企業應由上而下落實資安防護,發展智慧資安。若有成熟的資安事件應變能力、資安人才團隊,並結合AI邁向智慧資安,企業將能夠更穩健地推動數位轉型,保護數位資產。為幫助產業加強資安防護、落實整合資安供需,除了企業內部須戮力同心,整個產業鏈更需要統一的資安標準,讓各個崗位在資安這漫長的耐力賽中有方向可以依循。
工業資安保衛戰 IT/OT各司其職
資安是企業裡每一個人的責任,除了IT部門,OT部門也不能置身事外。IBM全球安全營運中心副合夥人黃勵孟(圖1)表示,針對工業資安防護,有三項要點,首先應注意的是資安事件管理平台(Security Information Event Management, SIEM)與威脅獵捕(Threat Hunting)能夠相輔相成;另外,OT和IT的資安防護可以在資安監控中心(SOC)裡融合;並應定期增進SOC的能力。
台灣有非常多智慧財(IP)的廠商,因此資安防護也就更顯重要。黃勵孟進一步說明,資安威脅有80%是已知的,然而未知的20%卻能夠造成80%的傷害。威脅獵捕是歷史數據的分析,廠商可以透過這樣的技術,看出哪些行為是異常的,藉此增強SOC的能力。威脅獵捕讓SOC具備主動出擊的能力,在獵捕後可以進行分析,之後再分享給企業的其他團隊進行反應與處理。但要注意的是,威脅獵捕並不能取代SIEM功能,SIEM是即時的反應回饋,而威脅獵捕則是收集大數據的歷史數據進行分析與追蹤(圖2)。
資料來源:IBM
資安威脅是瞬息萬變的,必須與時俱進。黃勵孟指出,不能依賴單一產品處理資安危機,應有健全的系統,才能防堵惡意威脅。除了IT部門,OT部門也要納入資安防護體系之中。IT和OT部門最大的差異在於文化,IT通常十分動態,習慣不斷變化的工作環境;OT則相對安定,OT部門的設備年齡動輒十年,就算有使用補丁也不會想要大幅度的變動。然而既有的系統未更新、未加密、使用第三方廠商的產品等都是資安漏洞可能的藏身之處。
OT和IT的資安管理是不同的,OT部門可能正在使用舊的設備與協定,針對OT部門的資安保護黃勵孟說明,須要關注的是設備的輸出,有輸出的地方就會有漏洞,因此就須要進行檢測。OT部門應注重資產的發現(Asset Discovery)、協定的識別/違反(Protocol Identification/Violation)和參數的分析/偏差(Parameter Profiling/Deviation)。資訊安全管理是一條漫長的路,因此必須擬定一個長期的計畫,釐清手上擁有的資源並善加利用。
數位轉型浪潮起 資安保護全面啟動
隨著數位轉型浪潮席捲大大小小的產業,資安同時成為數位化與智慧製造背後的隱憂,面對病毒、惡意程式愈發猖狂,針對智慧製造的資安保護,台灣微軟雲端平台事業部副總經理李啓後(圖3)說明,智慧製造可以分成IT、IoT和OT,要解決資安問題必須從所有層面同時改善,才可能杜絕資安威脅。為協助企業數位轉型,並提供全方位的資安保護。台灣微軟近日宣布結合「雲端SIEM+SOAR」功能的Azure Sentinel正式在台上線。而Azure Sentinel在點線面的觀點,是做面的資安保護,且不會排斥各種不同的資料輸入,所以只要資料能夠輸入的話,該產品就可以納入控管。舉例來說,一個軟體允許Azure Sentinel跟其連繫與控制的話,就可以做端到端(End To End)的資安保護。同時Azure Sentinel具簡單的圖形介面,加上AI的理論後盾,讓所有人員都可以輕鬆的操作。
微軟亞洲首席資安顧問Minoru Hanamura(圖4)表示,Azure Sentinel以Microsoft Security Graph為巨量資料庫,透過機器學習分析每日從微軟產品與服務收集到的數兆筆資安威脅訊號,不僅擁有足以防護、偵測、回應甚至追擊的真正智慧,更可讓企業直接串連現有的跨平台資安方案,匯集組織內所有來自雲端、地端、軟硬體的Log且加以分析、去蕪存菁;並優先推播與企業最相關且急須IT人員關注的重大資安威脅事件,以圖像化的儀表板輔助IT人員操作。
每一個資安產品都有其專長的能力,有的在前端、有的在終端、有的在後端、硬體端、網路層等。Hanamura指出,Azure Sentinel的優勢在於,把所有的Log收集進來之後,可以統一地看到全面端對端的視野,結合這些產品功能同時進行回應。每個產品都有其優勢和擅長的領域,但以企業的資安角度來看,需要全面性的整合服務,Azure Sentinel涵蓋了不同產品,整合所有產品的優勢,在中央串連所有功能進行統一的回應。
資安產品各有所長 跨域整合安全無漏洞
Azure Sentinel不是為了取代原有的資安產品,但是故有的資安產品多數無法提供跨領域的整合服務,網路資安產品就侷限於網路、郵件資安產品就侷限於郵件,雖各有專長,但對企業資安人員來說,必須關注於整個企業全面的資安,透過Azure Sentinel可以協助資安人員達到這個目標。
然而,除了資安產品之間的整合,以及前述IT與OT部門的合作之外,統一產業資安產品規格、訂定資安標準,對於增進產業資安也有相當的助益。
為幫助台灣半導體產業強化資安、串連產業鏈資安供需,經濟部工業局新興資安產業生態系推動計畫近日成立SECPAAS資安整合服務平台,作為台灣產業的資安整合服務站。
工研院資通所副組長卓傳育表示,工研院資通所與台積電於2018年9月共同成立資安標準工作小組後,歷經至少10次工作會議,已於2019年4月取得國際標準案號。工作小組成員包括台積電、日月光、力晶科技、南亞科、趨勢科技、精品科技等,正積極進行標準草案的討論與撰寫,預定2019年底可望送出於全球SEMI會員投票檢視,將可領先日本與美國腳步,成為國際半導體產業鏈資安標準推動的標竿範例。
在半導體產業中,設備使用方與供應方的資安需求可能是有落差的。因此資安標準的製定就顯得益發重要。台積電部經理張啟煌指出,針對使用端的資安需求來說,資安標準的整合有五大要點,即作業系統的規範、網路介面管理、端點資安保護、監控管裡以及認證、權限管理。
儘管半導體設備十分昂貴,但作業系統常常過於老舊,規範作業系統將會對設備資安的提升有大幅的貢獻。而端點資安保護則是指規範基台需要哪些基本的防護措施,如白名單、防毒等,就算沒有這些,也應該要可以支援這些功能。另外,雖然稍有難度,但也非常重要的一項就是應用程式的安全,設備上會用到無數應用程式,都可能成為資安漏洞,因此若能連同應用程式的安全都一併保障,相信台灣半導體產業的資安將有長足的進步。
