技術(shù)
導(dǎo)讀:過去多數(shù)工廠因設(shè)備老舊、缺乏專業(yè)整合人才,或因其為封閉系統(tǒng)而缺乏資安防護(hù)觀念。
智慧工廠(Smart Factories)是工業(yè)物聯(lián)網(wǎng)(IIoT) 改造傳統(tǒng)制造業(yè)的最佳展現(xiàn),在萬物聯(lián)網(wǎng)(圖 1)、大數(shù)據(jù)與 AI 等技術(shù)的結(jié)合下,智能制造、智能醫(yī)療、智能交通已成為臺(tái)灣轉(zhuǎn)型升級(jí)目標(biāo)。然而,所面對(duì)的操作科技(OT)資安威脅會(huì)更嚴(yán)苛,只要遭遇一次重大網(wǎng)絡(luò)攻擊,原本物聯(lián)裝置所帶來的效益,恐怕瞬間就會(huì)化為烏有,例如:機(jī)密資料外泄、營運(yùn)生產(chǎn)停頓、供應(yīng)鏈斷炊。近年來鎖定智能工廠的病毒越來越多,全球都有受害的災(zāi)情不斷傳出,不只影響生產(chǎn)線運(yùn)作,更甚者會(huì)危及國家基礎(chǔ)設(shè)施,并要當(dāng)心成為勒索軟件目標(biāo)。
圖 1:物聯(lián)網(wǎng)運(yùn)用遍及各種產(chǎn)業(yè)
打破封閉內(nèi)網(wǎng)是安全的觀念
過去多數(shù)工廠因設(shè)備老舊、缺乏專業(yè)整合人才,或因其為封閉系統(tǒng)而缺乏資安防護(hù)觀念。在工業(yè)物聯(lián)網(wǎng)的建置下,企業(yè) IT 與廠房 OT 系統(tǒng)相互串連,使長久以來一直是被認(rèn)為封閉網(wǎng)絡(luò)的 OT 環(huán)境,暴露在可能遭受網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)下,包括商業(yè)機(jī)密遭竊取、惡意中斷營運(yùn)、攻擊基礎(chǔ)設(shè)施造成生產(chǎn)損失、甚至造成工安事件危害人員健康與安全等。
有些工廠開放機(jī)臺(tái)可以透過防火墻直接對(duì)外,任何人皆可以對(duì)機(jī)臺(tái)進(jìn)行聯(lián)機(jī)管理,甚至從外部亦可以透過 IE 聯(lián)機(jī),進(jìn)行管制。由于機(jī)臺(tái)物聯(lián)網(wǎng)化后加速生產(chǎn)力,但是對(duì)于網(wǎng)絡(luò)的管理并沒有嚴(yán)格要求與落實(shí),容易造成后續(xù)資安維護(hù)管理上漏洞。因此在導(dǎo)入裝置物聯(lián)網(wǎng)后,聯(lián)網(wǎng)的機(jī)具、人員管理識(shí)別、網(wǎng)絡(luò)流量檢測(cè)、LOG 紀(jì)錄追蹤都是需改善的要點(diǎn),所以需要在原來的系統(tǒng)上加入信息安全的防護(hù),除了原本防火墻基礎(chǔ)網(wǎng)絡(luò)防護(hù)外,建議區(qū)隔 IT 與 OT 的網(wǎng)絡(luò)架構(gòu)(圖 2)、做好定期弱點(diǎn)掃描及人員資安教育訓(xùn)練課程等,除了保護(hù)企業(yè)的信息外也保護(hù)自己的網(wǎng)絡(luò)財(cái)產(chǎn),萬一真的不幸發(fā)生攻擊事件,可以將損害降到最低。
圖 2:強(qiáng)化 OT 內(nèi)網(wǎng)安全
智能工廠(OT 廠域)存在的資安威脅
攻擊的來源來自幾個(gè)地方,每個(gè)方向的目的并不一樣,整個(gè)系統(tǒng)的問題分析如下:
(1) 來自網(wǎng)絡(luò)黑客的攻擊:
可能帶有炫耀或是威脅意圖,例如:黑客發(fā)出勒索郵件,要求交付比特幣當(dāng)贖金,如果不從就不定期發(fā)出癱瘓攻擊,癱瘓戰(zhàn)情中心或是阻斷客戶端的網(wǎng)絡(luò)。勒索金額相對(duì)于工作上的損失,通常小很多,所以企業(yè)都會(huì)付贖金息事寧人,這樣更助長這類的惡意行為。
(2) 惡意人士攻擊:
客戶端的現(xiàn)場(chǎng)通常是無人的環(huán)境,有心人士進(jìn)入專屬的內(nèi)部網(wǎng)絡(luò)根本不費(fèi)吹灰之力,在這個(gè)狀況下,要竊取、偽造數(shù)據(jù)或是癱瘓網(wǎng)絡(luò)運(yùn)作,就像開了一道任意門暢通無阻。
(3) 人員疏忽:
因?yàn)閮?nèi)部計(jì)算機(jī)跟廠房機(jī)臺(tái)網(wǎng)絡(luò)是沒有任何管制,萬一有人被引誘點(diǎn)了釣魚郵件后,裝入后門程序,讓惡意攻擊者有竊取機(jī)密數(shù)據(jù)與發(fā)動(dòng)勒索攻擊的機(jī)會(huì),例如,把服務(wù)器的數(shù)據(jù)加密藉以勒索。
(4) 不安全的身分認(rèn)證:
在 IT 的網(wǎng)絡(luò)環(huán)境中,對(duì)身分的權(quán)限管理是相當(dāng)重視的,常見以相當(dāng)多的認(rèn)證機(jī)制嚴(yán)謹(jǐn)管控身分權(quán)限。不過,傳統(tǒng)的 OT 環(huán)境架構(gòu),注重系統(tǒng)的運(yùn)行與穩(wěn)定度,面對(duì)資安的風(fēng)險(xiǎn)問題相對(duì)較低。因此在認(rèn)證權(quán)限方面就容易忽略,產(chǎn)生許多不安全的聯(lián)機(jī),讓廠內(nèi)的人員或是設(shè)備的技術(shù)人員,只要利用計(jì)算機(jī),就能輕松登入生產(chǎn)設(shè)備。
(5) 不安全的協(xié)議:
一般生產(chǎn)設(shè)備之間的工業(yè)通訊協(xié)議,因發(fā)展的比較早,并未考慮與設(shè)計(jì)網(wǎng)絡(luò)安全的相關(guān)功能。例如只要持有內(nèi)建 Modbus 通訊協(xié)議的計(jì)算機(jī),就能透過 Modbus 對(duì)生產(chǎn)設(shè)備發(fā)出任何指令并執(zhí)行。
(6) 事件紀(jì)錄跟搜尋:
現(xiàn)況,每一個(gè)設(shè)備都是獨(dú)立運(yùn)作,并各自保留記錄,能記錄的項(xiàng)目及時(shí)間就看設(shè)備本身的儲(chǔ)存裝置,當(dāng)需要事后查詢時(shí),就需要進(jìn)入每一個(gè)設(shè)備中,用他的方式去查詢,費(fèi)時(shí)耗力。
(7) 過期設(shè)備系統(tǒng)安全更新:
設(shè)備廠商會(huì)對(duì)設(shè)備的操作系統(tǒng)進(jìn)行例行的安全性更新,當(dāng)設(shè)備廠商宣布設(shè)備停產(chǎn)或是倒閉后,就不會(huì)對(duì)設(shè)備進(jìn)行安全性更新,例如,Microsoft 對(duì) Windows 7 就不會(huì)進(jìn)行任何安全性更新,此時(shí) Windows 7 的漏洞就暴露出來,讓有心人士有機(jī)可趁。
但是在工業(yè)環(huán)境中,因?yàn)檎w系統(tǒng)軟硬件一起運(yùn)作的因素,設(shè)備更替的速度跟 IT 環(huán)境是不一樣,往往 10-20 年的設(shè)備依舊在運(yùn)作,沒連網(wǎng)前沒問題,一旦上因特網(wǎng)就有潛在的威脅。
(8) 無專業(yè)維護(hù)人員:
多數(shù) OT 管理者對(duì) IT 維護(hù)不熟悉,很擔(dān)心設(shè)備發(fā)生故障或出現(xiàn)問題時(shí),無法實(shí)時(shí)處理而影響產(chǎn)線的運(yùn)作。
區(qū)隔 IT 與 OT 網(wǎng)絡(luò)架構(gòu),保護(hù) OT 內(nèi)網(wǎng)安全脅
攻擊的來源來自四面八方,在信息跟網(wǎng)絡(luò)安全的考慮下,眾至建議導(dǎo)入智慧聯(lián)網(wǎng)工廠將目前的網(wǎng)絡(luò)架構(gòu)進(jìn)行調(diào)整,每一個(gè)不同目的的網(wǎng)絡(luò)區(qū)塊,執(zhí)行不同安全等級(jí)的信息安全防護(hù),例如,OT 網(wǎng)絡(luò)聯(lián)機(jī)的對(duì)象都是固定,所以在防火墻上就可以執(zhí)行嚴(yán)格的白名單策略,非允許的 IP 地址都會(huì)被拒絕聯(lián)機(jī)。將對(duì)外供應(yīng)鏈的服務(wù)器、OT 網(wǎng)絡(luò)跟內(nèi)部網(wǎng)絡(luò)進(jìn)行實(shí)體網(wǎng)絡(luò)的區(qū)隔,新的網(wǎng)絡(luò)架構(gòu)示意圖(圖 3)如下:
圖 3:區(qū)隔 IT 與 OT 網(wǎng)絡(luò)環(huán)境
面對(duì)傳統(tǒng)制造業(yè)的升級(jí)轉(zhuǎn)型,智能工廠中的 IT 與 OT 的整合也擴(kuò)大了企業(yè)的攻擊面,傳統(tǒng)安全措施不太會(huì)充分考慮這些,例如,可能不適用于 OT 的區(qū)隔安全解決方案。正因如此,智慧工廠不僅容易受操作問題影響,也易受到 DDoS、勒索軟件、網(wǎng)絡(luò)釣魚、系統(tǒng)漏洞、惡意軟件、裝置遭害等影響。
IT 與 OT 的思維不同,IT 要的是創(chuàng)新,OT 要的是穩(wěn)定。為了有效讓 OT 環(huán)境維持穩(wěn)定運(yùn)作,除了區(qū)隔 IT 與 OT 網(wǎng)絡(luò)環(huán)境外,建議在強(qiáng)化威脅情報(bào)信息通知,以達(dá)到【事前防范】、【事中阻擋】及【事后追蹤】運(yùn)作目標(biāo)(圖 4),減少被黑客、病毒入侵及攻擊的機(jī)會(huì)讓整個(gè)網(wǎng)絡(luò)達(dá)到可控、可管的目標(biāo),就算被癱瘓,也能把損失控制在一個(gè)小區(qū)域,不會(huì)外散到整個(gè)網(wǎng)絡(luò)環(huán)境。
圖 4:藉由端點(diǎn)防護(hù)設(shè)備、縱深防御、全面管控與威脅情報(bào),打造內(nèi)外網(wǎng)安全
ShareTech 智能工廠 OT 架構(gòu)與解決方案
概念是把每一個(gè)運(yùn)作的單元用防火墻區(qū)隔,要進(jìn)出本區(qū)之外的網(wǎng)絡(luò)都需要進(jìn)行身分識(shí)別及留下存取紀(jì)錄,并利用 VPN 的加密技術(shù),把原本在網(wǎng)絡(luò)上明碼傳遞的信息加密。然后整體的 IT 網(wǎng)絡(luò)跟 OT 網(wǎng)絡(luò)也是用防火墻做切割,只有被允許的人才能存取另一邊的網(wǎng)絡(luò)。在這個(gè)架構(gòu)下,OT 層的網(wǎng)絡(luò)防護(hù)的機(jī)制說明如下:
網(wǎng)關(guān)安全防護(hù)
具備防火墻的防護(hù)機(jī)制(圖 5),能夠阻擋黑客的惡意掃描及碎片攻擊等,能夠阻擋的項(xiàng)目包含封鎖 IP、封鎖 Land 攻擊、封鎖Smurf、封鎖 Trace Route、封鎖 Fraggle、封鎖 Tear Drop 攻擊、封鎖 ICMP / SYN / PIN of Death 等攻擊。
保護(hù)后端的服務(wù)器或是 PLC 等工業(yè)連網(wǎng)設(shè)備,避免 ICMP / SYN(TCP) / UDP 等通訊協(xié)議的洪水攻擊(DOS)跟分布式洪水攻擊(DDOS),導(dǎo)致服務(wù)被中斷或式癱瘓,針對(duì)每一個(gè)通訊協(xié)議可以設(shè)定保護(hù)的力道。
圖 5:檢視網(wǎng)絡(luò)流量,降低內(nèi)網(wǎng)惡意攻擊行為
提高網(wǎng)絡(luò)威脅能見度(圖 6)
主要有三點(diǎn):
(1) 揭露隱藏的風(fēng)險(xiǎn)
加強(qiáng)對(duì)高風(fēng)險(xiǎn)活動(dòng)、可疑流量和進(jìn)階型威脅的可見度。
(2) 阻止未知威脅
透過大數(shù)據(jù)分析、學(xué)習(xí)和系統(tǒng)漏洞補(bǔ)防,保護(hù)企業(yè)組織網(wǎng)絡(luò)安全。
(3) 隔離受感染的系統(tǒng)
自動(dòng)隔離網(wǎng)絡(luò)中已經(jīng)遭駭?shù)南到y(tǒng),并阻止威脅擴(kuò)散。
圖 6:檢測(cè)加密、非加密網(wǎng)絡(luò)聯(lián)機(jī)是否有惡意行為
管制 port 的建立聯(lián)機(jī)機(jī)制
開越多的對(duì)外服務(wù) Port,代表把自己暴露在外的風(fēng)險(xiǎn)因素增加,所以對(duì)于已知的聯(lián)機(jī)對(duì)象,不管對(duì)方是使用動(dòng)態(tài)或是固定 IP 地址,都可以利用防火墻普遍有的 IPSec VPN,建立安全的 VPN 信道傳遞信息(圖 7),而不需要開 Port 的方式達(dá)成聯(lián)機(jī)的需求。
圖 7:透由 VPN 強(qiáng)化安全聯(lián)機(jī)
建立白名單管理機(jī)制
由于惡意軟件的變種速度太快,如果靠黑名單來做把關(guān)可能沒那么可靠,所以對(duì) IOT 設(shè)備的軟件管理權(quán)限,應(yīng)該都用白名單機(jī)制來進(jìn)行控管。在 IOT 場(chǎng)域里具有極少變動(dòng)的特性,通常系統(tǒng)在安裝后,應(yīng)用程序即維持不變。管理者可以決定哪些程序是允許被執(zhí)行,其余的程序?qū)⒈蛔钃酢.?dāng)所有程序被允許執(zhí)行時(shí),應(yīng)用程序白名單可以過濾內(nèi)容或限定其帶寬使用量。
圖 8:ShareTech OTS 提供白名單防護(hù)機(jī)制
只允許特定的協(xié)議通過,避免非必要的數(shù)據(jù)泄出
在工控環(huán)境系統(tǒng),有些單位為了遠(yuǎn)程管理的便利性,使用 SSH、Telnet、網(wǎng)頁登入聯(lián)機(jī)模式,如果沒有采取任何安全管理措施,例如:只限定某些特定 IP 才能存取,或者必須經(jīng)過身分認(rèn)證后才能使用服務(wù)(圖 9),否則讓黑客輕易入侵系統(tǒng)管控設(shè)備,容易引起大災(zāi)難。SharTech OTS 防護(hù)設(shè)備可以與 AD/POP3/Radius 做認(rèn)證授權(quán)機(jī)制,可協(xié)助管理人員與監(jiān)控企業(yè)內(nèi)部所有使用者賬號(hào),在確認(rèn)使用者的 ID 的有效授權(quán)之后,才能允許其使用網(wǎng)絡(luò),讓企業(yè)可以有效管理網(wǎng)絡(luò)使用資源。
圖 9 ShareTech OTS 防護(hù)設(shè)備提供身分識(shí)別機(jī)制
支持工業(yè)網(wǎng)絡(luò)協(xié)議
ShareTech OTS 防護(hù)的設(shè)備要能支持常用的工業(yè)控制協(xié)議(圖 10),例如,EtherCAT 使用 TCP/UDP 34980、EtherNet /IP 使用 TCP 44818 UDP 2222,管理者只要選取這一些協(xié)議名稱,會(huì)自動(dòng)對(duì)應(yīng)出應(yīng)該開放的 Port 號(hào),至于其他的通訊 PORT 全部被關(guān)閉。 以計(jì)算機(jī)組裝線為例,若封包夾帶可疑的參數(shù),要求機(jī)械手臂執(zhí)行標(biāo)準(zhǔn)以外動(dòng)作,ShareTech OT 防護(hù)設(shè)備在接獲數(shù)據(jù)封包后,將進(jìn)行封包分析、阻擋,降低計(jì)算機(jī)廠商蒙受巨額財(cái)物損失。
圖 10:ShareTech OTS 支持工業(yè)協(xié)議埠
專屬OPC入侵防御機(jī)制
導(dǎo)入OPC入侵防御機(jī)制(圖 11),收集所有 IT、IOT 網(wǎng)絡(luò)的封包與訊號(hào),并且采用深度封包檢測(cè)(DPI)的方式進(jìn)行比對(duì),分析通訊協(xié)議當(dāng)中的每個(gè)層級(jí),掌握出現(xiàn)異常數(shù)據(jù)的行為。讓管理者可以在與關(guān)鍵工控設(shè)備連接的網(wǎng)絡(luò)路徑上,及時(shí)偵測(cè)到攻擊事件的發(fā)生、并依照管理員的設(shè)定,中止或阻絕入侵行為,包括自動(dòng)攔截棄置攻擊封包,并依據(jù)設(shè)定,留下攻擊的記錄即通知管理者等連續(xù)的應(yīng)變措施。
圖 11:首創(chuàng)OPC入侵防御機(jī)制
日志
對(duì)于進(jìn)出防火墻的事件有一個(gè)獨(dú)立的地方可以查詢,例如,何時(shí)、從哪里來的管理者,執(zhí)行了哪一個(gè)動(dòng)作,把這一些數(shù)據(jù)記錄下來,方便管理者日后追蹤。
統(tǒng)整成威脅情報(bào) - 戰(zhàn)情室
詳細(xì)的網(wǎng)絡(luò)通聯(lián)紀(jì)錄及訊息通常會(huì)有專業(yè)的網(wǎng)絡(luò)管理者來判讀,但是為了讓高階的管理者能夠立刻了解整個(gè)網(wǎng)絡(luò)的安全程度、防護(hù)力道等信息,有一個(gè)統(tǒng)合的威脅情報(bào)信息,以圖表的方式呈現(xiàn),讓高階領(lǐng)導(dǎo)者快速的明了系統(tǒng)的安全度。
設(shè)備災(zāi)難復(fù)原機(jī)制
當(dāng)設(shè)備因外在事故無法正常運(yùn)作時(shí),硬件本身要能支持 LAN BYPASS 模式,不影響工廠生產(chǎn)營運(yùn),如果是硬件損壞無法運(yùn)作,最好可以利用 USB 插槽,平時(shí)做好配置文件備份動(dòng)作,當(dāng)設(shè)備真的無法運(yùn)作,只要立即更換一臺(tái),將原本 USB 換插到新機(jī)上開啟電源,就會(huì)自動(dòng)將原本的配置文件數(shù)據(jù)帶入,不用 5 分鐘完成災(zāi)難救援的服務(wù)。