趨勢
- Advertisment -
趨勢科技攜手米蘭理大揭駭客新手法
趨勢科技日前發表研究報告,揭露進階駭客如何利用新的非傳統管道來破壞智慧工廠。
趨勢科技基礎架構策略副總裁Bill Malik表示,以往製造業面對的網路攻擊都利用到傳統惡意程式,而這些程式一般可被網路與用戶端防護所攔截。然而,新的進階攻擊卻已開發出專門針對Operation Technology(OT)及能躲避偵測的手法。正如該研究顯示,目前已有好幾種媒介可導致此類威脅,可能令工業 4.0 企業發生重大的財務與商譽損失。解決之道就是採用專為IIoT設計的防護來徹底杜絕這類精密的針對性威脅。
該項研究由Trend Micro Research 與米蘭理工大學(Politecnico di Milano)合作進行,在該校工業 4.0 實驗室內的名牌廠商製造設備上示範駭客如何利用工業物聯網(IIoT)環境中的現有功能與資訊保安漏洞來謀取不法利潤。
米蘭理工大學生產系統設計與管理約聘教授Giacomo Tavola與進階網路資訊保安副教授 Stefano Zanero指出,米蘭理工大學致力投入工業4.0的研究,以解決自動化進階控制系統的重大資訊保安與穩定性問題,尤其是它們已成為所有製造業的重要問題,對企業的影響也日益嚴重。
關鍵智慧製造設備大多採用專屬系統,然而這些設備卻具備傳統資訊科技系統的運算效能,在這些設備的效能已遠大於其用途所需的情況下,讓駭客有多餘的效能可利用。這些電腦大多使用專屬協定來溝通,但就像資訊科技系統一樣,這些協定也會被用來輸入惡意程式碼、潛入網路、或竊取機密資訊而不被察覺。
儘管智慧製造系統的設計是要部署在隔離環境內,但這樣的隔離卻因 IT 與 OT 的接軌而逐漸消失。由於此類系統是針對隔離環境而設計,故相當依賴環境本身的安全性,所以沒有太多防範惡意活動的安全性檢查。
這類可能遭駭客利用的系統及設備包括製造執行系統(MES)、人機介面(HMI) 以及可客製化的 IIoT 裝置。這些都是資訊保安上的潛在弱點,一旦遭駭客入侵就有可能破壞生產中的商品、導致設備故障,或者生產流程遭篡改而造成產品瑕疵。
針對上述問題,報告詳細提供了一些防禦與防範的措施,如採用可支援OT通訊協定的深層封包檢查,在網路層偵測異常資料;在用戶端裝置上定期執行一致性檢查,以發掘任何遭篡改的軟體元件;於IIoT裝置上的程式碼簽章也應包括相關的第三方程式庫;並將風險分析從實體保安延伸至自動化軟體;為智慧製造環境中的資料及軟體建立完整的「信任鏈」(Chain of Trust);利用偵測工具來發掘複雜製造設備中的漏洞與惡意邏輯;工業設備上的軟體要實行隔離與權限劃分。
從晶片、系統到雲端全面備戰 物聯網資安危機/商機並呈
低功耗廣域聯網技術(LPWA)與AIoT風潮,驅動物聯網應用商機加速起飛,但也敲響聯網裝置與應用服務的安全警鐘,如何轉危為安成了所有生態圈業者的必修課題。
有鑑於此,新電子科技雜誌、新通訊元件雜誌及網管人雜誌首度攜手合作,於2018年12月中旬共同舉辦專門探討物聯網安全技術與防禦對策的科技盛會--「眺望2019 物聯網安全高峰論壇」,並邀請到長期投入物聯網技術研發的資策會智慧系統研究所,以及致力推動台灣產業標準走向國際化的台灣資通產業標準協會(TAICS)共同協辦;此外,趨勢科技、Micro Focus、恩智浦(NXP)半導體、優力國際安全認證(UL)、Aruba、Citrix、銓安智慧科技(IKV),以及合勤科技等業界專家,也與會分享最新資安技術與防護對策,吸引近三百位產業人士到場參加。
物聯網安全更受重視 有挑戰也有機會
資策會智慧系統研究所所長馮明惠(圖1)在致詞時表示,隨著資通訊科技的普及,萬物聯網的時代已然來臨,人們所使用的聯網裝置已愈來愈多,包括電腦、手機,甚至眼鏡、衣服、鞋子等穿戴物品未來都會聯網,而這些又將形成新的資通訊基礎建設,進而帶動新的服務、市場與商機。市場研究單位預估,到2021年全球的聯網裝置將達到數十億,甚至數兆規模,相當可觀。而當聯網裝置愈來愈多,安全議題就必須更加重視;另一方面,透過新的資通訊基礎建設,也可以帶動新的安全或安控的服務。
圖1 資策會智慧系統研究所所長馮明惠表示,萬物聯網時代到來,使得各種聯網裝置的安全性愈來愈受到重視。
馮明惠進一步指出,資策會智慧系統研究所在經濟部技術處的支持下,近兩年積極投入窄頻物聯網(NB-IoT)技術的研究與發展,這是一種介於4G與5G之間的電信等級物聯網技術,具有低功耗、長距離、覆蓋廣、可靠度高等優勢特性,而該單位在發展這項技術的同時,也很重視在此技術之上的安全問題,希望能協助產業界將物聯網的基礎建設架構起來,引領、帶動萬物聯網的商機與市場。
事實上,隨著各種消費性與商用物聯網產品服務不斷推出,駭客攻擊事件也愈來愈猖獗,對於相關業者而言,維護物聯網安全已成為迫切的要務。台灣資通產業標準協會技術管理委員會召集人陳逸萍(圖2)指出,各種資安意外的新聞陸續出現,各大企業在資安防護上的預算也將逐漸提高,預計到2021年,全球企業在資訊安全防護上的投資將比2017年增長28%。
圖2 TAICS技術管理委員會召集人陳逸萍指出,隨著各種資安意外的新聞陸續出現,各大企業在資安防護上的預算也將逐漸提高。
陳逸萍也提到,物聯網架構分為感知層、平台層與網路層,涉及範圍相當廣泛,因此資訊安全也將會是涉及晶片、系統與應用,到雲端,每一個環節都必須考量到,資安防護必須整個生態系的廠商共同維護,因而衍生出的商機也將相當龐大。
掌握資安漏洞/攻擊手法 避免因小失大
物聯網話題正熱,如今任何設備都標榜可以連上網路。Aruba(HPE子公司)資深技術經理王傑鋒表示,當今無論是智慧家庭、智慧辦公室的應用中,都在驅動著我們的環境導入越來越多的聯網攝影機、感測器,而所有聯網的設備也都將成為資安的威脅所在,任何聯網設備都可能成為駭客入侵的目標。
Citrix技術顧問張晉瑞指出,多年前就有資安專家提出,每個連網裝置平均約有25個漏洞,最大問題是傳輸未加密保存、不安全的操作介面、身份認證機制不夠嚴謹,才被駭客組織利用成為跳板,進而感染更高商業價值利益的系統。
此外,2018年5月,歐盟的GDPR法規上路亦是推升物聯網資安熱度的重要大事。以台灣業者來看,只要有處理到或保存歐盟居民的個資便須要符合GDPR的規定;否則公司將受到全球營業額2%~4%不等的罰款。
在此趨勢之下,恩智浦(NXP)半導體市場行銷經理蘇士維認為,物聯網應用產品的數據資料必須達到完整性、真實性、可用性以及保密性等四項要求,才能確保資訊安全。
趨勢科技先進應用市場開發部資深經理鄭朱弘毅則透露,趨勢科技目前已投入自駕車、智慧家庭與工業4.0等三大物聯網應用領域。其中,工業物聯網應用領域跨界資訊科技(IT)與營運科技(OT),所以其中的資安部署更顯重要;在該應用領域中,分層式的資安部署依然是目前的主流趨勢。
資策會智慧系統研究所正工程師林奕廷指出,不同的物聯網場域會使用到不同的安全技術,以NB-IoT為例,在該技術的資料傳輸程序中,各有不同的風險,因此必須符合不同的安全機制,必須根據該技術的資料傳輸步驟一一拆解並符合標準,才能確保物聯網終端產品資料傳輸的安全。
至於駭客攻擊的方式有許多種,詮安智慧科技(IKV)總經理鄭嘉信分析,在眾多攻擊方式之中,最有效的大量攻擊方式就是實體攻擊。也就是透過設備的訊號、實體的晶片取得資訊。在硬體設備之中,處理器、非揮發性記憶體都是容易受到攻擊的元件。也正因如此,透過純軟體的方式其實並不能夠保護所有的資訊安全,也必須同時透過硬體的形式來加強保護。
合勤科技(Zyxel)台灣暨香港區營運總部資深經理薄榮鋼則提到,由企業內部的IT與OT架構來看,皆存在著不少網路資安弱點。在IT層面,可能有邊界弱點攻擊;在OT層面,則包含了偽造登入身分、遠端登入攻擊與實體登入攻擊。要如何貫穿IT與OT,並把相關的資安概念落實到應用方案中是最大的考驗。他強調,欲對抗現代已知或未知型惡意程式,甚至是針對性的攻擊活動,打造零信任網路已是全球發展趨勢。
從研發到上市 安全性檢測/認證不容輕忽
Micro Focus企業資訊安全資深技術顧問李柏厚指出,很多人認為維護物聯網安全就如同在建置網路設備一般,必須不斷加裝各種安全設備;結果在採購多樣設備之後發現資安問題還是發生了。因此,重點應該在於必須回頭去看各項產品的安全性檢測是否完善。如果有一個資訊安全標準驗證可以遵循,便不需要在設備採購上耗費多餘的心力。
優力國際安全認證(UL)身分識別管理安全部業務發展經理薛正分享,物聯網設備安全與終端消費者的安全有很大的關係,其中最受到關注的設備為智慧音箱、IP Cam以及智慧手表。物聯網設備所涉及到的層面也相當廣泛,更會由於駭客攻擊的手法每天都在進步,因此設備的弱點將一直不斷被發掘出來,也許這個月通過了相關的安全規範,下個月便已不再適用。這是物聯網安規與傳統安規認證之間最大的差異。
總結來說,物聯網已成了各行各業當前重要的發展主軸,其引發的資安危機已使各界高度關注,唯有深入掌握各種駭客手法與防禦技術,才能克服相關挑戰,創造最大獲利契機。