工業(yè)物聯(lián)網(wǎng)的演進(jìn)將製造業(yè)智慧生產(chǎn)的願(yuàn)景具體落地。不過(guò)當(dāng)新技術(shù)導(dǎo)入的同時(shí),廠域網(wǎng)路除了邁入新階段應(yīng)用外,惡意攻擊或非法侵入的問題也伴隨著而來(lái)。
在過(guò)去十年中,透過(guò)網(wǎng)路對(duì)智慧工廠的惡意攻擊案例愈來(lái)愈多,造成許多世界級(jí)的大廠陸續(xù)受害。例如在2005年,澳洲的荷頓車廠,因?yàn)槭艿絑OBOT病毒的攻擊,導(dǎo)致被迫中斷生產(chǎn)數(shù)個(gè)小時(shí),估計(jì)造成600萬(wàn)澳幣的損失;而2010年又出現(xiàn)了名為「Stuxnet」的病毒,無(wú)情的瘋狂攻擊透過(guò)架構(gòu)在PLC或RTU的SCADA系統(tǒng)。
這樣的攻擊事件不勝枚舉,隨後還有Triton、Palmetto Fusion、Dragonfly等等的病毒或惡意植入,造成了美國(guó)的電力公司、德國(guó)的鋼鐵廠及沙烏地阿拉伯的煉油廠巨大的停工損失。
在智慧生產(chǎn)網(wǎng)路趨勢(shì)下,5個(gè)傳統(tǒng)OT環(huán)境的安全弱點(diǎn)
| 圖1 : 四零四科技(MOXA)亞太區(qū)物聯(lián)網(wǎng)解決方案處產(chǎn)品行銷經(jīng)理郭彥徵(攝影:林鼎皓) |
|
四零四科技(MOXA)亞太區(qū)物聯(lián)網(wǎng)解決方案處產(chǎn)品行銷經(jīng)理郭彥徵歸納了目前OT有幾個(gè)潛在的資安問題,分別是「OT的灰色地帶」、「不安全的身份驗(yàn)證」、「不安全的協(xié)議」、「缺乏保護(hù)的設(shè)備」,以及「不安全的第三方軟體」等,這5個(gè)OT環(huán)境的安全弱點(diǎn)。這些都是目前MOXA在與客戶討論或解決資安問題時(shí),所深深感受到的各種資安風(fēng)險(xiǎn)的因素。
| 圖2 : 傳統(tǒng)OT環(huán)境的安全弱點(diǎn) |
|
OT的灰色地帶
在IT的世界裡,多數(shù)的作業(yè)環(huán)境都是以Windows作業(yè)系統(tǒng)為主,MIS透過(guò)各種監(jiān)控工具可以相當(dāng)容易掌握目前有哪些功能軟體正在運(yùn)行,也有專責(zé)人員負(fù)責(zé)監(jiān)管資安風(fēng)險(xiǎn)。但是對(duì)於追求生產(chǎn)效率的OT人員來(lái)說(shuō),時(shí)常於相對(duì)扁平的工廠網(wǎng)路中加入更多設(shè)備及網(wǎng)路節(jié)點(diǎn)。過(guò)去OT於網(wǎng)路建構(gòu)、設(shè)備管理,甚至資安規(guī)劃相對(duì)著墨較少,而不同廠牌生產(chǎn)設(shè)備的韌體設(shè)計(jì)各異,常讓管理者無(wú)法得知潛在資安風(fēng)險(xiǎn),以及該如何提升自我的防護(hù)能力。
不安全的身份驗(yàn)證
郭彥徵分析說(shuō),在IT的網(wǎng)路環(huán)境中,對(duì)身分權(quán)限管理是相當(dāng)重視的,常見以相當(dāng)多的認(rèn)證機(jī)制嚴(yán)謹(jǐn)?shù)毓芸厣矸謾?quán)限。不過(guò),傳統(tǒng)的OT環(huán)境架構(gòu),著重系統(tǒng)的順暢運(yùn)行,面對(duì)資安的風(fēng)險(xiǎn)問題相對(duì)較低。因此在認(rèn)證權(quán)限方面容易忽略,產(chǎn)生許多不安全的連線,讓廠內(nèi)的人員或是設(shè)備商的技術(shù)人員,只要利用電腦,就能毫無(wú)困難的登入生產(chǎn)設(shè)備,或者廠內(nèi)的作業(yè)網(wǎng)路中。
不安全的協(xié)議
一般生產(chǎn)設(shè)備之間的工業(yè)通訊協(xié)定,因發(fā)展較早,並未考量與設(shè)計(jì)網(wǎng)路安全的相關(guān)功能。例如只要持有內(nèi)建Modbus通訊協(xié)定的電腦,就能透過(guò)Modbus對(duì)生產(chǎn)設(shè)備發(fā)出任何指令並執(zhí)行,這也是IT人員所深刻感受到的OT資安風(fēng)險(xiǎn)之一。
缺乏保護(hù)的設(shè)備
MOXA發(fā)現(xiàn)的另一個(gè)潛在資安憂慮,在於OT人員擔(dān)心韌體更新後,有可能對(duì)原來(lái)的程式或作業(yè)產(chǎn)生相容性問題,導(dǎo)致設(shè)備運(yùn)轉(zhuǎn)出現(xiàn)異常。因此即使OT人員知道更新韌體可對(duì)設(shè)備資安帶來(lái)更高一層的保護(hù),仍不希望改變?cè)O(shè)備中的韌體。雖然OT人員追求的是產(chǎn)線上的設(shè)備能平順運(yùn)轉(zhuǎn),但從長(zhǎng)期專注於資安議題的MOXA來(lái)看,這是相當(dāng)危險(xiǎn)的狀態(tài)。
不安全的第三方軟體
最後郭彥徵提到,也有相當(dāng)多的資安問題來(lái)自於受認(rèn)證的廠商或員工,無(wú)意間將已被感染惡意程式的電腦連上廠內(nèi)設(shè)備,讓惡意程式漫佈在整個(gè)OT網(wǎng)路中。甚至更進(jìn)一步再繼續(xù)感染其他的電腦,擴(kuò)散到另一間工廠或生產(chǎn)線上的設(shè)備。
即使是單純的網(wǎng)路設(shè)備,也必須擁有資安的DNA
MOXA長(zhǎng)久專注於發(fā)展高度專業(yè)的網(wǎng)路設(shè)備產(chǎn)品,但MOXA認(rèn)為即使是網(wǎng)路角色單純的工控設(shè)備,也必須擁有資安的DNA。從設(shè)備安全性來(lái)看,第一個(gè)考量點(diǎn)就是設(shè)備本身不會(huì)被攻擊或侵入,以今天的標(biāo)準(zhǔn)而言,工控資安標(biāo)準(zhǔn)IEC-62443其中的IEC-62443-4-2項(xiàng)目就對(duì)規(guī)範(fàn)了設(shè)備資安功能,確保工控設(shè)備的自我防護(hù)能力。
有鑑於此,MOXA非常早就開始研發(fā)符合工業(yè)網(wǎng)路的IEC 62443-4-2安全準(zhǔn)則的網(wǎng)通設(shè)備。除了強(qiáng)化網(wǎng)通設(shè)備資安防護(hù)能力外,MOXA還針對(duì)不同產(chǎn)品進(jìn)行了各種獨(dú)特性設(shè)計(jì),藉由本身的功能性來(lái)提供保護(hù)。例如MOXA在市場(chǎng)上已經(jīng)銷售相當(dāng)多Serial to Ethernet序列/網(wǎng)路轉(zhuǎn)換器產(chǎn)品。其中的NPort 6000系列產(chǎn)品就提供了獨(dú)特的資安功能,當(dāng)訊號(hào)從Serial傳送到Ethernet端時(shí)會(huì)進(jìn)行SSL/TLS加密,而在電腦端接收訊號(hào)後,必須進(jìn)行解密,才能成功的接收完整指令。此外還有像交換機(jī)內(nèi)Port Lock網(wǎng)口管控、針對(duì)資訊傳輸?shù)腁ccess Control List (ACL) 區(qū)域存取的功能性管理、防火牆、具加密功能的VPN等等,都是工業(yè)網(wǎng)路設(shè)備可以運(yùn)用的技術(shù)。
提供老舊生產(chǎn)設(shè)備也可以加入物聯(lián)網(wǎng)的重生機(jī)會(huì)
資安的最後一道防線就是管理,因此對(duì)於OT方面的管理操作,MOXA提供對(duì)每一部設(shè)備進(jìn)行檢查的Security Check 功能,掃視設(shè)備中IEC-62443-4-2建議的資安功能項(xiàng)目是否是否有被開啟。
簡(jiǎn)單而言,對(duì)於設(shè)備安全防護(hù)的檢查,Security Check會(huì)進(jìn)行三個(gè)步驟,第一是對(duì)設(shè)備中的功能項(xiàng)目進(jìn)行掃描,確認(rèn)IEC-6244-4-2資安功能是否被正確的開啟。其次是透過(guò)預(yù)設(shè)的資安Profile,自動(dòng)導(dǎo)入相關(guān)設(shè)備,令設(shè)備立即符合預(yù)期資安水準(zhǔn)。
監(jiān)控部分,MOXA也提供能自動(dòng)偵測(cè)OT網(wǎng)路狀況的MXview,快速偵測(cè)未知設(shè)備狀態(tài)、未知通訊連線的OT灰色地帶。
| 圖3 : 安全網(wǎng)路與資安應(yīng)用 |
|
最後,除了基於傳統(tǒng)網(wǎng)路方案加強(qiáng)的安全功能,MOXA更進(jìn)一步提出OT資安解決方案,從網(wǎng)路資安的考量作為規(guī)劃出發(fā)點(diǎn),再往下層逐步涵蓋到整體網(wǎng)路通訊產(chǎn)品,範(fàn)圍涵蓋了資安管理、網(wǎng)路資安防護(hù)、端點(diǎn)資安防護(hù)。依序?yàn)镸Xsecurity、EtherFire、EtherGuard等完整系列產(chǎn)品。首先 MXsecurity提供OT資安人員完整的資安訊息,包含資安攻擊/阻擋資訊及事件紀(jì)錄,及網(wǎng)路設(shè)備、連線、通訊協(xié)定的 可視化訊息。其次EtherGuard運(yùn)用了多項(xiàng)防護(hù)技術(shù),包含:針對(duì)IT/OT攻擊防禦的IPS/IDS整合方案,讓使用者可以在與關(guān)鍵工控設(shè)備連接的網(wǎng)路路徑上,自由選擇進(jìn)行主動(dòng)攻擊防護(hù)(IPS)或是被動(dòng)的異常告警(IDS),以及支援IT/OT通訊協(xié)定的深度包解析DPI(deep packet inspection)。最後EtherFire 運(yùn)用了相同的資安技術(shù),更加上了部分網(wǎng)路路由器及L3交換機(jī)功能,使其可以更廣泛的運(yùn)用在OT網(wǎng)路中進(jìn)行資安防護(hù)。
MOXA將於8/21-24於臺(tái)北國(guó)際自動(dòng)化工業(yè)大展(攤位M1130)展出專為OT現(xiàn)場(chǎng)網(wǎng)路架構(gòu)打造的資安方案,歡迎上活動(dòng)網(wǎng)站報(bào)名參觀,報(bào)名將於8/16截止。凡報(bào)名成功即可憑名片至現(xiàn)場(chǎng)攤位領(lǐng)取精美禮品一份。
