日前,臺(tái)積電傳出電腦病毒感染事件,導(dǎo)致部分生產(chǎn)機(jī)臺(tái)與設(shè)備宕機(jī),受影響范圍遍及臺(tái)積電各廠區(qū)。消息一出引發(fā)制造業(yè)極大震撼,制造業(yè)標(biāo)桿企業(yè),竟然也在資安管理上“栽跟頭”。更引起各界對(duì)工業(yè)互聯(lián)網(wǎng)資訊安全的高度重視。
制造業(yè)借鑒臺(tái)積電工廠病毒擴(kuò)散事件
此次事件中,企業(yè)調(diào)查是“新機(jī)臺(tái)在安裝軟件的過程中操作失誤”,在未完成病毒掃描偵測的作業(yè)前,讓新機(jī)臺(tái)連網(wǎng)上線,以致發(fā)生WannaCry變種病毒擴(kuò)散,造成了大規(guī)模設(shè)備停工,預(yù)估損失近1.7億美元。
如果,素來以管理精實(shí)著稱的臺(tái)積電,都會(huì)發(fā)生生產(chǎn)機(jī)臺(tái)病毒感染事件,顯見在資安防護(hù)工作上,即便建立了密不透風(fēng)、滴水不漏的資安高墻,卻仍然會(huì)有百密一疏之處。對(duì)于一般管理不夠嚴(yán)謹(jǐn)、資訊防護(hù)資源欠缺,或者中小型企業(yè)來說,或許就更難以防堵病毒的惡意侵入了。
事實(shí)上,愈先進(jìn)的廠房,使用的設(shè)備自動(dòng)化程度愈高,系統(tǒng)也愈復(fù)雜。而高度自動(dòng)化的設(shè)備,意外停機(jī)所遭受的影響與損失也會(huì)愈大。
從臺(tái)積電的案例中,我們不難理解,在物聯(lián)網(wǎng)應(yīng)用強(qiáng)調(diào)Machine to Machine(M2M)設(shè)備連網(wǎng)、系統(tǒng)高度連動(dòng)的自動(dòng)化環(huán)境下,若是遭受了病毒或黑客的攻擊,那么,影響范圍和營運(yùn)損失,恐怕是企業(yè)難以承受之重。
因此,在工廠逐步邁向工業(yè)物聯(lián)網(wǎng)(IIoT)全面連線生產(chǎn)環(huán)境下,企業(yè)對(duì)資訊防護(hù)的作為中,已不單純只是資訊人員的工作。從生產(chǎn)管理到資訊管理、甚至行銷、財(cái)務(wù)、總務(wù)等所有部門,從上到下的全體員工,都必須透過管理制度、觀念學(xué)習(xí)、制度規(guī)范等等手段,推動(dòng)IIoT資訊安全的正確觀念,規(guī)范SOP行動(dòng)標(biāo)準(zhǔn),以共同抵御來自四面八方的資安漏洞和可能威脅。
工業(yè)物聯(lián)網(wǎng)時(shí)代 制造業(yè)提筑資安防火墻
PC時(shí)代,電腦病毒的出現(xiàn),多是憤世嫉俗的玩家用來證明自己的破壞能力;隨著Internet的出現(xiàn),有心人士將黑客當(dāng)成賺錢工具;到了物聯(lián)網(wǎng)時(shí)代,企業(yè)及工廠的生產(chǎn)制造設(shè)備陸續(xù)連上云端,物聯(lián)網(wǎng)設(shè)備目前的資安防護(hù)技術(shù)尚未完備,眾多的設(shè)備、閘道連結(jié)節(jié)點(diǎn)又可能存在許多未發(fā)現(xiàn)的漏洞,加上制造業(yè)相對(duì)缺乏資安保護(hù)意識(shí)與措施,企業(yè)和工廠仿佛就像一臺(tái)忘了設(shè)定安全機(jī)制的提款機(jī),隨時(shí)可能被黑客索求。
Gartner預(yù)測,到2020年時(shí),全球使用中的連網(wǎng)物件數(shù)量將達(dá)到204億個(gè),硬件總支出金額預(yù)計(jì)將達(dá)3兆美元。GSMA智庫 (GSMA Intelligence) 預(yù)估,2025年全球的工業(yè)物聯(lián)網(wǎng)設(shè)備連接數(shù)量,將達(dá)到138億個(gè),而工業(yè)物聯(lián)網(wǎng)在工廠的應(yīng)用產(chǎn)值,預(yù)計(jì)可達(dá)3.7兆美元,而大中華地區(qū)的連接數(shù)約為41億個(gè),約占全球工業(yè)市場的三分之一。對(duì)黑客而言,可見有多大的“資安商機(jī)”在其中。
目前許多導(dǎo)入工業(yè)物聯(lián)網(wǎng)的公司并未落實(shí)資安防護(hù)策略,主要是因?yàn)闋I運(yùn)科技(Operation Technology;OT)與資訊科技(Information Technology;IT)的連結(jié)過程之間,因?yàn)槎邩?biāo)準(zhǔn)協(xié)定的落差,造成整合上的困難,而這也是影響工廠數(shù)字轉(zhuǎn)型的主要因素。
OT與IT原本各司其職,而工業(yè)物聯(lián)網(wǎng)則促成了OT與IT環(huán)境走向融合互通,但因二者的本質(zhì)、架構(gòu)、協(xié)調(diào)標(biāo)準(zhǔn)并不相同,因此在融合過程中,現(xiàn)有針對(duì)IT系統(tǒng)設(shè)計(jì)的資安產(chǎn)品,已無法為工業(yè)物聯(lián)網(wǎng)的資安需求提供有效的防護(hù)。
而資安問題會(huì)成為制造業(yè)的高度風(fēng)險(xiǎn),除了企業(yè)不了解工業(yè)物聯(lián)網(wǎng)潛藏威脅的嚴(yán)重性,以及OT與IT整合系統(tǒng)的防護(hù)技術(shù)尚不成熟外,還有第三個(gè)原因,就是缺乏資安執(zhí)行計(jì)劃。
傳統(tǒng)工廠中的一些連網(wǎng)設(shè)備,例如機(jī)器手臂,過去少有資安事件問題發(fā)生;而機(jī)器手臂的核心操作系統(tǒng),很多是使用模組化的開源程式碼(Open Source)進(jìn)行開發(fā),模塊設(shè)計(jì)時(shí)并未考量資安防護(hù),當(dāng)跟其他裝置連結(jié)時(shí),溝通界面就可能產(chǎn)生安全漏洞。
據(jù)統(tǒng)計(jì)預(yù)測,企業(yè)在物聯(lián)網(wǎng)資安投資部分,隨著威脅的不斷升級(jí),全球資安市場規(guī)模未來有上看千億美元的潛力。Gartner最新統(tǒng)計(jì),2018年全球在資訊安全產(chǎn)品及服務(wù)支出的費(fèi)用將超過1,140億美元,較2017年增加12.4%;預(yù)計(jì)2019年市場將持續(xù)成長8.7%,達(dá)1,240億美元。
IIOT入侵管道的知己知彼
在IoT時(shí)代,萬物聯(lián)網(wǎng)背后的意義就是,愈來愈多裝置都會(huì)具備IP位置,都擁有連網(wǎng)能力,以辦公室為例,舉凡個(gè)人電腦、智能手機(jī)、網(wǎng)路印表機(jī)、網(wǎng)路攝像頭、網(wǎng)路電話、印表機(jī)、乃至照明系統(tǒng)、打卡鐘…,皆可能成為黑客入侵的入口,進(jìn)一步擴(kuò)散病毒。
而在工廠生產(chǎn)線部分,像是自動(dòng)控制工具機(jī)、工業(yè)網(wǎng)路設(shè)備、數(shù)據(jù)采集分析(SCADA)系統(tǒng)、物聯(lián)網(wǎng)感測端點(diǎn)/傳輸節(jié)點(diǎn)…也都可能遭受侵入。
此外,在員工個(gè)人的網(wǎng)路安全行為部份,像是個(gè)人資通訊設(shè)備的使用(包括手機(jī)、筆電和US盤等)、網(wǎng)路釣魚、DDoS攻擊、Wi-Fi釣魚式攻擊,也是黑客常用的攻擊手法。
舉例來說,發(fā)生在封閉場域環(huán)境的臺(tái)積電病毒事件,發(fā)生的主因是因?yàn)樾聶C(jī)臺(tái)安裝軟件的過程中,未做好防毒隔離措施,因此可能經(jīng)由U盤導(dǎo)致病毒感染。
2016年,NweWorldHacker黑客組織使用Mirai病毒感染了美國東部10萬部監(jiān)控?cái)z影機(jī),對(duì)DNS服務(wù)供應(yīng)商Dyn發(fā)動(dòng)DDoS攻擊,讓許多網(wǎng)站停止服務(wù),影響了近半個(gè)美國Internet。
2015年發(fā)生的烏克蘭大停電,起因是黑客對(duì)電廠員工進(jìn)行網(wǎng)路釣魚,取得員工登入權(quán),從遠(yuǎn)端登入電廠系統(tǒng)后截?cái)嚯娏Γ腋拿艽a、關(guān)閉電話系統(tǒng),讓員工無法登入重啟系統(tǒng)、也無法互相聯(lián)絡(luò)。
2014年發(fā)生在德國鋼鐵廠的資安事件中,黑客駭入鋼鐵廠的工作網(wǎng)路中,取得鼓風(fēng)爐控制權(quán),造成巨大的損失;2010年伊朗核電廠發(fā)生Stuxnet蠕蟲感染事件,黑客借由視窗作業(yè)系統(tǒng)的Ink捷徑檔嵌入惡意程式,對(duì)西門子的自動(dòng)化生產(chǎn)控制系統(tǒng)進(jìn)行攻擊,所幸未對(duì)當(dāng)時(shí)即將上線運(yùn)作的核能發(fā)電系統(tǒng)造成影響。
黑客攻擊企業(yè)、工廠的案例不勝枚舉,因此企業(yè)除了必須注意網(wǎng)路防護(hù),重視實(shí)體裝置與內(nèi)部設(shè)備行為的防護(hù),還要作好員工上網(wǎng)的觀念教育與行為規(guī)范,盡速建立從內(nèi)到外的完整資安防御網(wǎng)。
此外,設(shè)備制造商、基礎(chǔ)設(shè)施供應(yīng)商亦應(yīng)尋借助專業(yè)資安業(yè)者的協(xié)助,共同定義資安威脅的屬性與來源,強(qiáng)化網(wǎng)路架構(gòu)設(shè)計(jì),推出符合物聯(lián)網(wǎng)環(huán)境的防火墻解決方案。經(jīng)由多方的共同努力和重視,有效降低工業(yè)物聯(lián)網(wǎng)的資安風(fēng)險(xiǎn)。
鞏固工業(yè)物聯(lián)網(wǎng)資安 企業(yè)制勝之道
推動(dòng)工業(yè)物聯(lián)網(wǎng)建制的關(guān)鍵之一,就是制造系統(tǒng)與資訊系統(tǒng)要做到完美連接,因此在資安策略的規(guī)劃上,不僅是資訊部門的工作,必須由OT、IT相關(guān)人員協(xié)力合作,重新建立物聯(lián)網(wǎng)架構(gòu)的資安政策。
對(duì)于制造業(yè)來說,工廠內(nèi)的生產(chǎn)制造系統(tǒng)就是企業(yè)營運(yùn)命脈,對(duì)高度自動(dòng)化、高度連動(dòng)的物聯(lián)網(wǎng)生產(chǎn)線來說,任何設(shè)備一旦無預(yù)警故障停機(jī),不止造成整條生產(chǎn)線的停擺,也會(huì)造成原物料、半成品的損失,影響到訂單延遲出貨的賠償問題、公司商譽(yù)損失…等問題。OT與IT在運(yùn)作上本來就有明顯差異,各自需要不同的資安處理原則;因此,在推動(dòng)工業(yè)物聯(lián)網(wǎng)資安時(shí),不能忽視以制造系統(tǒng)穩(wěn)定為前提,以及制造部門的管理特性和作業(yè)需求。
制造業(yè)若要有效推動(dòng)工業(yè)物聯(lián)網(wǎng)的資安建制,大致可以注意下列四個(gè)重點(diǎn):
首先,要做好設(shè)備資產(chǎn)的盤點(diǎn)工作。盤點(diǎn)項(xiàng)目在于機(jī)臺(tái)廠牌、型號(hào)、韌體、軟件版本型號(hào)等等的列表統(tǒng)計(jì),盤點(diǎn)重點(diǎn)則應(yīng)針對(duì)工業(yè)控制系統(tǒng)、數(shù)據(jù)采集與分析系統(tǒng)、資料庫結(jié)構(gòu)等,分析出可能的弱點(diǎn)或漏洞,進(jìn)行改善。
其次,在完成資產(chǎn)盤點(diǎn)之后,應(yīng)配合標(biāo)準(zhǔn)生產(chǎn)SOP,檢視生產(chǎn)流程中所有可能遭受攻擊的弱點(diǎn),預(yù)測黑客或病毒的攻擊流程和擴(kuò)散方式,完成風(fēng)險(xiǎn)評(píng)估和威脅場景,建立資安威脅模型,然后進(jìn)行漏洞掃描、滲透測試、模擬攻擊、完成系統(tǒng)安全性驗(yàn)證工作、危機(jī)處理演練。
第三,病毒技術(shù)與病毒變種總是“日新月異”,黑客攻擊手法令人防不勝防,因此在完成資產(chǎn)盤點(diǎn)、資安威脅模型后,也要隨時(shí)注意系統(tǒng)安全更新,調(diào)整資安威脅模型、并且作好人員的資安觀念訓(xùn)練及安全作業(yè)的SOP、權(quán)限管理。因?yàn)椋ㄓ须S時(shí)保持資安意識(shí)與能力的與時(shí)俱進(jìn),才能防患于未然。
第四,在資安防護(hù)的工作上,莫存自掃門前雪的心態(tài),企業(yè)應(yīng)與各方資安單位保持互動(dòng),掌握專業(yè)領(lǐng)域最新的物聯(lián)網(wǎng)資安問題與技術(shù),分享學(xué)習(xí)資安情報(bào)與策略作法,例如Critical Intelligence、ICSCERT、Infragard、IoTSF、ISAC、OWASP、SCADAHacker…等組織。
各地積極研擬物聯(lián)網(wǎng)資安舉措
隨著物聯(lián)網(wǎng)應(yīng)用的普及,病毒與黑客攻擊的案件頻傳,資安廠商積極布局物聯(lián)網(wǎng)資安服務(wù)外,產(chǎn)品與設(shè)備制造商也開始將資安防護(hù)列入技術(shù)研發(fā)重點(diǎn)。不止如此,各國與國際組織也正視物聯(lián)網(wǎng)資安問題,針對(duì)個(gè)資泄露、殭尸攻擊等問題,推動(dòng)立法規(guī)范。
2017年美國發(fā)布“強(qiáng)化聯(lián)邦網(wǎng)路與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)路安全”命令,要求公私企業(yè)及政府單位必須分享黑客攻擊情資,8月再提出物聯(lián)網(wǎng)安全強(qiáng)化法案,規(guī)定機(jī)關(guān)單位采購物聯(lián)網(wǎng)設(shè)備時(shí),必須符合網(wǎng)路安全操作標(biāo)準(zhǔn)安全需求。
歐盟組織在2017年則提出了聯(lián)網(wǎng)器材后門加密禁令,要求傳輸端點(diǎn)對(duì)點(diǎn)兩端都提供加密程序,并且禁止賣給終端用戶的聯(lián)網(wǎng)器材“偷開后門”。
中國于2017年3月,中國聯(lián)通聯(lián)合眾多企業(yè)與研究機(jī)構(gòu),在ITU-T SG20訂出全球第一個(gè)物聯(lián)網(wǎng)區(qū)塊鏈(Blockchain of Things;BOT)標(biāo)準(zhǔn),定義去中心化的可信賴物聯(lián)網(wǎng)服務(wù)平臺(tái)框架,用區(qū)塊鏈技術(shù)為物聯(lián)網(wǎng)資安問題提出一道解方。
中國***地區(qū)也在2017年年底,公告“IPCAM資安產(chǎn)業(yè)標(biāo)準(zhǔn)及檢測規(guī)范”正式版,推動(dòng)網(wǎng)路攝影機(jī)的安全驗(yàn)證工作;并在2018年中發(fā)布IoT設(shè)備資安驗(yàn)證標(biāo)章制度,列為資安采購優(yōu)先原則。
各地IoT產(chǎn)品規(guī)范紛紛上路,在法規(guī)要求下,未來廠商生產(chǎn)的設(shè)備需具備資安設(shè)計(jì)。物聯(lián)網(wǎng)市場正從功能優(yōu)先進(jìn)入實(shí)用導(dǎo)向,用戶對(duì)資訊安全設(shè)計(jì)重視度,也將進(jìn)一步推進(jìn)到產(chǎn)業(yè)標(biāo)準(zhǔn)規(guī)范,廠商也更積極重視設(shè)備的資安保護(hù)設(shè)計(jì),及早建構(gòu)其產(chǎn)品優(yōu)勢(shì)。
-
工業(yè)物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
25文章
2367瀏覽量
63811
原文標(biāo)題:【2018工博會(huì)專輯】工業(yè)物聯(lián)網(wǎng)“后盾” 企業(yè)與工廠資安威脅與防護(hù)策略
文章出處:【微信號(hào):DIGITIMES,微信公眾號(hào):DIGITIMES】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論