工業控制系統(Industrial Control System, ICS)通常指產業部署於公用設施(瓦斯和水電)與製造用途(例如天然資源與能源處理,以及製藥)之解決方案,藉由傳輸數值活動等監督指令,與感測器互動並收集運作環境相關資料,進而對遠端裝置進行集中管理。與現場設備及工業控制系統交換資料以達到監測目的,也是工業控制系統應用的要點之一。
工業控制系統的安全涉及工業生產管理機制中各種不同垂直層面所使用的子系統,包括資料採集與監控系統(SCADA)、可編程邏輯控制器(PLC)以及分散控制系統。
| 圖1 : 隨著技術不斷整合與外部網絡的連結,造成安全風險日益增加,SCADA也是受波及的範圍之一。(Source:www.wwdmag.com) |
|
安全問題的起源
安全問題對工業控制系統之影響日增,有很大一部分是出於工業控制系統與外部網絡或系統之間隔絕的程度愈來愈低,此外,現在的工業控制系統也愈來愈容易受到攻擊。這波變化的重點在於,市場開始出現對IT系統與OT(Operational Technology;操作技術)整合,還有遠端無線連網技術的需求。
一開始,威脅多數來自有權存取實體設備的內部人員,這些設備受到保護且未連結網路。但隨著工業控制系統開始對外部實體或無線網路與裝置大開門戶,增加並整合資安控制功能與最佳實作範例的需求因而增加,以反制日漸增加的IP或其他連網式外部攻擊。
系統暴露於外來威脅的程度日增、網路犯罪動機更強烈且技術越趨高明,再加上攻擊一旦成功可能嚴重損害重要架構,都促使各界加強對工業控制系統安全的重視與投資。不過,攻擊所造成的傷害不一定都是金錢上的損失,基於工業控制系統環境的本質,還有這些系統所支援的各種活動,像是水、電、核能發電等能源轉換與公用事業相關服務,代表這些攻擊事件可能置眾人生命於險境。
市場結構趨勢
工業控制系統安全市場由各種供應商所組成,以下將依類別予以介紹。
*特殊工業控制系統工具供應商
這一類的技術供應商專門提供OT安全產品組合。控制範圍涵蓋網路、端點與其他基礎架構層面。
*跨平臺安全供應商
許多專精於資安領域的供應商也開始針對工業控制系統開發專業技術。有的廠商重新定位現有產品,專門針對工業控制系統開發一套產品導入方法,像很多網路安全設備商就是採取這種模式。其他業者則是在既有IT安全產品組合以外新增專用工具。
*工業控制系統供應商的獨立式安全工具
對進階安全控制功能的需求日增,已促使各大知名工業控制系統平臺供應商推出安全工具,以便整合自家的主要工業控制系統產品。這類產品的控制範圍涵蓋端點安全、網路安全及身分識別與存取管理(IAM)。工業控制系統供應商亦開始投資專攻獨立式安全工具的業者,整合產品抑或是直接尋求購併。
*購併活動可望增溫
工業控制系統領域的購併活動近來相當活絡。由於不同產業的企業組織都有提升工業控制系統安全的需求,我們預期相關併購活動將持續增溫。
增進工業控制系統安全的技術方法
工業控制系統安全市場仍未成熟且持續演化。目前已有各種工具供企業組織選用,從專業安全網路與端點工具,到資安事件管理(SIEM)、網路防火牆、入侵預防系統(IPS)設備等比較傳統的資安控制產品,能迎合工業控制系統環境各種特定需求。
最有效且最受歡迎的安全控制應用方法就是從網路層面著手,藉由科技協助完成隔離、資安與存取控制,尤其適用於原本就未內建安全功能的工業控制系統。還有其他形式的安全技術可以補強以網路為基礎的資安途徑。
端點安全
專業工業控制系統安全供應商亦提供各式各樣可應用於端點層的安全控制產品,以及比較傳統的IT安全產品。
*應用程式白名單(application whitelisting)為可保護工業控制系統端點不受針對型網路攻擊(targeted cyberattack)侵害的方法。它能控制與限制系統執行應用的種類,可有效降低惡意或未及時更新(unpatched)應用程式所可能帶來的風險。
*端點通訊埠保護是工業控制系統安全領域裡另一個專門項目。首個針對工業控制系統的Stuxnet病毒攻擊事件突顯了透過USB連接埠導入惡意程式所形成的弱點,確實可能讓工業控制系統的隔離保護出現漏洞。掃描可攜式儲存裝置是否含有惡意軟體,是企業組織目前用來有效防護新型態威脅的分層式防護政策之一。
| 圖2 : (Source:www.utilities-me.com) |
|
身分識別與存取管理
身分識別與存取管理屬於傳統安全領域,對工業控制系統安全來說也是一個相當重要的層面;部分現有工具主要針對工業控制系統環境而開發。其他產品原本即針對傳統身分識別與存取管理IT解決方案,提供專門工業控制系統功能。目前既有的身分識別與存取管理控制實際案例如下:
*工業控制系統環境的存取控制功能,能提供存取控制政策管理功能,還可驗證工業系統的不同組成構件。
*特權存取管理工具提供了一個安全的方式,以控制調度並監測具有特權的工業控制系統帳號。這通常是源於賦予特權使用者更多存取權力而引發高風險。
以網路為基礎的工業控制系統安全專家設備
要在工業控制系統平臺中新增一個安全層,常用的方法之一就是專門針對網路層部署安全工具。當舊有系統無法進行直接管理,這種以網路為基礎的安全機制能提供最有效的方法、提供高度擴充功能,並創造一個存取控制點,以套用監測並執行身分以及存取控制功能。
相關領域的供應商可提供各種功能,部分業者專攻工業控制系統基礎架構,有的則出身傳統IT資安界。功能案例包括:
*資料二極體(data diode)的概念,就是用硬體設備引導單向網路流量,確保資料向周邊外部而非內部輸送。如此一來就能形成某種形式的隔離效果,阻擋來自外部的惡意流量。
*專家設備提供網路監測與搜尋,分析資料流程以偵測出可能造成網路攻擊的異常行為或組態。
*另一種網路安全方法則是劃定安全區域,隔絕網路構件或可編程邏輯控制器(PLC)群組。如此一來,就能應用那些常見於工業控制系統基礎架構環境其中一部份或群組的特定安全政策。
安全資訊事件管理
部署資安事件管理技術仍然是事件監測、回報與警示的常用方法。主流資安事件管理工具往往採用一般關鍵基礎建設防護(CIP)策略來收集事件資料,但部分供應商已開始將焦點放在CIP-ICS相關的專家需求,部分案例更與專業工業控制系統安全供應商合作。不過,專門針對特定工業控制系統安全使用案例提供資安事件管理技術,目前仍屬發展初期。
新推出的相關方案,尤其是針對中東地區公用事業與能源供應商設計的案子,配備了次世代安全作業中心,且採用安全分析解決方案而非資安事件管理工具;然而,資安事件管理仍用在較為困難繁重的項目,而資安事件管理供應商多半會提供北美電力可靠度委員會(NERC)回報功能。
威脅情報
收集與提供威脅情報的技術仍在發展當中,尤其是在關鍵基礎建設防護以及工業控制系統領域。網路安全設備供應商已開始擴大產品範疇,開始加入來自工業控制系統網路的安全事件與特徵資料(signature data),這是因為入侵預防系統與防火牆設備已經開始整合來自各種工業控制系統協議的攻擊特徵,例如Modbus通訊協定、分散式網路通信協定(Distributed Network Protocol)以及控制中心通訊協定(Inter-Control Center Communications Protocol)。
還有很多專事工業控制系統安全領域的供應商,專門為來自工業控制系統網路的智慧型資料開發工具與服務,希望導入工業控制系統協定的深度專家分析與威脅情報。隨著IT與OT整合進而逐漸匯流,市場將會出現需求,在主流威脅情報摘要裡提供物聯網/OT安全情報。我們因而預測,到了2017年將有30%的威脅情報服務包含來自物聯網的垂直市場安全情報。
弱點評估
弱點評估是另一個傳統安全領域,與工業控制系統範疇有部分關聯性。了解潛在弱點是完備安全策略的一環,有助於集中心力與資源,達成將風險降至最低的目標。這一點跟工業控制系統領域特別有關聯,因為隨著OT與IT匯流程度日增,惡意攻擊者也逐漸將注意力轉移到如何找出其中弱點並加以利用。
許多大型工業控制系統供應商都整合了弱點評估功能,作為安全解決方案產品的一部份。
(本文作者現任職於Gartner研究總監)
