在疫情的肆虐下,全球各企業紛紛加快數位轉型步伐,並大舉擁抱5G、物聯網、AI人工智慧、邊緣運算等科技,藉此建立更具韌性的營運體質。只不過,這也使得過去封閉的IT與OT環境更為開放,也讓資安問題變得更為嚴峻。光是2021年上半年,IoT裝置的資安攻擊事件就比起過去同期大幅倍增,特別是工業級別的物聯網設備,一旦遭受攻擊,企業往往將遭遇龐大的損失。這使得工業物聯網安全威脅已不能再等閒視之。
| 圖1 : 許多IT資安方案無法滿足工業市場特殊的OT需求。要確保OT資安的完整性,就必須同時具備OT的專業知識及網通能力。 |
|
數位化下的攻擊常態
由於智慧製造需求加劇,近年來,IT與OT在工業市場正加速融合。根據IDC 2022年全球IT與OT多網融合市場與趨勢預測指出,到了2024年,將有七成五採用邊緣運算的全新OT應用程式,會透過作業程式虛擬化,將所有必要的執行檔、程式碼及設定檔等,打包為一個標準軟體套件,讓開發人員能利用該套件順暢地跨環境部署應用程式,形成一個更加開放與組合式的架構及符合彈性OT維運需求的環境。
此外,針對今日企業常遇到的勒索病毒問題,也再次顯示了備份及還原對於建立完整資料保護策略的重要性。面對數位化時代來臨,勒索病毒攻擊已逐漸成為常態,全球企業與工廠經常因此備受困擾,並面臨支付昂貴贖金的風險。根據Cybersecurity Ventures預測,到了2031年,全球因勒索病毒危害所帶來的成本將高達2,650億美元。儘管企業機構與工廠普遍認知到這項風險,但對於內部現有的防範措施是否有效、以及未來應達成的資安程度,仍有一段認知上的差距。
Pure Storage指出,建立一套實質且具意義的資料保護策略,並採取前、中、後期的完整規劃,是今日企業成功的重要因素之一。雖然適當的防範措施是預防攻擊的必要元素,但妥善的還原規劃對企業來說也同樣重要。
IT與OT融合趨勢
工業數位化的轉型,正在快速推動運營技術(OT)整體格局的改變,使其與物聯網、IT 系統與解決方案之間的聯繫更為緊密。運營技術是使用硬體與軟體搭配的系統,來監控並控制工廠的有形資產和生產運營。工業控制系統(ICS)是OT的一個重要組成元素,包括用於工業過程控制的不同種類控制系統和相關儀器。隨著這些環境的不斷發展,OT環境正在利用更多的IT解決方案,來提高生產運營的生產力和效率。IT和OT系統的這種融合,正在創造一種混合技術,用以適應惡劣的工業網路環境。
工業物聯網(IIoT)正是將工業控制系統與企業系統和物聯網、業務流程及分析洞察能力連接與整合的系統,是智慧製造和工業4.0的關鍵推動力。工業物聯網可以進一步拓展工業環境的可應用技術範圍。當然,OT與IT的融合,也為工業客戶帶來必須妥善管理的全新安全風險和挑戰。
IDC研究總監Jonathan Lang長期專注於研究並追蹤全球IT與OT的多網融合策略及趨勢,他認為網路與資訊安全對OT環境中各種設備和設定具有強大的相乘作用。但前提必須是兩者都是為OT環境特別設計的,才能發揮預期的綜效。隨著全球工業環境數位化程度持續深化,以及OT設備與系統連網的需求日增,將會有新型態的產業要求與標準出現,目的就是要能確保供應商能與時俱進並符合這些新的訴求。現有的許多IT資安方案,並無法滿足到工業市場特殊的OT需求。而更重要的是要能確保OT資安系統的完整性,就必須同時具備OT的專業知識及網通能力。
製造業成為攻擊標的
| 圖2 : 在IT與OT的匯流下,工控環境已成為駭客熟悉且更容易攻擊的場域。 |
|
疫情加速驅動了國際供應鏈的變遷,在後疫情狀態造成的經濟變局下,全球製造業的市場規模都正不斷擴張,以台灣為例,在2021年台灣的製造業產值就高達了23.06兆元,為台灣GDP占比最高的產業。然而,在這樣的產業榮景下,看準高成長的產業利潤,伴隨而來的是越來越多網路的攻擊方,將製造業視為有利可圖的攻擊標的。近年來不論國內外,皆發生勒索病毒攻擊的重大工控資安事件,特別是在全球供應鏈扮演要角的台灣智慧製造業,更是屢屢成為駭客攻擊首選。
在IT與OT的匯流下,工控環境已成為駭客熟悉且更容易攻擊的場域,製造業者為了追求營運效率與更高的生產力,使得OT場域的機台可停機的時間極短,且難以定期修補漏洞與系統更新,再加上製造業供應鏈的上下游關係緊密,只要其中一個業者在某環節受駭,往往十分容易連帶影響其他供應鏈的大廠,這些狀況再再使得工業網路環境暴露在巨大風險中,使得製造業的資安管理與維護陷入困境。
企業專網的資安破口
而由趨勢科技所發表的一份報告指出了4G與5G企業專用網路所面臨的新興威脅。這份報告藉由一個模擬智慧工廠企業專網的測試環境,深入研究了企業難以修補OT環境漏洞遭到利用所產生的困境,並說明了多種攻擊情境以及可行的防範措施。
趨勢科技指出,目前製造業正走在工業物聯網(IIoT)潮流的尖端,並利用5G無遠弗屆的連網能力來提升其速度、安全與效率。然而,新的威脅正伴隨著這些新技術而來,而舊的挑戰也需要解決。目前許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊的風險。而駭客可能入侵4G/5G核心網路的關鍵點如下:
●執行核心網路服務的伺服器:駭客可攻擊這些標準商用x86伺服器的漏洞和強度不足的密碼。
●虛擬機器(VM)或容器:若未套用最新修補更新就可能成為破口。
●網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。
●基地台:這些裝置同樣含有韌體,因此也不時需要更新。
駭客一旦經由上述任一破口進入智慧工廠核心網路,就能在網路內橫向移動,並試圖攔截或篡改網路封包。駭客可經由攻擊智慧製造環境中的工業控制系統(ICS)來竊取機敏資訊、破壞生產線,或者向企業進行勒索。
建置企業專用的行動網路,可能牽涉到終端使用者,以及其他單位,如服務供應商與系統整合商。此外,企業專用4G與5G行動網路屬於大型基礎架構,而且使用壽命長,一旦建置就很難汰換或修改。因此,有必要一開始就內建資安防護,並在設計階段就預先找出並預防可能的資安風險。
結語
越來越多的邊緣設備和越來越廣的連網範圍代表了不同類型OT環境的擴充。與過往封閉式自動化系統相比,這些快速部署的維運設備和環境則採用更開放的架構和功能。因此,這些設備的軟硬體必須針對其整個生命週期的安全性進行開發和設計,進而整合到整個網路系統和安全管理功能中。
