账号:
密码:
智动化 / 文章 /

网路攻击事件频传 资安已成嵌入式系统重大挑战
[作者 王明德]   2020年01月07日 星期二 浏览人次: [3794]

在物联网概念的带动下,连网逐渐成为嵌入式系统的重要功能,尤其是制造、交通等过去较为封闭的场域,现在都需要与IT系统整合,让资讯可以被进一步利用,创造出更多价值,不过这也让OT系统产生以往少有的资安问题,因此在智慧化时代,让嵌入式系统的效能与安全得以兼具,就成为系统设计者必须严正面对的问题。



图1 : 网路攻击已成为嵌入式系统业者必须严正面对的问题。(source:DFLabs)
图1 : 网路攻击已成为嵌入式系统业者必须严正面对的问题。(source:DFLabs)

观察这几年的发展,包括工业领域在内的各种制造系统、医疗产业的行动医疗车与电子药柜、金融机构的汇款系统、ATM…等嵌入式设备,都因连网成为必要功能,成为骇客的攻击目标,金融业方面,2016年7月第一银行爆发ATM盗领案後,2017年10月远东银行国际汇款交易系统又遭骇客制造假交易,医疗领域则是最近的事情,2019年9月台湾医疗院所发生勒索软体攻击的情事,共有22家医院受到勒索病毒影响,部分医院主机被骇客当成跳板,经由VPN网路进行攻击。制造业部份,近期最大事件就是2018年8月台积电半导体产线中毒,造成52亿元损失,成为台湾有史以来损失最大的资安事件。


资安防范走向法制化

从架构面来看,全球智慧制造大约从2016年开始落地,导致这几年工业控制系统的资安漏洞数量逐年上升,光是2018年就比2017年增加了30%,其中又以HMI/SCADA与工业网通设备为主,其次则是PLC与远距终端机装置(Remote terminal unit;RTU),这三大项目都是制造业近年来与IT系统整合的OT设备,在多数导入厂商在资安方面的资源投入不足下,让骇客有机可乘,而由於机械产业是台湾第三个年产值破兆的产业,一旦资安事件发生的频率过高,将危及国家经济,因此除了厂商必须努力强化安全机制之外,政府业也积极协助,解决资安问题。


嵌入式联网系统的资安问题不只在导入企业,也包括产品外销至欧美市场的嵌入式设备业者,以美国为例,近年来该国供应链安全环境日益严峻,根据NIST(国家标准暨技术研究院)的报告,有98%的制造商於2016~2018两年间曾有生产中断事件,因此造成经济损失超过2500万美元者高达55%,而生产中断有24%是来自网路攻击,整体而言,2018年来自供应链的攻击事件就成长了78%。因此,NIST在2018年发布了资安框架(Cybersecurity Framework;CSF)1.1版本,此版本是在2014年发布首版,目的是为了协助政府与企业进行资安威胁识别与管理,因应嵌入式系统的资安威胁,2018年首次重大改版。


此版本聚焦在重视能源、银行、通讯和国防等攸关美国国安与经济的关键基础设施产业资安管理,并特别将「供应链风险管理」(Supply Chain Risk;简称SCRM)增列至核心类别,代表供应链风险已有相当的重要性,须全面识别与因应,建议企业将资通安全纳入高风险供应商合约中,定期评估和监控供应商资安状况。


美国总统川普已发布总统令,要求联邦政府与关键基础设施业者强制采用NIST CSF架构管理资安风险,并在2018年8月NIST推出「Small Business Cybersecurity Act」後,将此标准推广至美国3千万家中小企业,作为资安管理之叁考依据,除了美国外,其他国家他国家与企业也相继采用,2018年起已扩散至日本、英国、义大利、加拿大、以色列等国政府、能源委员会、国防与企业等全球30个国家。


法制规定带来蓝海市场

除了NIST的新版本资安框架外,由於5G时代来临,ICT供应链技术快速演进 增加资安风险,美国政府表示对手常透过ICT技术漏洞,进行恶意攻击,因此美国政府也从政策面强化嵌入式设备与ICT的供应链风险管理,2018年7月美国国土安全部辖下资安及基础设施安全局,整合联邦机构及科技大厂成立「ICT Supply Chain Risk Management Task Force」,以推动供应链威胁资讯共享、建立供应链安全评估框架与标准、研拟合格制造商清单以防堵有安全风险的ICT产品等三大措施,希??建构美国建构ICT供应链风险管理与因应能力。



图2 : 全球智慧制造从2016年开始落地,导致这几年工业控制系统的资安漏洞数量逐年上升。(source:Network World.com)
图2 : 全球智慧制造从2016年开始落地,导致这几年工业控制系统的资安漏洞数量逐年上升。(source:Network World.com)

目前「ICT Supply Chain Risk Management Task Force」的成员包括了20个政府单位、40家 ICT与晶片大厂,有些成员目前正在制定服务投标业者与制造商清单,未来未纳入此名单的业者,可能无法供货给上述机构与业者,在今年,川普更进一步强化相关的作为,川普已签署行政命令,禁止美国机构、企业或个人交易、使用对美国国安造成重大风险的ICT产品或服务。


除了美国之外,欧盟近期也开始加强嵌入式系统的资安法规,因此从过去几年的发展来看,隐私与资安已陆续法制化,对业者来说,这些法规虽对产品研发与制造带来挑战,但也代表另一波蓝海市场的启动。现在全球企业对网络钓鱼,勒索软体等攻击日益重视,OT端点、OT网路与OT监控安全等需求不断增加,加上在政府法规要求下品牌客户开始要求供应链安全,从2010~2018年全球公开上市的资安公司就从12家成长至33家,全球公开上市资安公司市值,更从2010年的718亿美元成长至2018年达到1,597亿美元,而从整体发展来看,目前此市场仍只在初期阶段,後续成长潜力将十分惊人。


不过,相对於国外厂商,台湾企业在资安投资虽已逐渐重视,但仍然不足,2018年有90%的台湾企业在资安方面的投资至少是持平,上市柜公司28%企业会增加资安投资,更有10%的新增资安人力。而在所有产业中,不论是资安投资金额或年成长率,金融业都是首位,其平均资安投资金额达到新台币3,045万元,机电与医疗两大产业则偏低。


至於被认为是非消费性嵌入式架构重点的制造系统,多数厂商尚未全面导入OT资产资讯可视化机制,难以即时监控设备状态,OT应用程式的资安管理也仍有努力空间,至於IT/OT网路与OT内网,台湾则已有近90%的制造业者采用实体隔离,未来将会进一步强化。


在成本与效能的考量下,非消费性领域的嵌入式系统发展已然蓬勃,不过资安挑战也将随之而来,现在欧美市场对资安与隐私的问题向来重视,台湾厂商必须及时了解其法规发展,方能掌握商机,达到企业永续生存的目标。


**刊头图(source:Cognos IT Solutions)


相关文章
促进工作负载整合
在物联网中添加【物】的六种方法
甲骨文:2020-2025年十大云端趋势预测
AIoT智慧化需求引路
嵌入式系统朝向数据为核心的设计架构
comments powered by Disqus
  相关新闻
» 汉翔运用达梭系统解决方案 如期实现国机国造高教机
» 西门子扩展Xcelerator解决方案 助电子电气系统整合开发
» 易控TM协作机器人实战应用说明会实际案例分享
» 美国AUTOMATE SHOW 2019落幕 宾通智慧科技亲自与会获奖
» 2019鼎新高峰年会-企业数位化转型论坛圆满闭幕
  相关产品
» PTC产品生命周期管理SaaS前四季订单翻倍
» PTC推出新版ThingWorx制造业应用程式
» 西门子计画推出全新数位化零件制造平台
» MAKEVR将专业设计、模型制作、3D列印带入虚拟实境
» PTC新版PTC Mathcad Prime 4.0可提升产品开发计算效率与安全


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2020 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@hope.com.tw