OT
組織化分析資安風險 聯網工廠拒當駭客天堂
讀者是否準備向駭客支付數十萬、甚至數百萬美元的贖金來解鎖自己的檔案?根據Malwarebytes Labs在2019年1月23日發表的《State of Malware》資安報告顯示,惡意程式的開發者從2018年下半年已經開始將鎖定的攻擊對象從消費者轉向公司行號,因為從企業收到贖金的機會遠高過個人受害者。企業在過去一年偵測到惡意程式的比率大幅增加,達到79%—而其主要原因是後門、挖礦程式、間諜程式,以及資訊竊盜等程式增加所致。
工控設備迎數位時代喜憂參半
為何會出現這樣的情況?數位時代持續開創新的可能性。企業領袖不斷發掘新的創新機會,但這樣的創新也伴隨許多挑戰。企業領袖面臨其中一項最艱鉅的挑戰,就是網路的安全風險,而這方面需要針對組織架構推動有別於傳統的變革。推動這樣的變革需要對注入新文化以及採行新的商業流程,藉以因應系統以及生命週期方面的複雜難題。
各界正快速採用各種新型邊緣智慧裝置,這些會產生與轉換資料的裝置也促成系統複雜度疾速攀升。這種資料極具價值,因為主管者是根據這些資料做出決策,所以資料越明確與精準其價值就越高。然而要實現這樣的價值,涉及過程極為複雜。需要適合的基礎設施,加上能即時取得與解讀資料,進而讓人員能在時限內做出決策。這樣的需求帶動聯網世界的發展,在工業自動化領域的實現成果就是聯網工廠—各種裝置透過分散式網路相互連結,並藉由即時取得與解讀資料來創造價值。
工業4.0的大趨勢為創新打開了許多機會,而工廠控制系統也變得更敏捷、更精準、且更有效率(圖1)。因應網路攻擊的風險,確保資料的有效性,以及根據資料做出決策,這些關鍵元素都攸關聯網工廠能否獲得有價值的成果。由於發動網路攻擊的動機和資產價值成正比,因此因應風險的任務絕非易事。考量到網路維安的複雜性,以及必須從系統層面應付網路安全風險,為此企業主管紛紛尋求參考解方。
圖1 現今的工控系統面臨資安風險,因此建構安全聯網為首要之務
各國機關制定的新安全標準都列出這方面的指引,其中包括國際自動化學會(ISA)以及美國國家標準技術局(NIST)在內的主管機關。雖然各地區採行不同版本的標準,但這些標準的規範的方向大致相同。不過它們只能解決一部分的複雜問題,其提供的指引規範了如何評估風險,以及應採行哪些方法來因應風險。不過若想要成功實現安全的聯網工廠,還需要對整個組織進行徹底的整頓。
要建構安全聯網工廠,組織必須有能力解讀技術標準以及建立安全基礎設施。解讀相關安全標準,適切地因應網路安全風險,進而規範出相關的安全要求。發展關鍵的安全基礎設施,藉以在產品生命週期全程管理資產,才足以因應持續變遷的威脅環境。在邁入嶄新的聯網時代之際,組織必須由上至下推動商業流程。而這樣的策略將讓產品開發團隊能做出安全方面的取捨,以及擬定產品安全要求,藉以因應系統以及生命週期方面的複雜難題。
保護聯網工廠潛藏挑戰
要在複雜營運技術(OT)環境中維護安全,已經衍生出許多特殊的挑戰,而這些難題往往無法用標準的資訊科技(IT)解決方案加以解決。環境中現存的OT裝置,其資產價值、優先順序,以及限制都和IT環境截然不同。在IT環境中,各界關切的重點都是確保信心;然而對於工廠而言,優先順序最高的通常是資料的可用度。此外,這些安全解決方案未來建置的系統中,將會充斥各種高度受限制的產品,其生命週期大多會超過20年。因此對於工廠資產而言,包括優先順序和相關限制,這些因素需要特殊的技能和流程加以因應,以及研擬出適宜的產品安全要求。然而這些技能與流程往往超出傳統IT組織的能力範疇(圖2)。
圖2 威脅模型分析流程
要推行諸如保護OT環境這樣的系統性措施,首先須辨識出高價值資產、評估這些資產面臨的風險、以及在營運的範疇內針對安全適切取捨。由於面對高度受限的環境以及特殊的營運設計,因此並不是所有安全風險都能在裝置層面成功克服。定義出的系統層級策略能指引專家做出適合的安全取捨。要執行威脅模型分析有許多途徑,但組織必須針對所有新的發展情勢調適出適合的流程。
威脅模型分析的主要目的,是促使人員針對安全取捨進行討論,最終歸納出安全要求和規範。為此,可以根據營運的概念作為基礎,界定出關鍵資產,以及將系統拆分成較小的單元。之後,團隊可以開始運用成熟的方法來找出安全威脅與防禦弱點,以此作為初期的威脅模型。根據這樣的模型,即可建立安全降險措施(Mitigation),以及討論各種取捨作為。由於營運概念應考量整體系統設計,因此所有人都應參與這些取捨的討論。最終,在元件層面尚未排除的安全威脅都必須在較高的層面加以紓解,或視其為可容許的風險。採用標準流程進行威脅模型建構以及風險分析,有助於歸納出適宜的安全要求。
組織著手建構聯網工廠
為因應OT面臨的網路安全威脅,組織必須擬妥策略,進而採取措施建構聯網工廠。想要成功排除網路安全威脅的複雜性,通常都需要進行組織革新。在產品團隊中納編安全專家是邁向正確方向的一步,但光這麼做,組織還不足以掌握下一波工業革命的潮流。組織必須從最高層面著手,在整個企業環境推動與促成文化變革。這意謂著必須由一個中央組織負責網路安全事務,專責執行新流程與程序來因應網路風險、研擬網路安全要求、監視與回應網路安全事件、以及執行產品評估和驗證。
建立產品安全確保計畫,是因應未來網路安全風險的關鍵要務(圖3)。這樣的計畫可確保開發團隊真正瞭解網路安全風險、必須保護的關鍵資產,以及提升營運績效所需的安全功能。此外還須備妥支援這類計畫的人員與程序,確保產品生命週期全程都能應付網路安全,以及建立有復原能力的基礎設施,進而快速回應新浮現的網路安全威脅與事件。
圖3 產品安全風險管理框架
組織未來在因應新浮現的網路安全要求之際,必須展現感知能力,以及札根於組織文化,並透過標準流程與程序展現出適當作為。在過渡到聯網工廠的過程中,最困難的部分就是組織因應網路安全風險的工作。所有企業都必須回應這項挑戰,能夠推動文化革新的企業,將能掌握當前最重要的大趨勢。
有業者如亞德諾半導體(ADI)籌組了一個中央安全小組,負責在整個組織建立安全文化,藉此因應持續變遷的安全環境。透過公布施行安全程序,並整合到新產品開發流程,這樣的工作是整個組織建立安全文化的關鍵步驟。如此即可確保所有新產品皆針對安全需求進行評估,而且安全方針也納入研發計畫。安全方針旨在確保各項安全要求足以保護關鍵資產,並納入整合的系統設計中。此外,由於安全向來都是適當取捨,因此像ADI的安全作為都經過各大客戶的驗證,而這些客戶廠商經營的業務就是負責維護聯網工廠的安全,而和這些客戶聯手驗證安全作為,可進而確保相關的安全取捨能夠在營運環境中實行。
在運用制度化方法建立安全文化方面,業者的網路安全事件回應團隊會負責評估新浮現的安全威脅、回應客戶遭遇的網路安全事件、評估產品衝擊,以及執行產品安全更新。要管理數量龐大的產品,長遠下來將涉及極可觀的工作量。因此需要適當規畫以促成永續經營,以及管理業者旗下所有產品線的安全解決方案。系統整合廠商往往會尋求其供應商協助解決各種安全挑戰以及降低生命週期成本,新產品挑選標準有助於促成更緊密的合作關係,協助控管聯網工廠的總成本,如ADI便致力提供長期解決方案,針對各種新系統設計帶來較佳的整體價值。
回頭看首段假設案例,倘若眼前的抉擇是組織停擺或接受風險,那麼任何時間都應優先選擇讓組織停擺,而支付贖金則將成為次要的選項。
(本文作者為ADI工業解決方案系統經理)
趨勢科技攜手米蘭理大揭駭客新手法
趨勢科技日前發表研究報告,揭露進階駭客如何利用新的非傳統管道來破壞智慧工廠。
趨勢科技基礎架構策略副總裁Bill Malik表示,以往製造業面對的網路攻擊都利用到傳統惡意程式,而這些程式一般可被網路與用戶端防護所攔截。然而,新的進階攻擊卻已開發出專門針對Operation Technology(OT)及能躲避偵測的手法。正如該研究顯示,目前已有好幾種媒介可導致此類威脅,可能令工業 4.0 企業發生重大的財務與商譽損失。解決之道就是採用專為IIoT設計的防護來徹底杜絕這類精密的針對性威脅。
該項研究由Trend Micro Research 與米蘭理工大學(Politecnico di Milano)合作進行,在該校工業 4.0 實驗室內的名牌廠商製造設備上示範駭客如何利用工業物聯網(IIoT)環境中的現有功能與資訊保安漏洞來謀取不法利潤。
米蘭理工大學生產系統設計與管理約聘教授Giacomo Tavola與進階網路資訊保安副教授 Stefano Zanero指出,米蘭理工大學致力投入工業4.0的研究,以解決自動化進階控制系統的重大資訊保安與穩定性問題,尤其是它們已成為所有製造業的重要問題,對企業的影響也日益嚴重。
關鍵智慧製造設備大多採用專屬系統,然而這些設備卻具備傳統資訊科技系統的運算效能,在這些設備的效能已遠大於其用途所需的情況下,讓駭客有多餘的效能可利用。這些電腦大多使用專屬協定來溝通,但就像資訊科技系統一樣,這些協定也會被用來輸入惡意程式碼、潛入網路、或竊取機密資訊而不被察覺。
儘管智慧製造系統的設計是要部署在隔離環境內,但這樣的隔離卻因 IT 與 OT 的接軌而逐漸消失。由於此類系統是針對隔離環境而設計,故相當依賴環境本身的安全性,所以沒有太多防範惡意活動的安全性檢查。
這類可能遭駭客利用的系統及設備包括製造執行系統(MES)、人機介面(HMI) 以及可客製化的 IIoT 裝置。這些都是資訊保安上的潛在弱點,一旦遭駭客入侵就有可能破壞生產中的商品、導致設備故障,或者生產流程遭篡改而造成產品瑕疵。
針對上述問題,報告詳細提供了一些防禦與防範的措施,如採用可支援OT通訊協定的深層封包檢查,在網路層偵測異常資料;在用戶端裝置上定期執行一致性檢查,以發掘任何遭篡改的軟體元件;於IIoT裝置上的程式碼簽章也應包括相關的第三方程式庫;並將風險分析從實體保安延伸至自動化軟體;為智慧製造環境中的資料及軟體建立完整的「信任鏈」(Chain of Trust);利用偵測工具來發掘複雜製造設備中的漏洞與惡意邏輯;工業設備上的軟體要實行隔離與權限劃分。
是德攜手Nozomi Networks防禦ICS/IIoT/IT網路攻擊
是德科技(Keysight)日前宣布與工業網路安全和操作可視度領域廠商Nozomi Networks展開合作,共同推出聯合解決方案,以協助公共事業、石油與天然氣設施及其他工業製造商,全面辨識並防禦網路攻擊。
Nozomi Networks業務發展副總裁Chet Namboodri表示,現今的工業OT網路大多都已連接至Internet,並與企業IT網路相整合。如未做好安全把關,將導致操作風險飆升,以及可靠性與安全性下滑的嚴重後果。利用Ixia的封包級可視度技術,加上Nozomi Networks的OT和IoT網路安全與可視度專業知識,客戶可加速進行意外應變和危險偵測,避免發生停機的狀況,並確保不間斷的IT、OT和IoT網路環境。
與工業物聯網(IIoT)緊密相連的工業營運技術(OT)網路,很容易遭受網路攻擊。如果再與傳統IT網路進行整合,將使得網路安全複雜性進一步升高。Gartner的報告指出,目前OT與IIoT各有不同的安全防禦市場,然而IIoT與數位安全市場的融合(涵蓋IT、OT、IoT和實體安全性市場)將成未來主流。這樣的演進為OT帶來特定的安全考量。
有鑑於此,是德科技Ixia部門和Nozomi Networks聯手推出全新解決方案,其中包含Ixia Vision網路封包代理程式(NPB),除可收集連接至營運網路的各地資料,還可將資料傳送至Nozomi Networks Guardian進行即時處理和分析。Ixia 的訊務整合功能可移除重複的封包和非必要訊務,以提升效能、提高關鍵系統和流程的可視度,並協助客戶透過完整的自動化可視度功能,捍衛聯網操作環境。
此聯合解決方案還可整合入安全資訊與事件管理(SIEM)等系統,以便根據入侵指標(IOC)建立自動化威脅應變機制。此外,Ixia NPB整合了防火牆等工具,以期提高安全政策的執行力度,成功移除不需要的訊務。
是德科技網路應用安全事業群(原為Ixia解決方案事業群)總裁Scott Westlake表示,因為與IT、OT和IoT網路和裝置連接的緣故,營運網路遭受安全攻擊的範圍更大。但是對工業環境進行安全修補,需耗費數週或數個月的時間,而且許多OT控制系統均採用無線連結,因此必須不間斷地進行監測,以即時偵測並排除問題。此聯合解決方案讓客戶能掌握網路和裝置的全貌,以抵擋網路攻擊,進而成功捍衛他們的業務與重要基礎設施。
設備資安標準框架逐漸成形 半導體產業大步走向智慧製造
由於半導體晶片早已精密到無法用人力作業來生產,因此不管是晶圓製造或是封裝測試,絕大多數的製程步驟都是在設備內自動執行,這使得半導體產業先天上就是一個自動化程度遠高於其他產業的行業。
而在大數據分析、邊緣運算與人工智慧(AI)技術逐漸成熟後,許多半導體業者都已踏上從自動化邁向「智動化」的旅程。但在眾多機台設備全面聯網後,設備資安的問題也更加迫切,使得產業鏈必須快速提出標準化對策。
半導體設備資安標準化框架漸具雛形
對半導體產業而言,設備資安的問題早已存在多年,而且光靠一家廠商的力量,很難落實全面的防護。台積電資訊安全專案經理張啟煌(圖1)指出,根據統計,目前絕大多數還在線上運作的半導體設備機台,裡面所使用的作業系統都還是微軟(Microsoft)的Windows XP,而且更糟的是,即便半導體業者現在要購買新型機台,裡面所搭載的作業系統還是Windows XP。
圖1 台積電資訊安全專案經理張啟煌表示,為了確保生產效率,OT設備所使用的軟體在調整到最佳狀態後,會盡可能避免更動,因此OT設備的軟體慣性十分強大。
對於IT領域的資安工程師來說,這種情境或許很難想像,畢竟微軟早在很多年前就已經停止對Windows XP提供支援,若系統有新的漏洞被發現,也不會再提供修補或更新。但這在OT領域是司空見慣,因為機台上有很多跟生產製程、機台控制有關的軟體工具,如果機台的作業系統要從Windows XP升級到Windows 7或Windows 10,這些工具很可能會出現相容性問題,或是運作效率降低。此外,如果要在機台上安裝防毒軟體,設備運作效率會不會因此降低,也需要進行審慎評估。
對OT管理者來說,任何可能對生產效率產生負面影響的升級,都必須再三斟酌。這使得OT設備的軟體普遍都有非常強的慣性,半導體產業所使用的設備機台也不例外。
不過,由於惡意軟體、駭客攻擊越來越頻繁,加上半導體設備已經高度互聯,產業界不能再不拿出對策。因此,國際半導體產業協會(SEMI)已經成立了資安標準委員會,負責制定與半導體設備有關的資安標準框架,並已經取得初步共識,例如作業系統支援服務中止(EOS)後的處理方式、軟體更新服務的責任歸屬如何劃分、設備商應承擔的責任等。然而,由於資安威脅日新月異,因此這個框架還會持續演進,委員會也會持續邀請更多設備商及資安解決方案供應商加入討論。
對抗惡意軟體 白名單機制成基本防線
除了作業系統相關問題外,由於惡意程式的變種速度太快,只靠黑名單來把關已經沒有意義,因此包含工研院資通所所長闕志克、應材(Applied Materials)資安長Kannan Perumal、微軟現場網路安全技術長Diana Kelley及西門子(Siemens)全球客戶經理David Rogers都認同,針對OT設備的軟體管理權限,應該改用白名單機制來控管。
白名單權限控管可以分成很多個層次,從最基本的軟體安裝,到軟體安裝後,應用程式可以有哪些行為,不允許做哪些行為,以及應用程式更新後,白名單本身要如何做對應的控管等,每個環節都有一定程度的複雜性,每家廠商的做法也不盡相同。如應材是從供應商/第三方開始做源頭控管,西門子則是按照IEC 62443標準要求來進行。
但不論如何,對應用軟體進行更嚴格、更徹底的監控,是所有設備商跟軟體業者一致的態度。畢竟,隨著網路攻擊能造成的破壞跟經濟損失越來越大,激勵駭客發動攻擊的經濟誘因也開始出現,誘發更多攻擊事件。面對危機四伏的聯網世界,防禦方必須步步為營,小心謹慎。對IT人來說,這些都已經是常識,但OT領域的資安人,才正要開始學習這個功課,並調整應對心態。
邊緣運算/AI為智慧製造添加動能
針對智慧製造議題,聯電智慧製造處副處長吳京沛(圖2)開宗明義地說,半導體產業走向智慧製造,就是要藉由導入工業人工智慧(Industrial AI, IAI),來提升生產效能並改善生產流程。目前半導體廠在資料的蒐集跟取得方面,已經大致不成問題,但從大量數據中萃取洞見,創造商業價值的過程,還是高度仰賴人力。IAI的價值,就是要把這些工作,例如資料可視化、數據分析改成用機器自動處理,降低資料科學家的工作負擔,並節省時間跟成本。
圖2 聯電智慧製造處副處長吳京沛認為,半導體產業必須用更智慧化的工具,來降低員工的工作負擔,並提高企業運作跟決策的效率。
把這些工作交由IAI代勞後,下一個發展重點則是把工程師腦中的領域知識(Domain Knowledge)跟大數據結合起來,讓IAI有能力幫人做決策工作,至於人的工作,則轉變成檢視IAI的決策品質,確保決策無誤,並將結果反饋回機器學習模型中,提升IAI的決策品質。
目前在半導體產業內,IAI最為人熟知的具體應用在於實現自動化缺陷分類、機台自動調校,以及利用AI來做虛擬檢測(Virtual Metrology),加快晶圓的生產速度。無人工廠也是半導體業者正在努力發展的方向,畢竟無塵室並不是一個舒服的工作環境,要找到願意從事這種工作的人,將會越來越困難。
不過,對半導體產業來說,要導入IAI,還是有很多挑戰。除了資安疑慮、資料品質不好等所有AI應用都會遇到的共通問題外,半導體產業最獨特的挑戰在於,要用極有限的不良品資料訓練出推論準確率極高的模型。
半導體產業很多製程步驟的不良率都只有ppm(百萬分之一)等級,甚至還更低,這意味著半導體廠很難拿到足夠的不良樣品來訓練模型。但另一方面,半導體產業對模型推論準確度的要求又很高,因為IAI一次誤判,可能會讓公司付出極高代價。因此,結合規則式算法跟機器學習的混合式系統,會是比較可行的發展方向。另一方面,在應用布署的時候,還是要拿人來當比較基準,只有在機器判斷的準確率比人還高的環節,才值得布署IAI系統。
至於在設備端,包含科林研發(Lam Research)、ASM Pacific Technology、艾波比(ABB)、均豪精密,雖然專注的設備領域不同,但探討的主題都是機台的預防性維護、健康狀態/製程監控等議題。半導體大廠意法半導體(ST)也把主題放在預防性維護跟設備狀態監控上。
由於半導體產業所製造的產品都非常精密,因此對相關業者而言,不僅機台上的零部件飄移需要嚴密監控,甚至連零部件老化導致生產參數出現細微變化,都可能讓良率表現截然不同。這使得設備業者跟半導體製造業者,本來就非常需要掌握機台運作的即時狀況。只是,在數據分析技術成熟之前,大家都是按照經驗法則來排定歲修時程,而隨著人工智慧跟邊緣運算技術日益成熟,現在業界有了新的選擇。而且,每家業者都有志一同地強調邊緣運算架構,不會把原始資料傳到雲端去分析處理,而是在本機端直接用機器學習等AI技術完成資料分析,給出預測結果。
在眾家廠商英雄所見略同的情況下,在半導體走向智慧製造的過程中,邊緣運算所扮演的角色,將變得十分關鍵。
為專家賦能方可落實智慧製造
華邦電技術副總監李馥源(圖3)則為整個智慧製造論壇做總結,並指出所謂的智慧製造,就是一種為製造業解決問題、創造價值的手段。
圖3 華邦電技術副總監李馥源認為,為領域專家賦能,讓人的智慧固化成系統,是智慧製造落實的關鍵。
因此,智慧製造必須依照實際的製造需求,將自動化、商業智慧(Business Intelligence)與人工智慧結合。在這個過程中,企業內的IT部門、資料科學家、領域專家及外部供應商必須通力合作,才能讓計畫順利推動。
不過,在這個過程中,為領域專家賦能(Empowerment),讓他們能夠將智慧製造有系統地建立起來,是最關鍵的,特別是對中小企業來說。這些領域包含商業智慧工具、資料分析平台/工具、機器人製程自動化以及作業流程。畢竟,所有智慧都來自於人,智慧製造能不能成功,關鍵就在於能否將人的智慧固化成系統。
工業資安保衛戰 IT/OT各司其職
資訊安全不再只是IT部門的責任,企業應由上而下落實資安防護,發展智慧資安。若能有成熟的資安事件應變能力、資安人才團隊,並結合AI邁向智慧資安,企業將能夠更穩健地推動數位轉型,保護數位資產。
IBM全球安全營運中心副合夥人黃勵孟表示,資安是企業裡每一個人的責任,除了IT部門之外,OT部門也不能置身事外。針對工業資安防護,有三項要點,首先應注意的是資安事件管理平台(Security Information Event Management, SIEM)與威脅獵捕(Threat Hunting)能夠相輔相成;另外,OT和IT的資安防護可以在資安監控中心(SOC)裡融合;並應定期增進SOC的能力。
黃勵孟進一步說明,台灣有非常多智慧財(IP)的廠商,因此資安防護也就更顯重要。資安威脅有80%是已知的,然而未知的20%卻能夠造成80%的傷害。威脅獵捕是歷史數據的分析,廠商可以透過這樣的技術,看出哪些行為是異常的,藉此增進SOC的能力。威脅獵捕讓SOC具備主動出擊的能力,在獵捕後可以進行分析,之後再分享給企業的其他團隊進行反應與處理。但要注意的是,威脅獵捕並不能取代SIEM功能,SIEM是即時的反應回饋,而威脅獵捕則是收集大數據的歷史數據進行分析與追蹤(如圖)。
(圖片來源:IBM)
黃勵孟指出,資安威脅是瞬息萬變的,必須與時俱進。不能依賴單一產品處理資安危機,應有健全的系統,才能防堵惡意威脅。除了IT部門,OT部門也要納入資安防護體系之中。IT和OT部門最大的差異在於其文化,IT通常十分動態,習慣不斷變化的工作環境,OT則相對安定,OT部門的設備年齡可能動輒十年,就算有使用補丁也不會想要大幅度的變動。然而既有的系統未更新、未加密、使用許多第三方廠商的產品等都是資安漏洞可能的藏身之處。
針對OT部門的資安保護黃勵孟說明,Ot和IT的資安管理是不同的,OT部門可能正在使用舊的設備與協定,須要關注的是設備的輸出,有輸出的地方就會有漏洞,因此就須要進行檢測。OT部門應注重資產的發現(Asset Discovery)、協定的識別/違反(Protocol Identification/Violation)和參數的分析/偏差(Parameter Profiling/Deviation)。資訊安全管理是一條漫長的路,因此必須擬定一個長期的計畫,釐清手上擁有的資源並善加利用。
標準/嵌入式保護元件並行 工業系統網路安全有保障
針對工業資產與電網等基礎設施所發起的網路攻擊旨在竊取商業機密、破壞服務並損害經濟。竄改工業系統還會影響安全並可能為工作人員或一般大眾帶來傷害或災禍。攻擊者可能是獨行俠、恐怖分子或犯罪組織,也有可能是政府扶植的團隊,他們技術實力雄厚、資金來源廣泛且動機各異。
無論他們擁有多少資金或目的何在,很顯然地,駭客的能力及提供給他們的資金不斷地在提高。採用任何工業系統的組織機構都可能成為網路攻擊的目標,因此他們必須採取措施保護自己,而這不僅需要對工業網路及其薄弱環節進行清楚的分析,還需要一個全生命週期的解決方案來管理嵌入式控制系統。
工業控制包含IT/OT 安全問題須從整體分析
現代工業控制系統包括資訊科技(IT)和操作技術(OT)兩個部分,這兩部分互聯互通。安全問題不僅需要從端對端的層面解決,還可根據如圖1所示的整體安全鄰里進行分析。
圖1 工業網路中的安全鄰里
有了圖1網絡中各個環節的概念後,用2015年對烏克蘭電力基礎設施所進行的網路攻擊為例,說明IT和OT基礎設施為什麼需要適當的保護。駭客透過發送大量釣魚電子郵件,並夾帶惡意軟體感染的附件來發動攻擊。只要有一封電子郵件不小心被打開,就能為駭客帶來獲取登入細節及密碼的機會。雖然防火牆已將IT網路和電源控制系統分開,但盜用的認證資訊仍有助於駭客從遠端登入公共事業單位的SCADA系統。
駭客首先會透過攻擊IT基礎設施的薄弱環節以進入系統,隨後就會利用OT側的薄弱環節控制網路上的設備,進而最大化其破壞程度。這包含重新編寫PLC等控制器韌體,讓營運商在斷電後無法馬上重新獲得控制,營運商只能實際派人到每個現場手動控制之後才能恢復電力,這不僅需要幾個小時才能完成,而且還帶來了諸多不便和額外的電力中斷成本。
顯然,為了抵抗針對網路IT側的攻擊,替電腦操作人員進行警惕性威脅意識培訓及惡意軟體檢查是非常重要的,但保護OT側的嵌入式控制器也同樣重要。一個有效的安全性原則必須認知到IT和OT網路運作採用不同的協定,且須滿足使用者對保密性、完整性和可用性(CIA)這個安全鐵三角的不同期望。表1比較了典型高階IT和OT的工作模式,以及它們對系統安全保護的優先順序。
駭客技術日新月異 完整安全方案更顯重要
駭客使用的軟硬體技術不斷進步,已變得越來越強大且複雜。儘管採用的是部署的當下市面上提供的最好防禦技術所建構的系統,其安全性也不可避免地會隨時間推移而下降。擁有四個階段生命週期的完整安全解決方案(圖2)不僅可提供強大的保護,還能偵測未經授權的存取,進而在最大限度下幫助減少暴露的弱點。這可限制損害隱憂並促進系統恢復。
圖2 四個階段的安全生命週期
生命週期的第一階段就是在系統部署時,以當前所有的知識盡可能為系統提供最強大的「保護」。這應該以在軟硬體上提供多層保護的深度防禦策略為基礎。深度防禦策略的意思是不僅要涵蓋啟動軟體(Boot-time Software),還要包含系統運作時的工作。
第二階段是假設有一天系統會遭受駭客攻擊,其能確保運用有安全認證及用於監控任何非計畫或非授權系統的監控技術來「偵測到」系統已受損。在烏克蘭攻擊事件以及震網病毒(Stuxnet)等利用系統漏洞的攻擊中,目標系統已損壞了數個月;駭客在存取系統的某個部分之後,就能轉向系統的其它部分,擴大他們的攻擊規模。
當在正常工作及安全性為最高優先順序的工業系統中發現有系統受損時,系統必須要有「恢復力」,讓系統能恢復至安全模式或縮小工作範圍,同時通知操作人員和維修人員系統已損壞。
最後,必須把安全生命週期看作一個閉環,讓現場設備能夠反饋它們正在經歷的攻擊和受損詳情,以便讓維修人員能依據此資訊採用安全補丁來「修復」現場系統,並提高類似配置現場系統的安全性。
強化信任鏈 保護嵌入式元件扮要角
OT基礎設施的有效安全性取決於是否能夠為鄰近的控制器、控制網路和I/O上建構安全解決方案奠定基礎。雖然可使用各種不同的技術來保護每個鄰近區域的系統,但每種情況下的總體安全目標是相同的。在這些安全鄰里中,維護每個數位系統運作中的「信任鏈」(圖3)至關重要。
圖3 嵌入式元件的信任鏈始於最底層的元件硬體
當認知到系統的安全強度是信任鏈中最薄弱的環節,晶片供應商如賽靈思,便透過旗下Zynq Ultrascale+系統單晶片(SoC)所提供的特性,為硬體及啟動時的軟體層面建立強大的安全基礎。這些包括不可變的元件標誌和啟動ROM、防竄改功能、eFuses中的整合安全金鑰儲存以及用於載入安全硬體的位元流認證和加密等。受保護的啟動韌體隨後會強制執行安全啟動,並執行第一階段的啟動載入程式,如果檢測到軟體完整性受損,表示發生了竄改,就會停止該進程。在更高層次上只載入經過認證的數位簽署之操作系統影像。
一旦系統啟動並開始運作,與任何其它設備的通訊就必須使用經過認證的通訊通道進行保護,且若需要保護動態資料還應該加密。除此之外,晶片商也於FPGA採用整合式硬體加速器,為RSA-SHA和AES等這類產業標準加密演算法提供強大的安全加密通訊支援。此外,當與系統中非揮發性記憶體(NVM)晶片等其它IC進行資料交換時,也可運用使用者無法讀取的設備獨有金鑰來提供保護。最後,該SoC還支援測量啟動、測量應用程式啟動和TPM(可信平台模組)PCR擴展等監控功能的系統。這些鏈中的連結都是必備的,這是為了要保護端對端安全架構中的每個設備的運行和完整性。
這些安全特性中的互聯層,從底層設備硬體到驗證的操作系統和應用軟體,不僅可保護設備的工作狀態,也可保護與FPGA硬體設計以及在該設備上運行的代碼有關的智慧財產權(IP)。該IP若被竊,不僅有可能會為設備製造商帶來損失,還會因設備被複製而產生進一步攻擊等的其它風險。
實現最佳安全實踐 標準/軟硬技術雙管齊下
雖然駭客確實帶來越來越複雜的威脅,且背後有強大的資金支持,但安全專家也越來越瞭解發起攻擊的方法和最有效的應對措施。這方面的證據包括國際工業控制系統安全標準IEC 62443的發布、可信賴運算組織(TCG)和工業互聯網聯盟(IIC)的工業網際網路安全架構(IISF)為可嵌入式系統建立最佳安全實踐。
對此,晶片供應商如賽靈思不僅協助制定IEC 62443標準,同時也是TCG和IIC的成員。FPGA晶片和設計工具中支援的重要安全功能(圖4)不僅可幫助使用者創建符合IEC 62443-4-2標準的工業控制平台,而且還可以加速他們產品上市的時程。此外,現在還推出各種新機制,幫助在供應鏈中安全地安裝客戶金鑰和獨有的裝置識別碼。
圖4 各種服務、工具和硬體特性相結合,能協助終端產品達到IEC 62443標準
現今的工業控制系統很可能受到網路攻擊,而這些攻擊的強度和複雜程度只會越來愈高。高效的安全性原則不僅要確保強大的保護功能,還要包含四階段生命週期內的偵測、恢復力和修復。強大的硬體認證加上支援安全啟動、軟體測量及加密的特性,是能夠以最大限度降低OT設備層面攻擊的關鍵。「知識就是力量」這句名言蘊含著網路安全的真諦。OT設備開發商應花時間去瞭解網路威脅和業界最佳實踐的發展,並瞭解如何使用已經建構在最新SoC元件中的保護特性。
(本文作者任職於賽靈思)
施耐德電機與Vericlave攜手強化客戶網路安全
施耐德電機(Schneider Electric)日前宣布與知名網路安全技術供應商Vericlave結盟為全球策略夥伴,施耐德電機將提供Vericlave的先進加密技術,更進一步保障客戶的關鍵資訊技術(IT)與營運技術(OT)系統安全,降低網路攻擊風險。
施耐德電機網路安全管理資深經理Gary Williams表示,數位轉型與物聯網(IoT)興起後,對工業營運的安全性、生產力及獲利能力也形成風險,客戶必須有更為穩健、具彈性的網路安全基礎架構,以確保全面正常營運。透過與Vericlave合作,施耐德電機可加強客戶內部IT的網路保護能力,並期待藉此確保客戶在不同場域的數據及營運能完整運行,減少系統複雜度,並強化其順應性、獲利能力與整體商業表現。
Vericlave經驗證的入侵防禦系統在網路邊界及既有基礎架構中覆蓋了零信任隱匿模組(Zero-trust Stealth Model),提供跨場域間的安全通訊網路,並在整個企業網路內擴展防禦層。此項隨插即用(Plug-and-play)解決方案在開發後隨即由美國國防部、情資單位以及關鍵基礎設施、金融、醫療和零售市場進行超過20年的測試。與傳統的網際網路通訊協定之虛擬私人網路(IP VPN)解決方案相比,它的攻擊表面(Attack Surface)可縮減90%以上,能消除導致工廠停工的事故風險;隨插即用功能更可將安裝、維護及其他所有權和營運成本大幅降低50%以上,這使得終端使用者可重新安排工程、維護等資源,再運用於企業,從而進一步降低資本和營運支出。此一夥伴關係整合了Vericlave的科技與施耐德電機的EcoStructure物聯網平台,提供網路安全解決方案、服務與專業知識等多層面的方式,讓工業組織可以更佳確保營運及加強網路安全。
Vericlave執行長Joel Bagnal表示,市場上大部分的第三方網路安全解決方案都被設計用來因應攻擊,而非預防攻擊。藉著多年的產業專業知識,Vericlave的軍用級技術專為在任何距離的高壓和惡劣環境中都能安全連接網路和相關設備而開發,可防止透過外部網路入侵及內部漏洞利用的威脅。Vericlave的產品有效、易於安裝,維護成本比起市場上其他產品低。結合施耐德電機強大的網路安全產品組合及EcoStruxure科技,Vericlave將更有效地保護工業環境,同時改善全球設施的安全性及獲利能力。
Moxa邊緣閘道控制器加速雲端應用整合
工業通訊及網路設備廠商Moxa日前宣布旗下的工業物聯網(IIoT)邊緣閘道控制器已開始出貨,其中預裝了Microsoft Azure IoT Edge,以便為Microsoft Azure客戶提供易於使用的解決方案,藉以擴展客戶的資訊技術(IT)基礎架構,並在工業應用中實現營運技術(OT)數據連網。為加速實現OT和IT進一步的融合,這款工業級邊緣閘道控制器還針對工廠自動化、智慧交通系統(ITS)、能源,以及石油和天然氣產業的IIoT應用進行最佳化。
Moxa IIoT Edge Gateway 結合了Moxa的工業協定專業知識,並提供長達10年的Linux支援,有助於為大規模部署提供最佳化的裝置管理。Moxa已於西班牙巴塞隆納舉行的物聯網解決方案世界大會中,展示支援Azure的IIoT邊緣閘道控制器。此次的展出集中於為IIoT應用提供雲端整合與多協定轉換的解決方案,並保留對現有工業基礎設施的投資。
Azure雲端基礎設施具有Azure串流分析、機器學習、裝置配置和安全防護等特性,並結合 Moxa 的裝置連接、配置和工業協定專業知識,為工業IoT客戶提供進行應用整合的起點。
Azure IoT Edge與建構於Moxa Industrial Linux上之Moxa IIoT閘道的整合,讓客戶能延長產品使用壽命、保護檔案系統寫入,並獲得長達10年的支援,以便透過持續不斷的安全修補程式增進整體安全性。如與Moxa的工業協定專業知識相結合,可為現有待開發的應用提供雲端連接。
Moxa/趨勢科技攜手開發IIoT資安應用
工業通訊及網路廠商Moxa與網路資安解決方案廠商趨勢科技進日宣布簽署雙方合作意向書,聯合成立一家新公司--TXOne Networks。致力解決智慧製造、智慧城市、智慧能源等工業物聯網(IIoT)應用環境的資安需求。
傳統工業環境中的資訊技術(IT)與營運技術(OT)通常是分開運作的,各自有獨立的網路、維運團隊、目標及需求。此外,工業環境中也充斥著許多原本設計上並非與企業網路連線的機具和裝置,因而要做到及時安全更新或安全修補的難度極高。因此這類裝置非常需要妥善的安全防護及釐清資安責任歸屬,同時還需要將企業內日益擴大的潛在資安挑戰進行全方位檢視。
擁有TXOne Networks多數持股的趨勢科技,意識到IIoT應用將面臨一些潛在的安全挑戰,因此對從資料中心至個別裝置的整體生態系中各個安全領域已耕耘許久。結合Moxa在工業網路及通訊協定的產業經驗,雙方的專業強項將可讓TXOne Networks解決工業領域中日益提升的資安需求。
除了投入智慧資產、資金及專責人力之外,兩家母公司也將提供彼此互補的通路資源與專業能力;趨勢科技將為新公司帶來IT通路合作夥伴,而Moxa則有OT通路合作夥伴協助。兩者的結合將進一步強化TXOne Networks業務經營及全球布局的優勢。
瑞薩DRP技術實現低功耗即時影像
瑞薩電子近日宣布,目前正透過端點(Endpoint)的智慧化,積極擴展其嵌入式人工智慧型(e-AI)解決方案的範圍,推動AI導入嵌入式系統。全球已有10多個國家約150家公司在進行基於此技術的工具試驗,而e-AI的實際應用案例則已超過30個。為此,瑞薩開發出了RZ/A2M MPU(微處理器),將e-AI解決方案擴展到高階的應用。此新款MPU能提供超越其前代產品RZ/A1十倍的影像處理性能,並採用瑞薩獨有的可動態重配置處理器(Dynamically Reconfigurable Processor, DRP),以實現低功耗的即時影像處理。這讓採用嵌入式元件的應用產品(如智慧型家電、服務機器人、和小型工業機器),能在低功耗的條件下,透過攝像機和其他AI功能來進行影像辨識,並加速智慧型端點的實現。
目前,要在操作技術(Operational Technology, OT)領域中使用AI,會存在著一些挑戰,例如將大量的感測器數據傳送到雲端以供處理的困難性,以及等待雲端回傳AI判斷時的延遲。瑞薩先前所提供的AI單元解決方案,能透過精確分析馬達或機器的振盪波形,來即時偵測出以往無法找到的故障。但為了加速AI在OT領域的應用,瑞薩開發出了配備DRP的RZ/A2M,藉以實現比波形測量和分析更需要大量數據、以及更強大處理性能的影像AI功能。由於可在極低電力消耗的條件下,實現即時影像處理,因此一些由電池供電的設備將得以執行諸如:基於攝影機輸入的即時影像辨識、使用指紋或虹膜掃描的生物辨識認證、以及手持掃描器的高速掃描之類的任務。這解決了雲端應用所面臨的一些問題,例如即時性能的實現、隱私的確保、和安全性的維護等。