水廠內部的網路及電腦軟體程式，遙控調高淨水的化學濃度量劑，幸好當時及時被工作人員發現異常，未釀成無法挽回的大禍，萬一發生不幸所受波及的不僅是淨水廠的損失，更嚴重的一面，則是大眾人們生命的安危。

因此，無論是工業控制系統運作的安全與企業商業機密資料的保護，對製造業而言，至關重要，從生產、營運甚至到企業的商譽，均為重中之重的關鍵要素，無法等閒視之。

防禦威脅攻擊的腳步 你跟上了嗎?

威脅攻擊不再只是資訊科技IT（Information Technology），營運科技OT（Operational Technology）已是正在進行式發生中。根據報告指出，勒索惡意程式從感染到擴散只需四十五分鐘，這意味著我們安全防禦要更加的加快腳步。勤業眾信風險諮詢服務執行副總簡宏偉表示，企業內IT與OT資通訊安全機制的防護，尤其是關鍵基礎設施單位，大家要有更警覺性自問「內外網隔離是否是真的安全? 」。簡宏偉歸納幾點常見因為資安漏洞讓安全產生威脅的狀況，尤其製造業提供給大家參考自我檢測。

1. 機台汰換的過程中，是否有檢測機台的安全性，然後再進行安裝使用?
2. 生產檔案、機台設定檔案的安全性，是否有經過檢測?
3. 戰情室所進行的資訊蒐集、分析等與機台間串流，是採以單向還是雙向的傳輸?
4. OT機台和設備是否是與公司、工廠的IP基礎設施共用?
5. 企業、工廠，IT與OT平日安全流程上是否有確實執行資安防護的步驟?
   

以上五點答案是YES的企業，微乎其微，但是也不是做不到，而是我們要先建立一個思維，內外網隔離不一定是安全的觀念，駭客威脅的手法愈來愈精細與惡意軟體模組化，駭客集團特別喜愛針對製造業廠房機台設備，因為早期為傳統城堡式的資安防護對於目前的網安威脅防護力有限，因此，我們要思維的防護需要具備深層的縱深防禦，簡宏偉強調目前國內外極呼籲大家，資安的防禦思維Zero Trust零信任架構，也就是要破除大家對內外網隔離均是安全的執著思維。

聚焦零信任架構，導入三階段

零信任Zero Trust 簡要意涵就是八個字「永不信任，始終驗證」，企業帳戶最小權限化是防禦的根基，該如何賦予系統權限的使用，帳戶的應用連結關係等等，關乎企業資料保護安全控管機制建置的重要一環。對於企業網路系統建構零信任架構的方向，簡宏偉提醒企業可以階段性的導入，從三階段進行，第一階段身分認證、第二階段設備認證、第三階段信任推斷，這三階段依序導入目的是確保使用者、設備和使用者行為的一致性。因此，簡宏偉針對內外網隔離的安全性提供大家一個思考，企業不能單單聚焦考慮內外網隔離，而還要進一步聚焦企業內外網路系統的安全架構、思考零信任架構該如何設計，如何避免資料外洩與受到入侵威脅。

新興科技蓄勢待發 資安防護策略不可缺

這幾年，新興科技發展蓄勢待發，工業控制系統、車聯網、5G應用、物聯網、智慧製造與建築甚至醫療的議題，從資服業者的角度觀察，勤業眾信執行副總經理簡宏偉表示新興科技的發展中，含藏著許多要留意的安全重點，例如企業的網路安全策略的框架除了符規之外，是否還能強化自身企業的需求; 企業與上中下游廠商所串起的供應鏈，彼此的資訊安全該如何檢視與要求; 企業雲端上的應用該如何將雲端安全標準導入服務等等，這些與企業營運成長均息息相關。

根據勤業眾信年度「建構關鍵基礎設施的網路安全防護」報告中提到，因為數位化革命的帶動下，IT與OT的融合愈來愈緊密，駭客攻擊的風險急遽上升，將製造業視為勒索威脅的頭號目標。再者Deloitte亞太區資訊安全顧問團隊，發現近幾年高科技製造業所發生的威脅勒索攻擊的場域中，最常見的就是傳統式OT或ICS系統（關鍵基礎領域系統通常為十年以上系統），因此OT與工業控制系統(ICS)的安全保護戶與運作的安全機制是接下來幾年的重點工作，同時IT與OT之間的界線是彼此逐漸更加緊密的融合協作。

ISA/IEC 62443適用於各產業之工控網路安全標準

對於高度量能的新興科技，在資訊安全的種種威脅下，該如何防禦呢? 勤業安全顧問團隊建議企業可從三個面向著手，首先是企業內組織中的安全委員會或是安全團隊，將IT 與OT身分的成員均衡的納入團隊中，如此才能夠有雙向溝通與目標共識的前進。再來就是，事件通報的處理，尤其是第一時間，發生事件狀況當下，不分彼此(IT還是OT問題)，而是第一時間通報，以降低威脅風險的提高為優先考量，讓企業受損以最低限度為重。最後就是，資安標準的依循，例如，SEMI E187標準，這主要是針對機台設備系統、網路、端點安全等所制定的標準、針對汽車範疇網路安全考量的車聯網車輛網路安全ISO/SAE 21434標準，以及工業自動化和控制系統的國際安全標準的ISA/IEC 62443等。

以ISA/IEC 62443為例，ISA/IEC 62443為目前全球唯一，適用於各產業之工控網路安全標準，其中涵蓋面非單只針對管理面、設備面來制定標準，而是整體全面性包含管理、流程、技術與系統的標準設定，甚至到元件(component)技術安全的制定，因此讓工業應用的各環節角色人員，操作者、整合者及製造商都有其依循的標準規範，來降低風險。

最後，我們回應Deloitte亞太區資訊安全顧問團隊所言「專業團隊的努力達成，才是確保關鍵基礎架構免受資安威脅的要素」，所以，企業內的人員、流程和技術，既是建構安全基礎建設的三大支柱外，也是安全的關鍵核心。 IT與OT加油!

文章首圖來源: Photo by Nick Fewings on Unsplash