建立弱點防禦機制 避免惡意程式輕易擊潰ICS
去年(2018)底,全球網路資安方案領導廠商趨勢科技發表「2019年資安年度預測報告」,報告中提出針對工業控制系統ICS的攻擊將成為一項日益嚴重的威脅,因為現今的企業營運較以往更加仰賴即時數據,工控系統必須連結網路,因而給予駭客可乘之機,有機會利用不具備網路安全防護的工控系統做為跳板,對企業進行攻擊。
趨勢科技台灣暨香港區總經理洪偉淦表示,根據該公司ZDI統計,從2016、2017至2018等三個年度的上半期間,ICS及SCADA(監控與資料擷取系統)的漏洞數量都呈現逐年倍增之勢;儘管2019上半最新統計數量尚未出爐,但推測情況並未好轉。不過他認為發現漏洞是好事,有助於及早預防駭客入侵ICS的可能性。
依照2019年上半的觀察,台灣地區工控系統遭受攻擊的主要途徑,仍以傳統OS漏洞居首,倒未必是相對特殊的SCADA弱點,如造成去年震驚各界的晶圓廠感染事件的系統漏洞,便是已經被發現並存在一段時日;換言之,駭客即便還未鑽研工廠所用的特殊協定,都有機會利用現有的威脅工具,癱瘓工廠的生產運作。
根據目前台灣工控環境的攻擊案例,可以分為下面幾種類型:首先第一種是「池魚之殃」,也就是駭客或惡意程式原來並非瞄準工控系統作為攻擊目標,但由於惡意程式會自動對含有漏洞系統進行攻擊,這時包含漏洞的工控系統就會被波及,可能進而使廠區癱瘓。其實包括SCADA、MES等系統,普遍走TCP/IP協定、採用Windows平台,基本上仍是採用傳統作業系統的「類電腦」,而駭客不管是IT或OT,只要有漏洞即鑽,連帶也會讓工控系統中招。
其次是「刻意攻擊」,駭客設法滲透企業的工控網路、攻打特定主機,讓產線雖然仍可運作,但管理系統卻已癱瘓,導致管理者根本無從得知當下產能是否滿足訂單需求,也無法將即時生產資訊傳遞給國外大客戶,影響所致工廠已幾近停擺。再者是「挖礦」,駭客在廠區內大量散播挖礦病毒,將工廠內成千數百台電腦設備的運算源吃乾抹淨,最終導致網路不通、電腦運作遲緩,生產力大受影響。
不影響產能為前提,計畫性部署防禦功能
總的來說,OS老舊、漏洞不易修補加上幾乎未做防毒,是造成ICS脆弱的主因,但解決這些問題不見得容易,有些甚至想改也改不了,比方說OS過舊已無Patch可上,或基於特定用途而設計的電腦原本就無足夠空間加裝資安軟體,另外企業主更擔心的是Patch與機台程式相衝突,小則導致參數配方偏移、重則造成當機或無法開機,而機台原廠也不見得提供保固,任何結局都是工廠難以承受之重。
然而洪偉淦強調,無論如何,製造業者或油水電關鍵設施提供者,仍應建立弱點防禦觀念,若有些工控電腦可以上Patch就應該上,再思考如何透過管理流程的調整,有計畫性地將Patching可能造成的衝擊降到最低,逐步從可用性與安全性間調適最佳平衡。
至於無法上Patch的電腦,可從外圍解決,譬如利用入侵防禦系統(IPS),守護進出工控環境的大門口,並搭配虛擬補丁功能,防堵惡意程式利用漏洞入侵,另外可考慮導入應用程式白名單技術,透過其簡單、輕量化等特點,讓即使是運算資源有限的機台,仍可阻止不明程式;又或者利用非常駐型的防毒USB,伴隨機台檢修或更新時做一次掃毒,都不失為防禦之道。
未來製造,雲端、物聯、數據蒐集已成關鍵。但是,當生產資訊出得去、外部攻擊進得來……您知道您的工廠,安全嗎?8/8登場的資安論壇,活動主題訂為「保障IIoT安全,加速智慧製造」,邀請中油資訊部經理分享工控系統安全管理經驗、工研院資通所專家探討高科技製造業資安標準,還有重量級業者趨勢、研華、四零四、精品…提出最新市場觀察與解決方案,全程參與聽眾有機會抽中PS4一台!免費活動,歡迎各界報名參加。