智慧工廠(chǎng)(Smart Factories)是工業(yè)物聯(lián)網(wǎng)(IIoT) 改造傳統(tǒng)制造業(yè)的最佳展現(xiàn)��,在萬(wàn)物聯(lián)網(wǎng)(圖 1)、大數(shù)據(jù)與 AI 等技術(shù)的結(jié)合下���,智能制造�����、智能醫(yī)療��、智能交通已成為臺(tái)灣轉(zhuǎn)型升級(jí)目標(biāo)���。然而,所面對(duì)的操作科技(OT)資安威脅會(huì)更嚴(yán)苛���,只要遭遇一次重大網(wǎng)絡(luò)攻擊�����,原本物聯(lián)裝置所帶來(lái)的效益�����,恐怕瞬間就會(huì)化為烏有��,例如:機(jī)密資料外泄��、營(yíng)運(yùn)生產(chǎn)停頓���、供應(yīng)鏈斷炊�����。近年來(lái)鎖定智能工廠(chǎng)的病毒越來(lái)越多���,全球都有受害的災(zāi)情不斷傳出,不只影響生產(chǎn)線(xiàn)運(yùn)作�����,更甚者會(huì)危及國(guó)家基礎(chǔ)設(shè)施�����,并要當(dāng)心成為勒索軟件目標(biāo)���。
圖 1:物聯(lián)網(wǎng)運(yùn)用遍及各種產(chǎn)業(yè)
打破封閉內(nèi)網(wǎng)是安全的觀(guān)念
過(guò)去多數(shù)工廠(chǎng)因設(shè)備老舊���、缺乏專(zhuān)業(yè)整合人才,或因其為封閉系統(tǒng)而缺乏資安防護(hù)觀(guān)念�����。在工業(yè)物聯(lián)網(wǎng)的建置下���,企業(yè) IT 與廠(chǎng)房 OT 系統(tǒng)相互串連�,使長(zhǎng)久以來(lái)一直是被認(rèn)為封閉網(wǎng)絡(luò)的 OT 環(huán)境����,暴露在可能遭受網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)下,包括商業(yè)機(jī)密遭竊取���、惡意中斷營(yíng)運(yùn)�����、攻擊基礎(chǔ)設(shè)施造成生產(chǎn)損失�����、甚至造成工安事件危害人員健康與安全等��。
有些工廠(chǎng)開(kāi)放機(jī)臺(tái)可以透過(guò)防火墻直接對(duì)外��,任何人皆可以對(duì)機(jī)臺(tái)進(jìn)行聯(lián)機(jī)管理�,甚至從外部亦可以透過(guò) IE 聯(lián)機(jī),進(jìn)行管制���。由于機(jī)臺(tái)物聯(lián)網(wǎng)化后加速生產(chǎn)力�,但是對(duì)于網(wǎng)絡(luò)的管理并沒(méi)有嚴(yán)格要求與落實(shí)���,容易造成后續(xù)資安維護(hù)管理上漏洞�����。因此在導(dǎo)入裝置物聯(lián)網(wǎng)后�,聯(lián)網(wǎng)的機(jī)具�、人員管理識(shí)別、網(wǎng)絡(luò)流量檢測(cè)�����、LOG 紀(jì)錄追蹤都是需改善的要點(diǎn)��,所以需要在原來(lái)的系統(tǒng)上加入信息安全的防護(hù)��,除了原本防火墻基礎(chǔ)網(wǎng)絡(luò)防護(hù)外��,建議區(qū)隔 IT 與 OT 的網(wǎng)絡(luò)架構(gòu)(圖 2)、做好定期弱點(diǎn)掃描及人員資安教育訓(xùn)練課程等��,除了保護(hù)企業(yè)的信息外也保護(hù)自己的網(wǎng)絡(luò)財(cái)產(chǎn)��,萬(wàn)一真的不幸發(fā)生攻擊事件���,可以將損害降到最低。
圖 2:強(qiáng)化 OT 內(nèi)網(wǎng)安全
智能工廠(chǎng)(OT 廠(chǎng)域)存在的資安威脅
攻擊的來(lái)源來(lái)自幾個(gè)地方��,每個(gè)方向的目的并不一樣�,整個(gè)系統(tǒng)的問(wèn)題分析如下:
(1) 來(lái)自網(wǎng)絡(luò)黑客的攻擊:
可能帶有炫耀或是威脅意圖,例如:黑客發(fā)出勒索郵件�,要求交付比特幣當(dāng)贖金,如果不從就不定期發(fā)出癱瘓攻擊�,癱瘓戰(zhàn)情中心或是阻斷客戶(hù)端的網(wǎng)絡(luò)。勒索金額相對(duì)于工作上的損失�,通常小很多,所以企業(yè)都會(huì)付贖金息事寧人�,這樣更助長(zhǎng)這類(lèi)的惡意行為。
(2) 惡意人士攻擊:
客戶(hù)端的現(xiàn)場(chǎng)通常是無(wú)人的環(huán)境����,有心人士進(jìn)入專(zhuān)屬的內(nèi)部網(wǎng)絡(luò)根本不費(fèi)吹灰之力,在這個(gè)狀況下�,要竊取��、偽造數(shù)據(jù)或是癱瘓網(wǎng)絡(luò)運(yùn)作���,就像開(kāi)了一道任意門(mén)暢通無(wú)阻。
(3) 人員疏忽:
因?yàn)閮?nèi)部計(jì)算機(jī)跟廠(chǎng)房機(jī)臺(tái)網(wǎng)絡(luò)是沒(méi)有任何管制����,萬(wàn)一有人被引誘點(diǎn)了釣魚(yú)郵件后,裝入后門(mén)程序�,讓惡意攻擊者有竊取機(jī)密數(shù)據(jù)與發(fā)動(dòng)勒索攻擊的機(jī)會(huì),例如�,把服務(wù)器的數(shù)據(jù)加密藉以勒索。
(4) 不安全的身分認(rèn)證:
在 IT 的網(wǎng)絡(luò)環(huán)境中�����,對(duì)身分的權(quán)限管理是相當(dāng)重視的��,常見(jiàn)以相當(dāng)多的認(rèn)證機(jī)制嚴(yán)謹(jǐn)管控身分權(quán)限����。不過(guò),傳統(tǒng)的 OT 環(huán)境架構(gòu)����,注重系統(tǒng)的運(yùn)行與穩(wěn)定度����,面對(duì)資安的風(fēng)險(xiǎn)問(wèn)題相對(duì)較低�����。因此在認(rèn)證權(quán)限方面就容易忽略��,產(chǎn)生許多不安全的聯(lián)機(jī)�,讓廠(chǎng)內(nèi)的人員或是設(shè)備的技術(shù)人員��,只要利用計(jì)算機(jī)���,就能輕松登入生產(chǎn)設(shè)備���。
(5) 不安全的協(xié)議:
一般生產(chǎn)設(shè)備之間的工業(yè)通訊協(xié)議,因發(fā)展的比較早�����,并未考慮與設(shè)計(jì)網(wǎng)絡(luò)安全的相關(guān)功能����。例如只要持有內(nèi)建 Modbus 通訊協(xié)議的計(jì)算機(jī)���,就能透過(guò) Modbus 對(duì)生產(chǎn)設(shè)備發(fā)出任何指令并執(zhí)行。
(6) 事件紀(jì)錄跟搜尋:
現(xiàn)況���,每一個(gè)設(shè)備都是獨(dú)立運(yùn)作����,并各自保留記錄�,能記錄的項(xiàng)目及時(shí)間就看設(shè)備本身的儲(chǔ)存裝置,當(dāng)需要事后查詢(xún)時(shí)���,就需要進(jìn)入每一個(gè)設(shè)備中���,用他的方式去查詢(xún),費(fèi)時(shí)耗力����。
(7) 過(guò)期設(shè)備系統(tǒng)安全更新:
設(shè)備廠(chǎng)商會(huì)對(duì)設(shè)備的操作系統(tǒng)進(jìn)行例行的安全性更新,當(dāng)設(shè)備廠(chǎng)商宣布設(shè)備停產(chǎn)或是倒閉后���,就不會(huì)對(duì)設(shè)備進(jìn)行安全性更新���,例如����,Microsoft 對(duì) Windows 7 就不會(huì)進(jìn)行任何安全性更新��,此時(shí) Windows 7 的漏洞就暴露出來(lái)����,讓有心人士有機(jī)可趁。
但是在工業(yè)環(huán)境中����,因?yàn)檎w系統(tǒng)軟硬件一起運(yùn)作的因素����,設(shè)備更替的速度跟 IT 環(huán)境是不一樣,往往 10-20 年的設(shè)備依舊在運(yùn)作��,沒(méi)連網(wǎng)前沒(méi)問(wèn)題�����,一旦上因特網(wǎng)就有潛在的威脅�。
(8) 無(wú)專(zhuān)業(yè)維護(hù)人員:
多數(shù) OT 管理者對(duì) IT 維護(hù)不熟悉,很擔(dān)心設(shè)備發(fā)生故障或出現(xiàn)問(wèn)題時(shí)����,無(wú)法實(shí)時(shí)處理而影響產(chǎn)線(xiàn)的運(yùn)作���。
區(qū)隔 IT 與 OT 網(wǎng)絡(luò)架構(gòu),保護(hù) OT 內(nèi)網(wǎng)安全脅
攻擊的來(lái)源來(lái)自四面八方��,在信息跟網(wǎng)絡(luò)安全的考慮下���,眾至建議導(dǎo)入智慧聯(lián)網(wǎng)工廠(chǎng)將目前的網(wǎng)絡(luò)架構(gòu)進(jìn)行調(diào)整�����,每一個(gè)不同目的的網(wǎng)絡(luò)區(qū)塊�����,執(zhí)行不同安全等級(jí)的信息安全防護(hù)�,例如�,OT 網(wǎng)絡(luò)聯(lián)機(jī)的對(duì)象都是固定,所以在防火墻上就可以執(zhí)行嚴(yán)格的白名單策略�,非允許的 IP 地址都會(huì)被拒絕聯(lián)機(jī)。將對(duì)外供應(yīng)鏈的服務(wù)器���、OT 網(wǎng)絡(luò)跟內(nèi)部網(wǎng)絡(luò)進(jìn)行實(shí)體網(wǎng)絡(luò)的區(qū)隔�,新的網(wǎng)絡(luò)架構(gòu)示意圖(圖 3)如下:
圖 3:區(qū)隔 IT 與 OT 網(wǎng)絡(luò)環(huán)境
面對(duì)傳統(tǒng)制造業(yè)的升級(jí)轉(zhuǎn)型,智能工廠(chǎng)中的 IT 與 OT 的整合也擴(kuò)大了企業(yè)的攻擊面���,傳統(tǒng)安全措施不太會(huì)充分考慮這些����,例如���,可能不適用于 OT 的區(qū)隔安全解決方案�。正因如此���,智慧工廠(chǎng)不僅容易受操作問(wèn)題影響�,也易受到 DDoS����、勒索軟件��、網(wǎng)絡(luò)釣魚(yú)����、系統(tǒng)漏洞、惡意軟件、裝置遭害等影響�。
IT 與 OT 的思維不同,IT 要的是創(chuàng)新����,OT 要的是穩(wěn)定。為了有效讓 OT 環(huán)境維持穩(wěn)定運(yùn)作�����,除了區(qū)隔 IT 與 OT 網(wǎng)絡(luò)環(huán)境外��,建議在強(qiáng)化威脅情報(bào)信息通知����,以達(dá)到【事前防范】、【事中阻擋】及【事后追蹤】運(yùn)作目標(biāo)(圖 4)�,減少被黑客、病毒入侵及攻擊的機(jī)會(huì)讓整個(gè)網(wǎng)絡(luò)達(dá)到可控��、可管的目標(biāo)�,就算被癱瘓,也能把損失控制在一個(gè)小區(qū)域�,不會(huì)外散到整個(gè)網(wǎng)絡(luò)環(huán)境。
圖 4:藉由端點(diǎn)防護(hù)設(shè)備�����、縱深防御、全面管控與威脅情報(bào)����,打造內(nèi)外網(wǎng)安全
ShareTech 智能工廠(chǎng) OT 架構(gòu)與解決方案
概念是把每一個(gè)運(yùn)作的單元用防火墻區(qū)隔,要進(jìn)出本區(qū)之外的網(wǎng)絡(luò)都需要進(jìn)行身分識(shí)別及留下存取紀(jì)錄��,并利用 VPN 的加密技術(shù)�,把原本在網(wǎng)絡(luò)上明碼傳遞的信息加密。然后整體的 IT 網(wǎng)絡(luò)跟 OT 網(wǎng)絡(luò)也是用防火墻做切割���,只有被允許的人才能存取另一邊的網(wǎng)絡(luò)���。在這個(gè)架構(gòu)下,OT 層的網(wǎng)絡(luò)防護(hù)的機(jī)制說(shuō)明如下:
網(wǎng)關(guān)安全防護(hù)
具備防火墻的防護(hù)機(jī)制(圖 5)���,能夠阻擋黑客的惡意掃描及碎片攻擊等����,能夠阻擋的項(xiàng)目包含封鎖 IP�����、封鎖 Land 攻擊�、封鎖Smurf、封鎖 Trace Route���、封鎖 Fraggle��、封鎖 Tear Drop 攻擊��、封鎖 ICMP / SYN / PIN of Death 等攻擊�����。
保護(hù)后端的服務(wù)器或是 PLC 等工業(yè)連網(wǎng)設(shè)備���,避免 ICMP / SYN(TCP) / UDP 等通訊協(xié)議的洪水攻擊(DOS)跟分布式洪水攻擊(DDOS),導(dǎo)致服務(wù)被中斷或式癱瘓�����,針對(duì)每一個(gè)通訊協(xié)議可以設(shè)定保護(hù)的力道�����。
圖 5:檢視網(wǎng)絡(luò)流量��,降低內(nèi)網(wǎng)惡意攻擊行為
提高網(wǎng)絡(luò)威脅能見(jiàn)度(圖 6)
主要有三點(diǎn):
(1) 揭露隱藏的風(fēng)險(xiǎn)
加強(qiáng)對(duì)高風(fēng)險(xiǎn)活動(dòng)、可疑流量和進(jìn)階型威脅的可見(jiàn)度�。
(2) 阻止未知威脅
透過(guò)大數(shù)據(jù)分析、學(xué)習(xí)和系統(tǒng)漏洞補(bǔ)防�,保護(hù)企業(yè)組織網(wǎng)絡(luò)安全。
(3) 隔離受感染的系統(tǒng)
自動(dòng)隔離網(wǎng)絡(luò)中已經(jīng)遭駭?shù)南到y(tǒng)����,并阻止威脅擴(kuò)散。
圖 6:檢測(cè)加密����、非加密網(wǎng)絡(luò)聯(lián)機(jī)是否有惡意行為
管制 port 的建立聯(lián)機(jī)機(jī)制
開(kāi)越多的對(duì)外服務(wù) Port,代表把自己暴露在外的風(fēng)險(xiǎn)因素增加�,所以對(duì)于已知的聯(lián)機(jī)對(duì)象,不管對(duì)方是使用動(dòng)態(tài)或是固定 IP 地址�,都可以利用防火墻普遍有的 IPSec VPN,建立安全的 VPN 信道傳遞信息(圖 7)����,而不需要開(kāi) Port 的方式達(dá)成聯(lián)機(jī)的需求。
圖 7:透由 VPN 強(qiáng)化安全聯(lián)機(jī)
建立白名單管理機(jī)制
由于惡意軟件的變種速度太快�����,如果靠黑名單來(lái)做把關(guān)可能沒(méi)那么可靠�����,所以對(duì) IOT 設(shè)備的軟件管理權(quán)限���,應(yīng)該都用白名單機(jī)制來(lái)進(jìn)行控管�。在 IOT 場(chǎng)域里具有極少變動(dòng)的特性����,通常系統(tǒng)在安裝后,應(yīng)用程序即維持不變�����。管理者可以決定哪些程序是允許被執(zhí)行��,其余的程序?qū)⒈蛔钃?����。?dāng)所有程序被允許執(zhí)行時(shí)����,應(yīng)用程序白名單可以過(guò)濾內(nèi)容或限定其帶寬使用量。
圖 8:ShareTech OTS 提供白名單防護(hù)機(jī)制
只允許特定的協(xié)議通過(guò)��,避免非必要的數(shù)據(jù)泄出
在工控環(huán)境系統(tǒng),有些單位為了遠(yuǎn)程管理的便利性��,使用 SSH����、Telnet、網(wǎng)頁(yè)登入聯(lián)機(jī)模式����,如果沒(méi)有采取任何安全管理措施,例如:只限定某些特定 IP 才能存取���,或者必須經(jīng)過(guò)身分認(rèn)證后才能使用服務(wù)(圖 9)���,否則讓黑客輕易入侵系統(tǒng)管控設(shè)備,容易引起大災(zāi)難�。SharTech OTS 防護(hù)設(shè)備可以與 AD/POP3/Radius 做認(rèn)證授權(quán)機(jī)制,可協(xié)助管理人員與監(jiān)控企業(yè)內(nèi)部所有使用者賬號(hào)��,在確認(rèn)使用者的 ID 的有效授權(quán)之后��,才能允許其使用網(wǎng)絡(luò)��,讓企業(yè)可以有效管理網(wǎng)絡(luò)使用資源。
圖 9 ShareTech OTS 防護(hù)設(shè)備提供身分識(shí)別機(jī)制
支持工業(yè)網(wǎng)絡(luò)協(xié)議
ShareTech OTS 防護(hù)的設(shè)備要能支持常用的工業(yè)控制協(xié)議(圖 10)��,例如����,EtherCAT 使用 TCP/UDP 34980�、EtherNet /IP 使用 TCP 44818 UDP 2222,管理者只要選取這一些協(xié)議名稱(chēng)��,會(huì)自動(dòng)對(duì)應(yīng)出應(yīng)該開(kāi)放的 Port 號(hào)�,至于其他的通訊 PORT 全部被關(guān)閉。 以計(jì)算機(jī)組裝線(xiàn)為例�����,若封包夾帶可疑的參數(shù)���,要求機(jī)械手臂執(zhí)行標(biāo)準(zhǔn)以外動(dòng)作���,ShareTech OT 防護(hù)設(shè)備在接獲數(shù)據(jù)封包后,將進(jìn)行封包分析����、阻擋,降低計(jì)算機(jī)廠(chǎng)商蒙受巨額財(cái)物損失。
圖 10:ShareTech OTS 支持工業(yè)協(xié)議埠
專(zhuān)屬OPC入侵防御機(jī)制
導(dǎo)入OPC入侵防御機(jī)制(圖 11)��,收集所有 IT���、IOT 網(wǎng)絡(luò)的封包與訊號(hào)����,并且采用深度封包檢測(cè)(DPI)的方式進(jìn)行比對(duì)�����,分析通訊協(xié)議當(dāng)中的每個(gè)層級(jí)����,掌握出現(xiàn)異常數(shù)據(jù)的行為。讓管理者可以在與關(guān)鍵工控設(shè)備連接的網(wǎng)絡(luò)路徑上���,及時(shí)偵測(cè)到攻擊事件的發(fā)生���、并依照管理員的設(shè)定,中止或阻絕入侵行為��,包括自動(dòng)攔截棄置攻擊封包����,并依據(jù)設(shè)定��,留下攻擊的記錄即通知管理者等連續(xù)的應(yīng)變措施�。
圖 11:首創(chuàng)OPC入侵防御機(jī)制
日志
對(duì)于進(jìn)出防火墻的事件有一個(gè)獨(dú)立的地方可以查詢(xún)���,例如�����,何時(shí)、從哪里來(lái)的管理者����,執(zhí)行了哪一個(gè)動(dòng)作,把這一些數(shù)據(jù)記錄下來(lái)�,方便管理者日后追蹤。
統(tǒng)整成威脅情報(bào) - 戰(zhàn)情室
詳細(xì)的網(wǎng)絡(luò)通聯(lián)紀(jì)錄及訊息通常會(huì)有專(zhuān)業(yè)的網(wǎng)絡(luò)管理者來(lái)判讀�,但是為了讓高階的管理者能夠立刻了解整個(gè)網(wǎng)絡(luò)的安全程度、防護(hù)力道等信息��,有一個(gè)統(tǒng)合的威脅情報(bào)信息�����,以圖表的方式呈現(xiàn),讓高階領(lǐng)導(dǎo)者快速的明了系統(tǒng)的安全度����。
設(shè)備災(zāi)難復(fù)原機(jī)制
當(dāng)設(shè)備因外在事故無(wú)法正常運(yùn)作時(shí),硬件本身要能支持 LAN BYPASS 模式�,不影響工廠(chǎng)生產(chǎn)營(yíng)運(yùn),如果是硬件損壞無(wú)法運(yùn)作��,最好可以利用 USB 插槽����,平時(shí)做好配置文件備份動(dòng)作,當(dāng)設(shè)備真的無(wú)法運(yùn)作��,只要立即更換一臺(tái)��,將原本 USB 換插到新機(jī)上開(kāi)啟電源���,就會(huì)自動(dòng)將原本的配置文件數(shù)據(jù)帶入��,不用 5 分鐘完成災(zāi)難救援的服務(wù)�����。
