惡意軟體
Check Point:四招防範惡意軟體散布
全球網路安全解決方案廠商Check Point威脅情報部門Check Point Research於最新發布的《2020年1月全球威脅指數》報告中指出,當全球全力試圖控制新型冠狀病毒肺炎疫情,努力遏止並防範病毒進一步傳播時,駭客卻利用大眾對疫情的關注來進行惡意活動,在全球發起多個與新型冠狀病毒相關的垃圾郵件攻擊行動。
病毒可透過飛沫、肢體接觸甚至空氣等多種形式傳播;惡意軟體與病毒的相似之處,在於兩者都會尋找不同的載體進行滲透。隨著新型冠狀病毒的威脅引發全球高度關注,網路犯罪者便利用病毒為主題進行惡意活動。由下方Google搜尋趨勢比較圖可見,近期對於新型冠狀病毒的搜尋度極高,而相關的惡意討論也大幅提升。
2020年1月和2月,以新型冠狀病毒為主題且規模最大的攻擊活動襲擊了日本,犯罪者偽裝成一家日本身心障礙福利服務業者發送電子郵件,並在附件中傳播Emotet惡意軟體。這些電子郵件看似在分享幾個日本城市的新型冠狀病毒感染情況,引誘受害者打開文件獲得更多資訊。如果受害者打開文件,Emotet就會被下載到受害者的電腦上。
Emotet是一種能夠自我傳播的先進模組化木馬程式,最初是一種銀行木馬,近期被做為其他惡意軟體或惡意攻擊的傳播途徑。它可以使用多種方法和逃脫技術來確保持久性並逃避檢測。此外,它還可以透過含有惡意附件或連結的網路釣魚垃圾郵件進行傳播。
自新型冠狀病毒爆發以來,除了電子郵件惡意活動外,Check Point還發現大量新網站註冊了與該病毒相關的網域名稱,下圖即顯示了自去年(2019)底至今年2月中每週新型冠狀病毒網域名稱註冊數量:
其中,有多個網域名稱可能被用於網路釣魚。這些網站會利用新型冠狀病毒相關討論引誘受害者進入,還有一些詐騙網站聲稱會出售口罩、疫苗和居家病毒檢測試劑。目前Check Point已發現並防止網路使用者進入多個與惡意活動有關的網站。
以vaccinecovid-19.com為例(見下圖),該網站創建於2020年2月11日,註冊地點為俄羅斯,網站內宣稱將「以19,000盧布(約300美金)的特別價格出售最佳、最快的新型冠狀病毒檢測試劑」。
此外,該網站還提供有關新型冠狀病毒傳染的新聞和疫情地圖,但仔細觀察就會發現網站設計得很不專業,還留有像是「置入精美副標題」(以英文字樣呈現)等網頁操作說明和指示。
為避免落入這些釣魚陷阱及確保網路行為安全性,Check Point建議確定商品網站的來源是否安全,不要點開電子郵件中的促銷連結,直接從網路上搜尋相關商店,並從搜尋結果中點選商店連結;慎防「特價」優惠,如新iPhone打兩折或「只要150美金即可獲得新型冠狀病毒獨家療法」等通常不可信任;留意相似的網域名稱、電子郵件或網站中的拼寫錯誤以及不熟悉的電子郵件寄件者;並建立端到端的整體網路架構,保護企業免受零時差攻擊。
設備資安標準框架逐漸成形 半導體產業大步走向智慧製造
由於半導體晶片早已精密到無法用人力作業來生產,因此不管是晶圓製造或是封裝測試,絕大多數的製程步驟都是在設備內自動執行,這使得半導體產業先天上就是一個自動化程度遠高於其他產業的行業。
而在大數據分析、邊緣運算與人工智慧(AI)技術逐漸成熟後,許多半導體業者都已踏上從自動化邁向「智動化」的旅程。但在眾多機台設備全面聯網後,設備資安的問題也更加迫切,使得產業鏈必須快速提出標準化對策。
半導體設備資安標準化框架漸具雛形
對半導體產業而言,設備資安的問題早已存在多年,而且光靠一家廠商的力量,很難落實全面的防護。台積電資訊安全專案經理張啟煌(圖1)指出,根據統計,目前絕大多數還在線上運作的半導體設備機台,裡面所使用的作業系統都還是微軟(Microsoft)的Windows XP,而且更糟的是,即便半導體業者現在要購買新型機台,裡面所搭載的作業系統還是Windows XP。
圖1 台積電資訊安全專案經理張啟煌表示,為了確保生產效率,OT設備所使用的軟體在調整到最佳狀態後,會盡可能避免更動,因此OT設備的軟體慣性十分強大。
對於IT領域的資安工程師來說,這種情境或許很難想像,畢竟微軟早在很多年前就已經停止對Windows XP提供支援,若系統有新的漏洞被發現,也不會再提供修補或更新。但這在OT領域是司空見慣,因為機台上有很多跟生產製程、機台控制有關的軟體工具,如果機台的作業系統要從Windows XP升級到Windows 7或Windows 10,這些工具很可能會出現相容性問題,或是運作效率降低。此外,如果要在機台上安裝防毒軟體,設備運作效率會不會因此降低,也需要進行審慎評估。
對OT管理者來說,任何可能對生產效率產生負面影響的升級,都必須再三斟酌。這使得OT設備的軟體普遍都有非常強的慣性,半導體產業所使用的設備機台也不例外。
不過,由於惡意軟體、駭客攻擊越來越頻繁,加上半導體設備已經高度互聯,產業界不能再不拿出對策。因此,國際半導體產業協會(SEMI)已經成立了資安標準委員會,負責制定與半導體設備有關的資安標準框架,並已經取得初步共識,例如作業系統支援服務中止(EOS)後的處理方式、軟體更新服務的責任歸屬如何劃分、設備商應承擔的責任等。然而,由於資安威脅日新月異,因此這個框架還會持續演進,委員會也會持續邀請更多設備商及資安解決方案供應商加入討論。
對抗惡意軟體 白名單機制成基本防線
除了作業系統相關問題外,由於惡意程式的變種速度太快,只靠黑名單來把關已經沒有意義,因此包含工研院資通所所長闕志克、應材(Applied Materials)資安長Kannan Perumal、微軟現場網路安全技術長Diana Kelley及西門子(Siemens)全球客戶經理David Rogers都認同,針對OT設備的軟體管理權限,應該改用白名單機制來控管。
白名單權限控管可以分成很多個層次,從最基本的軟體安裝,到軟體安裝後,應用程式可以有哪些行為,不允許做哪些行為,以及應用程式更新後,白名單本身要如何做對應的控管等,每個環節都有一定程度的複雜性,每家廠商的做法也不盡相同。如應材是從供應商/第三方開始做源頭控管,西門子則是按照IEC 62443標準要求來進行。
但不論如何,對應用軟體進行更嚴格、更徹底的監控,是所有設備商跟軟體業者一致的態度。畢竟,隨著網路攻擊能造成的破壞跟經濟損失越來越大,激勵駭客發動攻擊的經濟誘因也開始出現,誘發更多攻擊事件。面對危機四伏的聯網世界,防禦方必須步步為營,小心謹慎。對IT人來說,這些都已經是常識,但OT領域的資安人,才正要開始學習這個功課,並調整應對心態。
邊緣運算/AI為智慧製造添加動能
針對智慧製造議題,聯電智慧製造處副處長吳京沛(圖2)開宗明義地說,半導體產業走向智慧製造,就是要藉由導入工業人工智慧(Industrial AI, IAI),來提升生產效能並改善生產流程。目前半導體廠在資料的蒐集跟取得方面,已經大致不成問題,但從大量數據中萃取洞見,創造商業價值的過程,還是高度仰賴人力。IAI的價值,就是要把這些工作,例如資料可視化、數據分析改成用機器自動處理,降低資料科學家的工作負擔,並節省時間跟成本。
圖2 聯電智慧製造處副處長吳京沛認為,半導體產業必須用更智慧化的工具,來降低員工的工作負擔,並提高企業運作跟決策的效率。
把這些工作交由IAI代勞後,下一個發展重點則是把工程師腦中的領域知識(Domain Knowledge)跟大數據結合起來,讓IAI有能力幫人做決策工作,至於人的工作,則轉變成檢視IAI的決策品質,確保決策無誤,並將結果反饋回機器學習模型中,提升IAI的決策品質。
目前在半導體產業內,IAI最為人熟知的具體應用在於實現自動化缺陷分類、機台自動調校,以及利用AI來做虛擬檢測(Virtual Metrology),加快晶圓的生產速度。無人工廠也是半導體業者正在努力發展的方向,畢竟無塵室並不是一個舒服的工作環境,要找到願意從事這種工作的人,將會越來越困難。
不過,對半導體產業來說,要導入IAI,還是有很多挑戰。除了資安疑慮、資料品質不好等所有AI應用都會遇到的共通問題外,半導體產業最獨特的挑戰在於,要用極有限的不良品資料訓練出推論準確率極高的模型。
半導體產業很多製程步驟的不良率都只有ppm(百萬分之一)等級,甚至還更低,這意味著半導體廠很難拿到足夠的不良樣品來訓練模型。但另一方面,半導體產業對模型推論準確度的要求又很高,因為IAI一次誤判,可能會讓公司付出極高代價。因此,結合規則式算法跟機器學習的混合式系統,會是比較可行的發展方向。另一方面,在應用布署的時候,還是要拿人來當比較基準,只有在機器判斷的準確率比人還高的環節,才值得布署IAI系統。
至於在設備端,包含科林研發(Lam Research)、ASM Pacific Technology、艾波比(ABB)、均豪精密,雖然專注的設備領域不同,但探討的主題都是機台的預防性維護、健康狀態/製程監控等議題。半導體大廠意法半導體(ST)也把主題放在預防性維護跟設備狀態監控上。
由於半導體產業所製造的產品都非常精密,因此對相關業者而言,不僅機台上的零部件飄移需要嚴密監控,甚至連零部件老化導致生產參數出現細微變化,都可能讓良率表現截然不同。這使得設備業者跟半導體製造業者,本來就非常需要掌握機台運作的即時狀況。只是,在數據分析技術成熟之前,大家都是按照經驗法則來排定歲修時程,而隨著人工智慧跟邊緣運算技術日益成熟,現在業界有了新的選擇。而且,每家業者都有志一同地強調邊緣運算架構,不會把原始資料傳到雲端去分析處理,而是在本機端直接用機器學習等AI技術完成資料分析,給出預測結果。
在眾家廠商英雄所見略同的情況下,在半導體走向智慧製造的過程中,邊緣運算所扮演的角色,將變得十分關鍵。
為專家賦能方可落實智慧製造
華邦電技術副總監李馥源(圖3)則為整個智慧製造論壇做總結,並指出所謂的智慧製造,就是一種為製造業解決問題、創造價值的手段。
圖3 華邦電技術副總監李馥源認為,為領域專家賦能,讓人的智慧固化成系統,是智慧製造落實的關鍵。
因此,智慧製造必須依照實際的製造需求,將自動化、商業智慧(Business Intelligence)與人工智慧結合。在這個過程中,企業內的IT部門、資料科學家、領域專家及外部供應商必須通力合作,才能讓計畫順利推動。
不過,在這個過程中,為領域專家賦能(Empowerment),讓他們能夠將智慧製造有系統地建立起來,是最關鍵的,特別是對中小企業來說。這些領域包含商業智慧工具、資料分析平台/工具、機器人製程自動化以及作業流程。畢竟,所有智慧都來自於人,智慧製造能不能成功,關鍵就在於能否將人的智慧固化成系統。
OT人效率擺第一 資安危機應對心態要調整
不管是那一種機台設備,即便是單價動輒數千萬、甚至上億元新台幣的半導體製程設備,裡面用的軟體往往都還是非常老舊。這是因為機台設備所搭載的軟體,都是以穩定、高效率執行為最高原則,但面對日新月異的駭客攻擊手法,以及層出不窮的惡意軟體威脅,這種穩定、效率至上的OT思維,正面臨嚴重考驗。
對各種工業機台的使用者跟設備製造商而言,如果機台搭載的軟體經常更新,軟體工程團隊未必有足夠時間將其調整到最佳狀態。另一方面,機台作業系統(OS)的更新,更是個浩大工程,不僅OS本身的穩定性需要重新驗證,在OS上執行的各種舊軟體,還有可能出現相容性問題,需要一個個仔細檢視。
這使得目前製造業所使用的機台設備,不管是採用Linux或微軟(Microsoft)的Windows OS,往往都是很多年前的舊版本。以半導體設備為例,據台積電提供的統計數據顯示,目前在各大晶圓廠裡所使用的設備,大多仍使用Windows XP,即便是新採購進來的機台,搭載的也還是Windows XP。眾所周知,微軟早在很多年前就已經停止更新Windows XP,即便是接續Windows XP的Windows 7,也將在2020年1月停止支援。換不掉的Windows XP,使得半導體設備暴露在極高的資安風險中。
事實上,半導體產業只是整個工業設備的縮影,其他設備所使用的軟體也都有類似問題。如CNC工具機、機器手臂的控制器,到石化、鋼鐵業的連續製程系統,裡面所使用的軟體普遍都很老舊。
面對這個問題,微軟現場網路安全技術長Diana Kelley表示,設備產業跟製造業者都必須在心態上徹底調整。對於IT領域的資訊安全人員來說,永遠假設系統已經被攻破,是很基本的心態。換言之,IT領域的資安人,最優先思考的,其實是應變劇本跟損害管控,然後才開始倒推回去,找出系統可能存在的弱點,並予以補強。
針對OT設備的資安風險問題,微軟現場網路安全技術長Diana Kelley認為,建立快速回應能力往往是最被忽視的環節。
但OT領域的資訊人員普遍還沒有這種觀念,因為OT有自己的獨立網路跟層層防火牆保護,所以OT的資訊人員危機意識其實還不太夠。Kelley在拜訪客戶的過程中,就曾發現有客戶的OT伺服器裡面被安裝了電玩遊戲軟體。這顯示OT的資訊人員,對於資安的風險意識還是非常薄弱的。
就微軟的角度來看,在解決老舊軟體、作業系統的安全問題之前,OT領域的資訊人員應該要先加強危機意識,之後再來探討該如何用新技術來修補問題。有很多新的資安技術可以應用在OT設備上,例如導入白名單機制,嚴格限制機台上可以安裝的應用軟體種類,並且對應用軟體的執行狀況進行嚴密監管,確保應用軟體無法執行它不該進行的操作。
此外,如果狀況許可,導入雲端其實也有助於提高OT設備的安全性。這個說法看似跟資安常識背道而馳,但事實上雲端業者對資安技術的掌握度跟風險意識,往往比很多製造業者來得高,反應速度也更快。以微軟的Azure雲端服務來說,當某個用戶的應用系統感染到病毒或惡意軟體,只要一被偵測到,馬上就會被隔離,因此災情很難進一步擴大到其他使用者身上。
總結來說,不管是IT還是OT,面對資安風險的因應之道,都是保護、偵測與反應這三個環節。但反應的重要性常常被輕忽,因為一般提到資安,都是在談保護跟偵測,然而,在資安事件發生時,能否迅速反應,將決定其受害的輕重程度。