綜觀人員、流程、技術 重新定義工控安全體系
現今各產業都擁抱數位轉型,製造業也不例外,體現方式即是智慧製造,即是透過新科技的運用,藉此打造更新穎的商業模式、更具破壞性的產品、更敏捷的供應鏈,或提高運作效率;這也意謂工控環境不再封閉,進而導致資安風險隨之升高。
趨勢科技台灣暨香港區總經理洪偉淦歸納,工控資安事件可為四類,首先是目標式攻擊,譬如伊朗核電廠曾遭受的Stuxnet蠕蟲事件,但此類攻擊偏向國家級,一般企業面對到的機率不大,反倒應留意其餘三類,依序是「Collateral Damage」、駭客四處亂攻下遭受池魚之殃;「Target Ransom」,駭客設法入侵企業DMZ、讓電腦成為受控的殭屍電腦回報中繼站,近一步伺機取得帳密後攻向Server Zone,最後遂行生產管理系統加密,阻斷生產資訊傳遞,間接癱瘓產線運作;最新一類攻擊則是植入「挖礦病毒」,耗用廠內大量電腦設備的運算資源,連帶造成網路壅塞,嚴重干擾產能。
綜觀上述攻擊型態,我們不難推敲駭客思路,一些針對工控特殊協定設計的刁鑽攻擊,雖會發生但並非主流,只因駭客偏好成功機率高、易於複製、易於牟利的手法,因此基於老舊OS、未上Patch的弱點攻擊,才是用戶最需嚴防的威脅。
如何防範這些威脅?洪偉淦建議須從整體管理概念來進行,資安涉及人員、流程、技術等管理構面,技術只是輔助工具。企業務先重新定義工控安全組織,匯集IT、OT不同專才,彼此平時如何合作、戰時如何分工,將所有運作機制都設定清楚。其次企業須針對廠內老中青三代電腦的不同OS、不同承載能力,實施不同安全配置,另需限縮電腦的對外溝通和存取能力,所以應用程式白名單技術就顯得十分重要。
緊接著,企業不單單需要做好內部防禦,亦需制定供應鏈安全政策,不管協力夥伴欲帶進任何設備、程式,都需遵守規定,先行通過必要安全檢查才准予放行。最後企業需建立資安監控與稽核機制,且先行定義資安事故應變處理機制(IR),以避免事發時陷於慌亂、導致延宕復原時間而加重災難損失。