今年8月,臺灣最大半導體代工龍頭台積電,因為新機臺上線過程的疏於防範,導致惡意軟體的感染,緊急發出公告並召開記者會,引起企業與民眾的關注。在此資安事件的影響下,國內各家高科技製造業也變得更關注這樣的威脅,如何改善既有生產線不夠安全的問題,成為討論焦點。(圖片來源/翻攝自蘋果日報)

高科技製造業最關注的產能與效率,但在資安風險的衝擊下,造成產線中斷,損失動輒上億元起。例如,今年台積電所發生的機臺中毒事件,由於新機臺上線過程的疏於防範,導致惡意軟體的感染,前前後後花了至少3天處理,才讓受感染的各個廠區生產線,恢復運作。

面對機臺中毒這樣的威脅,往往歸咎於廠區內生產線資安未能落實,該如何做好機臺相關的防護,就是大家最關心的事情。

而且,由於這樣的事件,已經為高科技製造業帶來鉅額損失,我們需要設法預防這樣的事件再發生,同時,也要考量事件發生後所帶來的危害,並且提出應變計畫,才能降低營運風險。

在因應策略上,除了參考美國國土安全部工業控制系統緊急應變小組(ICS-CERT)的7項建議策略,如果要避免同樣的機臺中毒、感染擴散問題再發生,這次我們也找到多家資安與系統廠商,請他們提出應重視並考量的防護面向。

防護面向一:新機臺上線過程

新機臺若要正式上線,企業該如何做好防毒掃描的工作?首先,是做好設備供應商的管理,而就企業本身來看,也要有相關的檢查作業程序,但如何能讓管理落實,可能是更大的問題。

臺灣賽門鐵克首席技術顧問張士龍表示,在新機臺未連線之前,可採用USB掃毒碟的方式,接到電腦上自動執行病毒掃描,完成後可以產出報告回存USB儲存裝置,再以其他電腦將報告印出。之後,需經由長官看過報告才能批准上線,接著,再由後面的施工人員執行新機臺配線的程序。

談到管理,資拓宏宇資訊安全服務事業部副總經理吳黎權有同樣看法,也認為要以權責畫分(Separation of Duties,SoD)的方式來考量。舉例來說,平時沒有使用的埠,就要封起來,例如,有的企業是直接用一塊塑膠面板,將沒有使用的埠以實體方式擋住,而且,任何新機臺上線之前,都要經過申請的流程,之後管理網路的人員,才會進行下一步動作。

畢竟,新機臺上線過程若有疏於防範的可能性,企業在內部控制上就必須要有對策,來強化檢查作業程序的可控性,也增加管理面上的透明度。

在檢查作業方面,相關設備在上線前要經過模擬環境測試的步驟,也是一大重點要求。精誠資訊數位應用整合事業部協理賴哲維表示,掃毒是基本的程序,現在新的資安工具都內建多家防毒引擎,可提高已知病毒偵測率,他並以新伺服器進入機房的情境來舉例,通常要經過病毒過濾、弱點掃描,而在OT環境的話,還要搭配的是韌體安全掃描,再來就是透過模擬的環境來測試。

關於測試環境,趨勢科技臺灣區暨香港區總經理洪偉淦更是指出,首先,測試環境的新機臺一定要能連網,並要具有相應的網路安全機制(如IPS)監看流量,這樣一來,才能知道是否有防毒未掃出的問題。再者是避免誤判,他解釋,由於機臺廠商使用的命令語法可能因為不標準,造成IPS誤判為惡意而阻擋,衍生其他問題,同時,測試也是為了避免影響生產作業,否則,企業若將IPS即時阻擋功能關閉,只留下Log記錄功能,也就影響防護效果。

趨勢也提醒,一旦發現誤判的情形,就要進行相對應的調整,例如修正設備指令,或是修改IPS白名單,讓設備連線能夠正常,同時,一旦遇到病毒,又能擋住。否則,即便投資很多資安設備,都不能真正發揮很多功能。

綜合來看,面對新機臺上線過程的安全防護,必須藉由制度來落實管理,並透過模擬的測試環境,找出更多問題。不過,McAfee臺灣區總經理沈志明表示,一個機臺受到感染,為何為衝擊到同一個廠區或跨廠區的機臺,這突顯了不只是單一問題,因此機臺本身的防護措施就很重要。

圖片來源/趨勢科技

趨勢科技製造業機臺安全防護架構

關於製造業機臺的端點與網路安全,趨勢科技業提供的整體防護架構,包含自家多種端點與網路產品,在多個環節都有防禦的措施,他們也建議,要依照機臺種類性質,使用相應的解決方案,而這些機制也都需要經過測試,才能避免誤判。

防護面向二:機臺本身的資安防護

而在新機臺上線之後,若無法檢測出病毒,後續企業發現已感染其他主機,企業要如何能夠做到即時阻擋?簡單而言,可分成機臺安全與網路安全兩個層面來看。

先從機臺本身可搭配的防護措施來看,以端點防護廠商而言,McAfee與賽門鐵克均認為,採用應用程式白名單的機制,就是重要的思考面向。

McAfee表示,白名單比防毒軟體更有效,賽門鐵克則強調,防毒軟體其實不適合在OT環境去使用,因為本來就是定義在IT環境使用。

原因在於,這些廠區的生產不能中斷,系統沒有時間進行漏洞修補,若安裝防毒軟體,更新病毒碼也很不容易。此外,機臺設備底層作業系統也是管控的障礙,例如,不少高科技製造業的廠區中,仍有Windows NT等老舊系統在運行,也帶來相容性的問題。

因此,對於講求穩定、少變動的生產線機臺環境而言,透過應用程式管控(Application Control)功能的產品,就很適合企業以白名單方式進行控管,也就是僅允許已知的應用程式執行,讓惡意程式即使入侵也無法執行。而且,在白名單政策設成完畢後,後續幾乎不用做任何更新。

其實,金融業的ATM系統也有這樣的要求。像是自從2016年第一銀行ATM出事之後,金管會原本要求所有ATM,都要安裝防毒軟體或白名單,後來則改為統一實施白名單控管。

在應用程式白名單機制下,還有像是保護系統的記憶體也是重點,應該防止它受到緩衝區溢位攻擊,管控也要做到檔案層級,限制特定檔案不能被變更,以及鎖定系統資源與設定。此外,我們也看到各廠商也有不同關注的面向,像是賽門鐵克提到,白名單也要朝最小存取權限的控管來實作,當未來有同類型機臺上線,將可以套用同一白名單政策去防護。而McAfee表示,可針對每個機臺建立不同的政策,提供離線主機的管理方式,增加管控彈性。

在應用程式白名單的防護之外,趨勢科技也提到了混合式的作法。由於機臺種類各式各樣、規格不一,白名單的機制是一種方式,但防毒軟體與虛擬修補也是能夠因應的作法,必須要看機臺電腦本身的效能與系統設計而定,或採輕量的方案,甚至,有些機臺可能連白名單、虛擬修補的方案,都無法執行,這時就要採用硬體產品的方案,在機臺連線的網路,搭配含IPS功能的工業防火牆,來阻擋惡意的攻擊。此外,網路流量及活動的透視與分析也很重要,因為實質阻攔雖然有效,但或多或少對產能造成影響,不一定能全面施行。

因此,他們認為,需要看機臺種類性質來決定,該採用什麼樣的解決方案,同時這些方案也都需要經過測試,否則,像是白名單機制在機器學習下,系統若沒有學好,也是有誤判的可能性。而採取混合型的模式,是現階段他們認為可行的方式。

基本上,像是賽門鐵克、McAfee與趨勢科技等業者,對於既有機臺設備要如何增加防護,都已經有應用程式白名單的解決方案。那麼,新型生產機臺設備的部分,他們也表示,現在有少數設備商與他們合作,讓機臺設備在出廠時,就預先載入白名單的安全機制。例如,國內工業電腦大廠研華科技表示,他們提供給工業客戶的公用工具軟體中,包含了McAfee主動防護,與Acronis備份還原的方案,省去企業分別採購軟硬體或PoC等整合上的麻煩。

換個角度來看,不只是資安廠商,製造業對於設備商也必須有所要求,甚至施壓,來改變整個產業過去對於資安重視程度不足的問題,在機臺出貨時保障安全,後續如何確保正確的配置和修補程式更新,避免遭弱點攻擊,將是機臺設備廠商與製造業間的挑戰。

不過,各資安業者均表示,要從產業面、供應鏈來改變,可能沒有那麼快。

圖片來源/McAfee

McAfee製造業機臺安全防護架構

對於高科技製造業,所面臨的生產機臺安全問題,以端點防護產品聞名的McAfee,特別強調了應用程式控管的白名單技術有效性,以禁止各式程式運作,僅允許已知的應用程式執行,讓各式端點裝置都能以最少的變動,來維護這類設備系統執行安全監控。

防護面向三:生產線內部網路安全

雖然說,不少廠商均指出,應用程式白名單即是工控設備最重要的一環,也是最後的防線。不過,在機臺本身的防護之外,對於新機臺在開機後,若發生病毒自動感染其他主機,網路層能否具備即時偵測或自動阻擋,也是資安防護上的一些重要觀念。

在常見的資安防護建議中,提到應對裝置採取網路區隔(Segmentation),以減少病毒擴散影響範圍,另外,就是要做到網路流量監控。即便企業不願意採取阻擋的方式,相對地,也需透過即時偵測能力,便於快速啟動資安應變。

在防止威脅擴散的作法上,除了部署應用程式白名單於工業主機,做到端點防護,對於生產線內部網路,有些業者建議可採更細的網路切割管理。像是在廠內區域之間,部署具有工控網路協議解析能力,與內建IPS能力的網路閘道設備,以減少病毒橫向擴散至其他VLAN的風險,當發生問題時,就不會影響到全部的設備。

至於如何做網路切割,一般建議是可以依照生產線的重要程度,以及機臺安全風險性來考量。

從這次各家廠商的建議來看,有作法是建置網路流量監控系統,並整合防火牆以自動關閉廠區間之網路,但也有更多廠商認為防火牆是基本配備,但作用並不大,因為廠區內有些埠必須要啟用,而沒有辦法管控,因此,也難以偵測到各式進階威脅,而IPS功能的重要性較高,部署在各廠區或網段之間,以達即時偵測與阻擋感染蔓延、擴散。

而在每個重要網路節點,佈置適當防火牆、入侵監測系統等設備之外,企業無法掌控機臺所處生產內網環境現況,因為,許多企業並未導入資安盤點、網路流量監控、資安事件監控平臺。

以資產盤點而言,很多企業拿出來的可能只有一開始的廠區設計圖,很多電腦名稱可能也都一模一樣,有一些系統甚至已經跟資訊網路連結,但這些狀況並未在資安部門的管理範圍。

想要妥善管理工業設備資產與網路,一如IT環境的資安盤點與網路監控,都必須掌握生產線網路環境的資產數量、類型、網路拓樸與數據流向等資訊,這些都是網路管理的基本功,否則難以做好即時的資安事件應變。

而現行OT環境的網路監控,市面上已經出現不少專用解決方案,並以被動式監控為主,這主要是因為不容易對原有OT網路造成衝擊或影響,像是引發生產線運作中斷的風險。提供這類型產品的資安業者,在臺灣市場,我們可以找到Claorty、Cyberbit、Darktrace與SecurityMatters等廠牌。

在產業物聯網的環境下,由於網路協定的不同,精誠資訊表示,每一種環節的數據傳輸,規律是不一樣的。因此,一些工業控制系統資安防護方案,會選擇與工業通訊大廠Moxa等OT設備商合作,以蒐集網路封包的方式,掌握資產的細部資訊與對應關係,學習每一個設備的行為模式,並透過深度封包檢測技術,而在這裡,同樣可以借用白名單的概念,自動產生白名單的控管政策,以識別安全性弱點、錯誤配置、故障或政策漏洞。

舉例而言,當有一臺異常設備進來時,透過這類OT網路監控工具,就能發現與平常設備的行為不一樣,像是找出橫向感染等問題,這也意謂著,要有工具能快速找出設備資產的細節,發生的時間點,以及傳輸內容是否合理。

因此,借助工業控制系統的資安解決方案,即時監控與偵測OT網路的各個層級,也是一種可行作法。

但由於管理面基本功的不足,因此,趨勢科技也建議,規範需要訂出來,企業必須要知道設備功能與位置,誰是設備管理者,甚至機臺主控電腦存取權帳密的管理,若沒有中央控管的方式,一旦遇到資安事件,應變的難度就很高。

至於跨廠區之間的網路安全問題,在一般的網路隔離方式之外,精誠資訊也特別提到隔離層的機制,可採取類似零信任區或微隔離(Micro Segmentation)的作法,同樣是借助了白名單的概念,在網路與網路之間,應該設立檢查的機制,來防範威脅擴散。

圖片來源/精誠資訊

Cyberbit製造業機臺安全防護架構

針對製造業生產機臺內部網路,建立網路可視性,也是重要的作法。Cyberbit在SCADAShield的工業控制系統資安解決方案之中,以深度封包檢測偵測網路架構關係對應、設備資產、安全性弱點與異常活動等,並偵測流量是否帶有惡意活動,協助做到事件調查與處理。

防護面向四:事件發生後的災難應變與復原

關於機臺安全問題,引起的資安事件處理,現在也是製造業必須重視的部分。一旦發生問題,才能確定影響範圍、找出原因,以及預估損失。其實,這也就與先前提到的,工業設備資產與網路可視化(Network Visibility),息息相關,企業團隊才能快速反應,並降低資安事件對企業營運帶來的風險。

不過,資安事件處理應變的範疇不僅於此,後續要關注的面向,還包括法規上的要求、報告上級主管機關,以及是否對外公開說明細節。不論是對公司合作伙伴、投資人,或是對企業商譽的影響,若能及早確定影響範圍、找出原因並公布,也意謂著企業在事件應變具備足夠的能力,降低不同層面帶來的影響與衝擊。因此,作法上,企業應該要建立標準應變措施,或是有一定程度的沙盤演練。

至於事故後的機臺復原工作,針對備份還原系統預先該如何規畫,也很重要,考量的重點,可以放在減少人為介入,以及減少停機時間。

對此,研華科技提出關於備份還原系統的3個要點,首先,由於機臺操作人員非IT工程師,因此,基本備份的流程,必須做到全自動,不需人為介入。第二點,在單一機臺整機還原時,可用一鍵還原或是透過圖形操作介面進行操作,甚至做到自動回復,減少人為的操作,才能有效縮短停機時間。最後一點,針對不同系統的生產機臺,也都要考量能用相同的標準流程來完成,才能加速還原工作的進行。

 

圖片來源/資拓宏宇

Claroty製造業機臺安全防護架構

現在的OT網路監控系統,幾乎都強調支援多種工控系統通訊協定、製造商機臺,並對應工控安全標準ISA99的5個層級,提供各式監控與偵測能力, OT網路監控系統Claroty也是一例,可預警網路異常狀況,並提供OT網路遠端支援安全機制。

 相關報導  生產機臺安全亮紅燈,防護威脅迫在眉睫


Advertisement

更多 iThome相關內容