工業(yè)4.0浪潮推動全球製造業(yè)趨向智慧化,使得工業(yè)物聯(lián)網(wǎng)(IIoT)成為製造領域未來主軸的核心,而資訊技術(IT)與營運技術(OT)系統(tǒng)將提升製造數(shù)據(jù)效能最大化應用。此外,在工業(yè)環(huán)境中如何採取正確配置成為資安持續(xù)有效運作的重要挑戰(zhàn)。
工業(yè)4.0正快速推動全球製造業(yè)邁向智慧化,工業(yè)物聯(lián)網(wǎng)(IIoT)成為製造生產(chǎn)領域未來的核心主軸。隨著網(wǎng)路連線性的增加,工廠網(wǎng)路架構從封閉趨向開放,工業(yè)物聯(lián)網(wǎng)的運作結合企業(yè)中IT與OT兩大系統(tǒng),讓製造系統(tǒng)的資訊最大化應用,進而提升系統(tǒng)效能,兩大系統(tǒng)整合不容易,而整合後也須面臨過去自動化時代未曾遇過的各種問題,例如工業(yè)製造領域使用的虛擬與實體系統(tǒng)已高度聯(lián)結,透過物聯(lián)網(wǎng)使得越來越多生產(chǎn)設備具備IP功能,聯(lián)網(wǎng)設備不僅為製造生產(chǎn)帶來極大便利性,同時也形成更多資安破口,導致出現(xiàn)更多攻擊面,各類網(wǎng)路安全風險隨之而來。
當前的製造環(huán)境面臨過去未曾遇見的挑戰(zhàn),許多企業(yè)透過整合資訊技術(IT)與營運技術(OT)系統(tǒng),期望將製造數(shù)據(jù)最大化應用以提升效能,然而隨著IT與OT環(huán)境導入雲(yún)端、邊緣與5G,由於工業(yè)環(huán)境的運作方式與系統(tǒng)的轉(zhuǎn)型,製造生產(chǎn)管理系統(tǒng)的連網(wǎng)要求及創(chuàng)新架構更勝於以往,尤其在工業(yè)資訊安全方面,系統(tǒng)一旦出現(xiàn)漏洞,所產(chǎn)生的影響與傷害程度有可能遠高於現(xiàn)在的IT系統(tǒng)資安事件,尤其是勒索病毒與內(nèi)部威脅成為工業(yè)資安難以避免的問題,想要保護工業(yè)雲(yún)端與企業(yè)專網(wǎng),必須迎擊風險與解除威脅。
此外,企業(yè)也必須清楚IT與OT在資安環(huán)境的需求差異,IT資安著重於資料可用性、資料完整性與機密性;而OT資安重視設備的高可用性與使用安全性,兩者重視的環(huán)節(jié)不同,營運的網(wǎng)路架構與環(huán)境也不能如IT資安一貫處理。在實際IT+OT的資安監(jiān)控建議上,加強資安網(wǎng)段隔離、虛擬資安填補既有漏洞、建立適合廠辦人員的中央監(jiān)控平臺、針對網(wǎng)路流量與傳輸協(xié)定控管與定期進行惡意程式掃描,都是製造業(yè)在迎接物聯(lián)網(wǎng)時代必須了解且應對的實際措施。
| 圖一 : IT資安著重於資料可用性、資料完整性與機密性;而OT資安重視設備的高可用性與使用安全性,兩者重視的環(huán)節(jié)不同。 |
|
OT系統(tǒng)特性與資安盲點
營運技術(OT)系統(tǒng)作為製造的核心,對於穩(wěn)定性及即時性要求極高,並需應對高度干擾環(huán)境及特殊通訊協(xié)定。然而,過往OT系統(tǒng)以封閉架構運作,未與外部系統(tǒng)相連,導致資安意識相對薄弱。隨著自動化及智慧製造的興起,形成越來越多設備開始連網(wǎng),製造系統(tǒng)變得開放且暴露於潛在威脅中,單靠部署防火牆已不足以應對現(xiàn)今的重重威脅。
自2010年起,包括震網(wǎng)(Stuxnet)和工業(yè)毀壞者(Industroyer)在內(nèi)的攻擊事件,顯現(xiàn)出針對工業(yè)控制系統(tǒng)(ICS)的精準威脅,導致對企業(yè)生產(chǎn)造成重創(chuàng)。根據(jù)美國ICS-CERT的研究,關鍵製造業(yè)與能源產(chǎn)業(yè)受到的網(wǎng)路攻擊數(shù)量遠高於其他產(chǎn)業(yè),顯示整合後的OT與IT系統(tǒng)亟需加強資安防護。
根據(jù)2024年Fortinet針對全球550名營運技術(OT)專業(yè)人員進行OT與網(wǎng)路資安現(xiàn)況調(diào)查。隨著OT組織不斷在其業(yè)務環(huán)境中整合各種數(shù)位工具和技術,它們面臨的安全挑戰(zhàn)也日益變得愈加複雜和多樣化。安全解決方案在解決典型 IT 系統(tǒng)中的一些問題,但將這些相同的解決方案引入不同的OT環(huán)境時,必須採取特殊的預防措施。在某些情況下,需針對OT環(huán)境量身訂做新的安全解決方案。根據(jù)報告顯示,在過去的一年,組織在OT安全態(tài)勢以及對基本工具和能力的投資方面顯著的進展。然而,在之後IT/OT融合環(huán)境中,要有效管理日益頻繁的威脅攻擊,組織的網(wǎng)路安全防護能力仍存在巨大提升空間。
從眾多的威脅型態(tài)與趨勢可歸納出三個要素:1.在過去的一年間,威脅入侵頻率及其對組織的負面影響均有所提升;2. OT網(wǎng)路安全的管理責任正逐漸提升至執(zhí)行管理階層;3.關鍵領域的OT安全態(tài)勢趨於成熟,但仍是一項亟待組織進一步關注並投入努力的工作。當前環(huán)境的OT風險管理動態(tài)性和難以預測的挑戰(zhàn),提供組織幫助優(yōu)化其自身的OT安全態(tài)勢。
IT與OT資安策略的挑戰(zhàn)
IT與OT融合已促使許多工業(yè)領域廠商邁向數(shù)位轉(zhuǎn)型,若要有效管理這類環(huán)境的風險,IT和OT資安營運(SecOps)必須相互融合。有半數(shù)企業(yè)目前已設置SOC並掌握一定程度的ICS/OT可視性。然而即便是SOC規(guī)模較大,在OT環(huán)境能提供資料供偵測用途應用仍然有限。
由於OT系統(tǒng)以「可用性」為核心,重視設備運轉(zhuǎn)時間與生產(chǎn)效率,而IT資安則以資訊的「機密性」與「完整性」為優(yōu)先。這種思維差異導致許多IT資安方案難以直接套用於OT環(huán)境,甚至因網(wǎng)路配置調(diào)整等需求影響生產(chǎn)線運行,讓OT管理者面臨無法採用有效資安方案的困境。
隨著網(wǎng)路資安平臺服務加入新的雲(yún)端風險管理功能,能夠為企業(yè)帶來更多的價值,讓企業(yè)將網(wǎng)路資安作業(yè)彙整,提供一個涵蓋整體混合IT環(huán)境的全方位雲(yún)端資安風險檢視。將增強型雲(yún)端安全態(tài)勢管理 (CSPM)工具和容器執(zhí)行時期漏洞防護功能整合,用以解決修復基於雲(yún)端的系統(tǒng)和基礎設施(IaaS、SaaS、PaaS)中的錯誤配置的日益複雜和眾多的需求,協(xié)助客戶更妥善管理整個雲(yún)端可攻擊面的風險。這些強化功能是Trend Vision One策略的一環(huán),目的是要從單一平臺提供涵蓋整個IT與OT環(huán)境的可視性、控管與風險管理。
除了可視性不足之外,營運資安從IT延伸至ICS/OT環(huán)境的人員與流程挑戰(zhàn)中,其實出現(xiàn)許多的阻礙跟工作人員有密切關係,例如讓IT人員接受OT資安訓練不足,相關部門之間的溝通不良,無法聘任及留任熟悉網(wǎng)路資安的人員,讓OT人員接受IT訓練造成跨IT與OT領域風險。此外,老舊設備與網(wǎng)路的限制、IT技術並非針對OT環(huán)境設計,以及IT人員缺乏OT知識是資安營運可視性的三大挑戰(zhàn)。
根據(jù)Fortinet發(fā)布的《2023 下半年全球資安威脅報告》顯示,去年下半年,針對工業(yè)控制系統(tǒng)(ICS)和OT的攻擊數(shù)量已呈逐步上升趨勢,半數(shù)受訪組織均表示曾遭受漏洞利用攻擊,其中以能源和公用事業(yè)部門為主要攻擊目標。調(diào)查顯示有越來越多組織正遭受數(shù)量龐大的攻擊。
隨著資安事件的數(shù)量和衝擊節(jié)節(jié)攀升,再加上駭客採用AI來提高詐騙成效並擴大攻擊規(guī)模,主動式資安風險管理已成為企業(yè)營運的重要關鍵。由於OT涵括關鍵基礎設施、醫(yī)療保健系統(tǒng)和製造營運系統(tǒng),因此對於全球各地的企業(yè)和政府都至關重要,而OT和ICS系統(tǒng)不可或缺的特性,也承載著資訊安全的高風險。隨著OT網(wǎng)路環(huán)境變得詭譎多變,OT的安全目標將完整性可用性和機密性視為優(yōu)先考量。2024年針對OT與網(wǎng)路資安現(xiàn)況調(diào)查顯示,OT安全在許多組織中已逐漸趨於成熟。然而企業(yè)組織在遭遇更多次的威脅入侵之際,為了扭轉(zhuǎn)情勢,必須加強保護敏感的OT系統(tǒng),並為有效的、專門建構的安全架構合理地分配資源。
由 CISO(首席資訊安全長)推動OT安全發(fā)展的組織數(shù)量穩(wěn)定增長,從2022年的10%到2023 年的17%,再到2024年的27%。在去年的趨勢發(fā)生逆轉(zhuǎn),那些不打算在未來12個月內(nèi)將OT安全管理權移交至CISO的組織,從2022年的11%下降至去年的4%,但2024年又回升至12%。預計在未來一年將由首席資訊安全長負責網(wǎng)路安全。根據(jù)此次調(diào)查結果,OT網(wǎng)路安全的最終管理權正從OT網(wǎng)路安全總監(jiān)逐步轉(zhuǎn)向高階主管層級的網(wǎng)路工程/營運副總裁/總監(jiān),這種管理權轉(zhuǎn)移意謂著OT安全正逐漸上升為重大事項,凸顯在企業(yè)營運和治理中的關鍵地位。
| 圖二 : 近年來全球企業(yè)因駭客攻擊入侵事件而遭受的負面影響均呈現(xiàn)全面上升趨勢。(來源:Forninet;2024/08) |
|
駭客攻擊導致製造供應鏈停擺
網(wǎng)路犯罪分子手法不斷翻新,勒索軟體與釣魚攻擊仍然是當前最主要的網(wǎng)路威脅。這類攻擊常利用社交工程和惡意軟體滲透企業(yè)系統(tǒng),導致敏感資料外洩或關鍵業(yè)務停擺。企業(yè)需要面對的挑戰(zhàn)已不僅限於傳統(tǒng)IT環(huán)境,雲(yún)端服務的普及進一步擴大了攻擊面,增加了風險管理的複雜性。因此,網(wǎng)路安全風險管理被企業(yè)視為核心議題。
針對OT與IT整合後的資安需求,從縱深防禦到協(xié)同解決方案,廠商開始研發(fā)專屬於工業(yè)環(huán)境的防護措施。以四零四科技(Moxa)為例,其工業(yè)資安方案涵蓋設備安全防護、網(wǎng)路架構防護及網(wǎng)路安全管理三大層面。相關產(chǎn)品包括符合國際標準IEC-62443的設備與工具,並針對OT人員操作習慣設計直觀的管理介面,協(xié)助快速布署資安功能。
此外,TXOne Networks(睿控網(wǎng)安)著重工業(yè)物聯(lián)網(wǎng)資安,以半導體晶圓廠、製造業(yè)為主要客戶,專注於開發(fā)針對工業(yè)環(huán)境的入侵防護系統(tǒng)(IPS),可提供如虛擬修補及通訊協(xié)定白名單功能,進一步提升系統(tǒng)資安防護能力。產(chǎn)品系列以OT環(huán)境方便部署為主要設計導向、可運用在不同使用環(huán)境。TXOne Networks的虛實整合系統(tǒng)(Cyber-Physical Systems;CPS)防護平臺SageOne,SageOne涵蓋CPS攻擊面管理、整合式生命週期防護和CPS威脅偵測及回應的三大關鍵引擎,能夠提供整合式OT防護,完整涵蓋受保護物件的生命週期,提供可靠的威脅偵測及回應,以利CPS威脅偵測及回應協(xié)調(diào)。TXOne Networks執(zhí)行長劉榮太提到TXOne能夠?qū)⒐た厍榫臣{入產(chǎn)品設計思維,進一步增強現(xiàn)有針對「已知威脅」的工具,探測出高度可疑的威脅前導訊號,並且加入工控的情境判斷,大幅降低假警報,及時發(fā)現(xiàn)工控領域中的威脅。
惡意攻擊行為對全球製造供應鏈帶來的衝擊加劇,駭客組織攻擊手法不斷迭代更新,根據(jù)TXOne Networks研究,自動化產(chǎn)線因勒索軟體攻擊致使停擺的平均時間為21天,每次停擺平均將造成高達280萬美元的財務損失。劉榮太指出,駭客攻擊目標逐漸轉(zhuǎn)向高產(chǎn)值、高風險的OT場域,相關性產(chǎn)業(yè)都可能成為攻擊對象。他觀察分析近年來發(fā)生的545起案件,顯示駭客集團近三年幾乎將製造業(yè)列為攻擊產(chǎn)業(yè)首位,主要是製造業(yè)為產(chǎn)業(yè)命脈,而製造業(yè)設備長期運作致使老舊程度也偏高。劉榮太指出,全球逐步對OT資安達成共識,而製造業(yè)成為駭客攻擊的主要目標。由於垂直應用領域多元,使得企業(yè)在OT資安布局考量方面更加錯綜複雜。IT與OT環(huán)境同樣追求安全目標,但在執(zhí)行方式執(zhí)行順序及資安部署策略截然不同。
| 圖三 : TXOne Networks執(zhí)行長劉榮太指出全球逐步對OT資安達成共識,而製造業(yè)成為駭客攻擊的主要目標。(來源:TXOne Networks) |
|
網(wǎng)路攻擊手法新威脅
隨著網(wǎng)路犯罪者利用新技術和策略轉(zhuǎn)移攻擊,整體情況變得更加複雜,致使整個攻擊面的可見度變得更具有挑戰(zhàn)性。觀察許多從雲(yún)端服務和網(wǎng)路攻擊威脅的資安事件,惡意軟體和漏洞利用是IT和系統(tǒng)管理員、開發(fā)人員和營運團隊必須應對的主要威脅。而從網(wǎng)路的攻擊威脅手法可區(qū)分為數(shù)據(jù)和風險兩層面:一是威脅數(shù)據(jù),包括通常衡量使用者面臨的威脅的普遍性和嚴重性,分析威脅本身,攻擊或攻擊企圖已經(jīng)發(fā)生;二是風險數(shù)據(jù),包括影響攻擊可能性和影響的因素,考慮威脅偵測、系統(tǒng)配置、惡意活動、帳戶和網(wǎng)路安全等,提供有關攻擊或攻擊嘗試的可能性見解。
在面對勒索軟體時宜採取資安零信任,在未驗證、確認可信度前,無一個連線、用戶或資產(chǎn)值得信任,零信任結合不同原則與技術,盡量減少敏感基礎設施的暴露,如此能夠偵測和緩解試圖在允許的流量上搭便車的已知與未知威脅,並且對傳統(tǒng)或未修補的人機介面控制系統(tǒng)中的未知漏洞進行保護,也能夠減少數(shù)據(jù)外洩的風險。
此外,人工智慧(AI)技術的進步也為攻擊者帶來新工具。例如AI技術可以針對不知情的受害者進行危險的、令人信服的模仿,以AI為基礎衍生的詐騙手法,預測未來這種半自動化詐騙的攻擊手法將持續(xù)翻新技巧,並且進行更高效的社交工程攻擊,對企業(yè)構成嚴峻挑戰(zhàn)。攻擊威脅主要來自於三項因素:無意暴露的生物識別資訊、洩漏和破壞的PII(特別是來自勒索軟體攻擊)以及不斷增長的人工智慧能力。而公開存取的資料儲存和濫用合法工具將成為熱門目標和技術,成為擾亂企業(yè)營運和用戶安全的首要問題。
當企業(yè)在選擇新的資安解決方案時,除了須與現(xiàn)有工具整合,並且能將流程化繁為簡外,也應將可視化程度及安全稽核考量在內(nèi)。可視化功能可清楚分析流量,提供安全工程師需要知道的一切,以利於偵測、發(fā)現(xiàn)、評估並作決策。安全稽核則可對網(wǎng)路可能面臨的最嚴苛條件,進行模擬,並對網(wǎng)路進行包括安全的自我攻擊等資安壓力測試。
攻擊者模式:雲(yún)端環(huán)境中的資料滲透風險升高
隨著雲(yún)端技術的廣泛應用,攻擊者針對雲(yún)端環(huán)境的滲透策略日益精密,加上人工智慧、機器學習及物聯(lián)網(wǎng)等技術發(fā)展,為企業(yè)資安帶來前所未有的挑戰(zhàn)。近期分析顯示,攻擊者通常以提取和外傳敏感資料為主要目標,對組織造成嚴重的財務與聲譽損失。
攻擊者的策略通常從列舉雲(yún)端資源開始,他們會鎖定如RDS和DynamoDB等資料庫,以及其他託管服務以辨識高價值資料。一旦確定目標,便利用漏洞或薄弱的存取控制進行資料竊取,隨後將這些敏感資訊傳輸?shù)酵獠克欧鳌Υ鎺旎蚱湔瓶氐钠渌鸄WS帳戶。這不僅威脅機密資訊與智慧財產(chǎn)權的安全,還可能導致客戶資料外洩,對企業(yè)造成深遠影響。
此外,攻擊者在初次存取成功後,往往進一步在雲(yún)端環(huán)境內(nèi)橫向移動,鎖定更多資源和服務,進行更大範圍的惡意活動。他們可能利用不同的權限和方法來規(guī)避安全防護並逃避偵測,使攻擊難以察覺。這種行為讓組織的資安風險呈現(xiàn)幾何級數(shù)增長。「存取危險的雲(yún)端應用程式」是趨勢科技「攻擊面風險管理」(ASRM)偵測到的頭號風險事件,偵測數(shù)量將近830億次。零時差漏洞中以Adobe是漏洞通報數(shù)量最多的廠商,PDF則是散布最多的垃圾郵件附檔類型。而Mimikatz(用於蒐集資料)與Cobalt Strike(用於幕後操縱)依然是駭客在從事犯罪時最愛使用的合法輔助工具。
針對這些威脅,專家強調(diào)攻擊面風險管理的重要性。企業(yè)應定期評估可能的攻擊領域,識別漏洞並依優(yōu)先順序進行修補。透過針對性策略來改善薄弱環(huán)節(jié),不僅能有效分配資源,還能提升整體防禦能力。雖然實現(xiàn)全面安全需要相當?shù)馁Y源投入,但優(yōu)先保護最容易遭受攻擊的用戶與設備將能事半功倍。面對日益複雜的攻擊模式,企業(yè)必須採取積極的資安策略,才能確保雲(yún)端環(huán)境的穩(wěn)定與安全。
多雲(yún)策略的挑戰(zhàn):錯誤配置的溫床
現(xiàn)代雲(yún)端和容器環(huán)境日益複雜,導致錯誤配置的普遍存在。例如許多公司正採用多雲(yún)策略。Enterprise Strategy Group (ESG) 指出,2023年雲(yún)端偵測與回應調(diào)查指出,69%的企業(yè)至少使用三種不同的CSP,而83%的企業(yè)已將其生產(chǎn)應用程式遷移到雲(yún)端。隨著這種遷移的不斷加速,並且每個CSP都各自有一套配置和安全控制,這使得安全維護管理功能在所有平臺上保持一致的安全態(tài)勢變得充滿挑戰(zhàn)。隨著公司越來越依賴多個 CSP,更加提升支援可擴展性和流程自動化的強大雲(yún)端偵測和回應 (CDR) 解決方案的需求。
| 圖四 : 目前有多家組織越來越多地採用多雲(yún)策略,然而也存在一些擔憂。(來源:趨勢科技;2024/11) |
|
在雲(yún)端環(huán)境架構佈署雲(yún)端解決方案的目標,在於能夠從程式碼到雲(yún)端安全方面確實了解整個雲(yún)端原生應用程式生命週期的全面、統(tǒng)一的可見性和控制,以及了解每個風險、事件和主動威脅的可用性和影響程度,簡化風險預防並提供運行時最佳保護,還有促進雲(yún)端開發(fā)、營運和安全團隊進行良好的協(xié)作。因此,需要利用人工智慧、機器學習以及行為和人類分析來檢查網(wǎng)路流量和即時分析的方法,為企業(yè)建立資訊安全管理的自動化工具,使企業(yè)能夠自動偵測異常和惡意攻擊者活動,在攻擊生命週期的早期就找到攻擊者行為的洩漏後證據(jù)。
TXOne Networks與製造業(yè)者及關鍵基礎設施營運商合作,開發(fā)出實用且對工業(yè)營運環(huán)境友善的資安防禦來保護工業(yè)控制系統(tǒng)(ICS)與營運技術(OT)環(huán)境。許多OT垂直領域的企業(yè)在TXOne Networks的協(xié)助下建置專為OT場域量身訂作的專屬防禦,以多層次的觀點配合工控設備的完整生命週期。
結論
智慧製造的推進雖帶來生產(chǎn)效能的突破,但同時也敲響了資安的警鐘。製造業(yè)者必須在效率與安全之間找到平衡,從OT與IT專業(yè)領域協(xié)同合作,建立堅實的防禦體系,以確保智慧化進程中的系統(tǒng)穩(wěn)定與資安無虞。
未來企業(yè)除了遵守ESG與永續(xù)經(jīng)營指標外,高度聯(lián)網(wǎng)的工控資安也將成為受矚目的重要項目,在數(shù)位轉(zhuǎn)型的同時,有效營運與安全的傳輸環(huán)境息息相關,如何避免資安威脅企業(yè)資產(chǎn),則仰賴企業(yè)能否建立全面安全架構主動防禦,擁有必要的工具可為任何規(guī)模的廠商提供持續(xù)而準確的資安風險管理。
