账号:
密码:
智动化 / 文章 /

没有墙的厂房资安,如何保平安?
勒索病毒剑指制造业
[作者 季平]   2022年03月02日 星期三 浏览人次: [2210]

近2年,因病毒感染机台导致软体病毒扩散,造成不同厂区机台连带受感染的案例不在少数,2020年多达30件,2021年光是上半年已逾60件,其中包含因停工、支付勒索赎金等因素造成损失金额逾50亿的案例。


数位时代「疯云」起,AI、云端与万物联网影响的不只是IT资讯技术,在网网相连,内外网互通有无的数位环境下,但凡IT遭骇或中毒,OT(Operational Technology)营运资讯也无法独善其身,一损俱损。趋势科技??总经理暨TXOne Networks执行长刘荣太认为,360。保护厂房资安,隔断与零信任是相对好的防护策略。


天外飞来一只病毒 护国神山也想哭

时间拉回2018年8月3日,护国神山台积电传出生产设备遭病毒感染,导致竹科、中科及南科部分产线机台停摆。台积电指事发原因为「新机台在安装软体的过程中操作失误」,病毒透过新机台连接到内部电脑网路造成病毒扩散。


在太岁头上动土的病毒是恶名昭彰的「想哭」(WannaCry),是一种将电脑加密的勒索病毒,透过破坏电脑系统档案要求使用者付出虚拟货币(如比特币)才能解毒。台积电2天後公布事件影响评估,预计第3季营收减少约3%,相当於76-79亿元,报废晶圆数逾一万片,受影响客户包含苹果、超微、辉达、联发科、赛灵思等大厂。


台积电是IT、OT资安观念相对成熟,防护措施相对完善的领头雁,仍因此付出不小的代价,反观国内其他高科技制造业或传统制造业的资安防护观念与做法仍存在不小风险。


图1 : 趋势科技??总经理暨TXOne Networks执行长刘荣太
图1 : 趋势科技??总经理暨TXOne Networks执行长刘荣太

刘荣太观察,近2年,类似台积电因病毒感染机台导致软体病毒扩散,造成不同厂区机台连带受感染的案例不在少数,2020年多达30件,2021年光是上半年已逾60件,其中包含因停工、支付勒索赎金等因素造成损失金额逾50亿的案例,「尤其高科技晶圆厂、自动车、制药业等高产值业者更容易成为骇客锁定的目标。」


除了台积电,航运龙头马士基(Maersk)、默克(Merck)大药厂、俄罗斯石油巨擘Rosneft、乌克兰央行等都曾遭杀伤力更胜「想哭」(WannaCry)的新种勒索病毒NotPetya袭击,造成庞大损失。


目标式勒索成攻击主流 剑指制造业

如果过去骇客需要耗费8-10个月时间完成「任务」,如今只要花1-2个月时间攻破安全性相对薄弱的制造业工厂便能取得报酬,加上加密货币兴起大大降低失手风险,害怕停工更胜於中毒的制造业工厂很容易成为砧板上的鱼肉,任人宰割。


趋势台湾资安应变服务团队(CSIRT)资料显示,目标式勒索在2021年逐渐成为攻击主流(42%),较2020年的35%高出7个百分点(图二)。攻击目标以制造业为主,其中以高科技制造业占比最高(61%),传统制造业(15%)排名第三(图三),细分之下又以制造业供应链为主要被攻击对象,其中以零组件供应商(48%)占比最高,代工厂(24%)次之,品牌商(14%)排名第三。



图2 : 目标式勒索渐成攻击主流。(Source:TXOne Networks)
图2 : 目标式勒索渐成攻击主流。(Source:TXOne Networks)

图3 : 制造业成骇客攻击目标。(Source:TXOne Networks)
图3 : 制造业成骇客攻击目标。(Source:TXOne Networks)

苹果等品牌业者最忌商业机密外泄,因此相当不乐见因为供应链制造工厂遭骇导致资料外泄,因此近两年开始严格要求供应链相关业者强化资安措施,在品牌客户施压下,制造业者不得不全力投入资安防护。


刘荣太指出,注重OT资安的业者有三大族群,一是IT资安布局相对成熟的业者,二是工厂自动化程度高的业者,三是具有资安危机意识者。进一步观察,台湾制造业对资安的重视程度不若欧美日等国,资安采购的主要驱动因素有二:一是法规限制,二是灾害发生後的应变措施。


仔细观察,大公司、超大公司或中小企业对资安的处理方式与态度各异,大公司、自动化程度越高、毛利越高的公司越关注,如半导体晶圆厂;不少制造业上市公司正在补IT漏洞,如果出事当然要买好买满,可惜多数业者只有靠防火墙或防毒软体「护体」,日常实务中的资安管制则付之阙如,因此很容易被骇客攻陷;中小企业推动资安防护脚步更慢,资安意识相对较薄弱,多数仰赖经销商维护资安或直接委外。



图4 : 掌控及部署工控环境难度高。(智动化制图;资料:TXOne Networks)
图4 : 掌控及部署工控环境难度高。(智动化制图;资料:TXOne Networks)

供应链资安布署动起来 SEMI E187正式运作

随着资安问题受重视,未来势必有更多国际大厂要求供应链业者具备一定程度的资安部署。美国拜登(Joe Biden)政府已於2021年5月签署改善国家网路安全行政命令(Executive Order 14028),其中包含强化软体供应链安全及软体弱点如何补强等内容。


环环相扣的关系容易让骇客钻漏洞入侵至供应链其他业者或用户内部,因此,未来美国品牌业者极可能反过来要求供应链科技公司注意资安布署,包含台湾各产业供应链成员,换言之,未来由品牌端要求厂房落实资安将成「标配」,不想失格就必须积极部署资安。


刘荣太指出,所幸台湾大型晶圆厂、封测厂等早已积极强化资安架构,努力提升供应链的安全性,因此目前台湾市场因供应链紧密连结而导致的连环性攻击不多见,以单点资安灾害居多。


为强化资安及推动供应链安全,半导体晶圆产线设备资安标准(SEMI E187 - Specification for Cybersecurity of Fab Equipment)已於2022年1月正式运作,这是第一个由台湾产业主导制定的半导体国际标准,内容涵盖四大层面:作业系统规范、网路安全相关、端点保护及资讯安全监控,主要聚焦作业系统的长期支援、网路传输安全、网路组态管理、弱点扫描、恶意程式扫描、端点防御机制、存取控制及Log记录等议题。


落实资安需克服2痛点:设备相容性与人才

在大环境带动下,过去对於资料外泄较不在意的工厂端也意识到强化厂房资安的重要性。不过,在协助业者拟定资安对策的过程中,TXOne Networks发现仍有需克服之处,「主要是电脑设备IT与OT的相容性问题以及人才不足问题。」刘荣太指出,避免骇客入侵不能只是防堵IT或OT,如今的骇客只要透过IT就可能入侵工控场域的OT,对电脑加密就可能直接打到生产线。


另一方面,不少IT设备虽然使用最新产品,但产线端却可能沿用老旧设备,或者CPU跑不动防毒软体,还有一种状况是新旧设备无法相容,比方电脑作业系统是早已终止支援的Windows XP作业系统,凡此种种都会影响资安防护的执行与成效。


此外,全方位资安人才稀缺也容易拖累资安部署的速度,特别是同时了解IT、OT的资安专才,台湾这类人才可能只有个位数,「谁来负责梳理企业的资安准则,决定哪些关键设施、机台需要保全,进而找到务实的解决方案,这些都需要投入时间与资源。」刘荣太认为,数位转型过程中引发的资安风险是很新的课题,资安人才本来就少,加上OT资安需要同时了解资安与OT产线,未来更需要加速培养人才以填补人力空缺,他也不建议工厂资安直接使用IT管理软体,「由於许多现场人员并不清楚该如何配合与操作,所以安全管理的划分也要调整,建议以机台出发。」


目前趋势科技或TXOne Networks致力於协助客户一起探索数位化之後的各种资安防护可能性,但他认为,过程中,龙头企业可以做出良好示范,找出最隹实务(Best Practice),比方SEMI E187即为一例。


没有墙的世界 资安落实靠零信任

数位化让世界越来越平,随着云端服务使用率的提升,未来势必出现更多云端资安事件。另一方面,加密货币兴起改变了OT资安威胁模式,而Covid疫情则加速数位化转型,让骇客威胁日益扩大。IDC研究指出,高达45%的IIoT资料会透过Edge Computing处理分析,未来多达60亿的IIoT装置将连结Edge Computing,此一趋势除了带动资料管理需求,工控资讯安全与维护更成为迫在眉睫的课题。


然而,台湾制造业仍普遍存在内外网串联而且完全信任的状况,以至於一旦遭骇或中毒就很容易全军覆没。曾经某上市公司发生整厂病毒流窜事件,因为内外网相连而且完全信任,某个环节中毒後便一路从四川厂打到苏州厂,再从苏州厂打到昆山厂,最後从昆山厂打回台北厂……,对此,刘荣太呼吁,IT与OT隔断才能相对安全。


IT与OT隔断会是未来厂房资安运作趋势之一。产线网路隔断可以有效将感染或中毒事件缩小到一个机台,避免产生骨牌效应,部分晶圆厂甚至让每个机台都做保全,也有采取一条产线做保全的做法,万一发生问题只影响一条产线或仅需让一条产线停工;第二个趋势是未来业者可能在机台上安装防毒软体;第三个趋势是未来很可能由供应商出具机台无毒证明,这些做法都是未来落实厂房资安的可行选项。


以TXOne OT零信任资安解决案为例,就是以零信任资安模式,透过学习运作,打造基准线,进而拟定OT防御政策,也就是在新设备进入厂房时即启动整体学习机制,同时纳入应用软体服务以及网路沟通等内容,透过全方位点对点及多层次资安保护模式,确保应用软体、设备、控制及网路安全,从进场检测、端点保全到公控网路保全提供三阶段资安方案,360。保护资安,落实OT零信。


刘荣太进一步说明,以往资安有墙内墙外之别,墙内信任,墙外不信任,但这些「墙」已经逐渐消失,由於云端普及化,很多员工根本不在墙内工作,而是在墙外的星巴克工作,所以OT零信任的精神是,不能因为使用者可以登入或有帐密就代表可信任,跳脱墙的概念检视及确保资讯安全才能将任何可能的资安意外扼杀在摇篮里。



图5 : 工控资安最隹建议。(智动化制图;资料:TXOne Networks)
图5 : 工控资安最隹建议。(智动化制图;资料:TXOne Networks)

强化厂房资安 落实4件事

趋势科技资料显示,可预见的未来,目标式勒索攻击仍将持续肆虐,可能利用APT手法进行勒索病毒攻击,以伺服器为主要目标,骇客也会跟着重要资料往云端移动,而供应链仍是常见的攻击管道,透过软体韧体、硬体植入恶意程式进行大规模攻击。至於骇客勒索方式也会同步进化,包含单一勒索(档案加密)、双重勒索(外泄资料)、三重勒索(威胁发动DDoS攻击),以及四重勒索(扩大供应链上下游的影响)。


不想任骇客鱼肉,及早强化厂房资安为上策,刘荣太建议企业在守护厂房资安上宜落实以下四点:


1.强化资安防护基本功,如多层次防护及修补漏洞;


2.强化伺服器防护并落实严格的存取控管;


3.建立全方位资安可视性,如端点、伺服器、网路、云端等;


4.遵守零信任原则。


此外,既有的骇客手法对云端威胁仍具有一定程度的破坏性,如不严谨的存取管理、网路钓鱼、不安全的密码或未定期变更密码、已公布的旧漏洞及新发现的漏洞等,仍需小心提防,才能永保安康。


相关文章
灯塔工厂的关键技术与布局
5G 与飞航:探讨资安与技术升级的配合
日本真能透过TSMC设厂振兴半导体产业吗?
供应链重塑难再造护国群山 台厂应调适不同产业链韧性
工具机次世代工法有赖跨域相通
comments powered by Disqus
  相关新闻
» SoftBank完成Altaeros ST-Flex自主浮升器电讯测试
» 东元全方位节能减碳方案 养殖、食品加工首选
» 自动化展开布局 东佑达扩建新吉二厂动工
» 安勤ARTEMIS即时定位追踪系统协助纺织厂布车管理
» 德承於Embedded World 2022展示多元嵌入式运算解决方案
  相关产品
» Aerotech开发Automation1运动控制平台新功能
» 洛克威尔自动化发表全新微型控制器和设计软体
» 德承新款嵌入式工业电脑DV-1000提升边缘运算功效
» 安勤推出模组化人机介面机台系统OTC打造智慧工厂硬核心
» Basler boost相机配备安美森影像感测器和Basler F-mount镜头