關於工業控制系統的安全問題,是近年政府與企業關注的議題。在10月中旬,國內資安監控委外服務商安碁資訊,在一場媒體資安講堂的活動上,介紹資安基礎與資安風險,他們向與會者推廣資安意識之餘,並提到了近期他們對於這類攻擊的觀察。

在今年下半,台積電機臺中毒事件,已經讓全國民眾都很關心工控領域的資安問題,究竟,還有那些未引爆的潛藏問題需要關注呢?

隨著網際網路的發展,越來越多工業控制系統採用標準化的通信協議、軟硬體,而且透過網際網路來實現遠端控制的可能性大增,但這也打破原本的封閉性。

安碁資訊指出,關於工控設備暴露在網際網路且欠缺防護的面向,必須重視。

針對暴露在網際網路的工控設備,他們歸納出三種攻擊面向,包括:通訊協議固有的設計瑕疵、啟用Web服務的工控設備,以及啟用遠端存取服務的工控設備。

關於上述情況,他們曾發現多起案例,像是:澳洲有業者SCADA系統對外開放Modbus服務,可從網際網路存取、操作工控設備;在西班牙,有業者採用施耐德的XFlow工業設備控管軟體,因為對外開放Web服務而曝險;此外,還有澳洲業者,採用Maxon Motor的Intelimax工業設備,有對外開放遠端存取服務的情況。

工控設備連網不設防的問題與現象,企業必須重視

到底,這些工控設備暴露在網際網路的後果嚴重嗎?他們在會後表示,在入侵的各式管道中,特別是以暴露在網際網路上的工控設備,最為危險。

舉例來說,像是XFow軟體採用Web服務作為人機介面(HMI),方便管理者遠端登入系統操控工控設備,但預設帳號密碼若未經變更,駭客就能輕易被嘗試登入系統。儘管有些可能被破解的帳號非特權帳號,但網路攻擊者已經能夠藉此,對目標環境有進一步的瞭解,或是不斷嘗試以取得特權帳號,再者,對方也可能運用攻擊網站服務的手法,以此作為突破點來滲透,或是繞過身分驗證機制,最終取得工控設備的操作權限。

此外,安全組態設定不良或不足的工業控制設備,也很容易遭受攻擊。例如,在工控系統環境,有企業為了遠端管理的便利,啟用RDP、SSH、Telnet等遠端登入連線模式,但此使,如果沒有採用任何安全管控措施,例如限制特定IP位址才能存取,或是要求密碼長度、複雜度,導致網路攻擊者可能輕易以暴力破解方式,獲得密碼。

一旦駭客破解登入帳號,接著就可入侵工業設備控管軟體,甚至,進一步取得特權帳號操作權限。此外,既有系統還可能存在一些通泛性的問題,例如,因為缺乏資安意識,因此設備只使用預設密碼,根本未加修改,以致於沒有防護可言。

為了確認這樣問題的影響,我們詢問資安研究公司Team T5創辦人蔡松廷的看法。他曾經聽聞過一些例子,像是水壩的控制器等關鍵基礎設施,從網路掃描上就能找到其IP位址,但其實不應該發生,有可能是因為設定上的疏忽,沒有做好阻隔與限制的管控。

因此,該如何因應,蔡松廷提到兩大關鍵原則:首先,要做到隔離的持續確保,並且要有應變的準備。由於隔離無法做到百分百,再加上OT環境內可能存在預設密碼的問題、漏洞沒修補等諸多問題,因此,應變上,必須預先建立好標準流程與復原措施。 

此外,在去年2月,我們也看到行政院國家資通安全會報技術服務中心的公告中,曾經發出相關警告。當時他們在執行僵屍網路調查案時,就發現有特定IP位址,對工業控制與環境控制設備進行掃描,且確認部份機關使用的工業控制設備,已曝露在網際網路上。

而且,還存在未設定密碼,或使用預設帳號密碼等情況,有資訊外洩與遭受入侵疑慮。因此,他們當時便提醒各機關應盤點、檢視與加強防範,以落實權限控管,並設法避免使用公開網際網路,提升監督與分析能力,才能夠及早掌握異常活動。


Advertisement

更多 iThome相關內容