智慧工廠(Smart Factories)是工業(yè)物聯網(IIoT) 改造傳統制造業(yè)的最佳展現,在萬物聯網(圖 1)�����、大數據與 AI 等技術的結合下����,智能制造、智能醫(yī)療�、智能交通已成為臺灣轉型升級目標。然而���,所面對的操作科技(OT)資安威脅會更嚴苛�,只要遭遇一次重大網絡攻擊�����,原本物聯裝置所帶來的效益���,恐怕瞬間就會化為烏有�,例如:機密資料外泄�����、營運生產停頓、供應鏈斷炊�����。近年來鎖定智能工廠的病毒越來越多�����,全球都有受害的災情不斷傳出���,不只影響生產線運作��,更甚者會危及國家基礎設施���,并要當心成為勒索軟件目標。
圖 1:物聯網運用遍及各種產業(yè)
打破封閉內網是安全的觀念
過去多數工廠因設備老舊��、缺乏專業(yè)整合人才��,或因其為封閉系統而缺乏資安防護觀念��。在工業(yè)物聯網的建置下���,企業(yè) IT 與廠房 OT 系統相互串連��,使長久以來一直是被認為封閉網絡的 OT 環(huán)境��,暴露在可能遭受網絡攻擊風險下����,包括商業(yè)機密遭竊取�����、惡意中斷營運���、攻擊基礎設施造成生產損失�、甚至造成工安事件危害人員健康與安全等����。
有些工廠開放機臺可以透過防火墻直接對外,任何人皆可以對機臺進行聯機管理���,甚至從外部亦可以透過 IE 聯機��,進行管制�����。由于機臺物聯網化后加速生產力�,但是對于網絡的管理并沒有嚴格要求與落實,容易造成后續(xù)資安維護管理上漏洞�。因此在導入裝置物聯網后,聯網的機具����、人員管理識別、網絡流量檢測�����、LOG 紀錄追蹤都是需改善的要點�����,所以需要在原來的系統上加入信息安全的防護�,除了原本防火墻基礎網絡防護外,建議區(qū)隔 IT 與 OT 的網絡架構(圖 2)����、做好定期弱點掃描及人員資安教育訓練課程等,除了保護企業(yè)的信息外也保護自己的網絡財產�,萬一真的不幸發(fā)生攻擊事件�,可以將損害降到最低���。
圖 2:強化 OT 內網安全
智能工廠(OT 廠域)存在的資安威脅
攻擊的來源來自幾個地方,每個方向的目的并不一樣��,整個系統的問題分析如下:
(1) 來自網絡黑客的攻擊:
可能帶有炫耀或是威脅意圖�����,例如:黑客發(fā)出勒索郵件��,要求交付比特幣當贖金����,如果不從就不定期發(fā)出癱瘓攻擊,癱瘓戰(zhàn)情中心或是阻斷客戶端的網絡�。勒索金額相對于工作上的損失,通常小很多����,所以企業(yè)都會付贖金息事寧人,這樣更助長這類的惡意行為�����。
(2) 惡意人士攻擊:
客戶端的現場通常是無人的環(huán)境,有心人士進入專屬的內部網絡根本不費吹灰之力��,在這個狀況下�����,要竊取���、偽造數據或是癱瘓網絡運作�����,就像開了一道任意門暢通無阻����。
(3) 人員疏忽:
因為內部計算機跟廠房機臺網絡是沒有任何管制��,萬一有人被引誘點了釣魚郵件后����,裝入后門程序,讓惡意攻擊者有竊取機密數據與發(fā)動勒索攻擊的機會����,例如�����,把服務器的數據加密藉以勒索。
(4) 不安全的身分認證:
在 IT 的網絡環(huán)境中����,對身分的權限管理是相當重視的,常見以相當多的認證機制嚴謹管控身分權限���。不過���,傳統的 OT 環(huán)境架構,注重系統的運行與穩(wěn)定度�����,面對資安的風險問題相對較低�。因此在認證權限方面就容易忽略,產生許多不安全的聯機�,讓廠內的人員或是設備的技術人員,只要利用計算機�����,就能輕松登入生產設備。
(5) 不安全的協議:
一般生產設備之間的工業(yè)通訊協議�,因發(fā)展的比較早,并未考慮與設計網絡安全的相關功能���。例如只要持有內建 Modbus 通訊協議的計算機�����,就能透過 Modbus 對生產設備發(fā)出任何指令并執(zhí)行���。
(6) 事件紀錄跟搜尋:
現況,每一個設備都是獨立運作����,并各自保留記錄,能記錄的項目及時間就看設備本身的儲存裝置�����,當需要事后查詢時�����,就需要進入每一個設備中�����,用他的方式去查詢,費時耗力����。
(7) 過期設備系統安全更新:
設備廠商會對設備的操作系統進行例行的安全性更新�����,當設備廠商宣布設備停產或是倒閉后���,就不會對設備進行安全性更新��,例如�����,Microsoft 對 Windows 7 就不會進行任何安全性更新�,此時 Windows 7 的漏洞就暴露出來�,讓有心人士有機可趁。
但是在工業(yè)環(huán)境中���,因為整體系統軟硬件一起運作的因素���,設備更替的速度跟 IT 環(huán)境是不一樣�����,往往 10-20 年的設備依舊在運作����,沒連網前沒問題�,一旦上因特網就有潛在的威脅。
(8) 無專業(yè)維護人員:
多數 OT 管理者對 IT 維護不熟悉���,很擔心設備發(fā)生故障或出現問題時�����,無法實時處理而影響產線的運作�。
區(qū)隔 IT 與 OT 網絡架構����,保護 OT 內網安全脅
攻擊的來源來自四面八方,在信息跟網絡安全的考慮下�����,眾至建議導入智慧聯網工廠將目前的網絡架構進行調整,每一個不同目的的網絡區(qū)塊���,執(zhí)行不同安全等級的信息安全防護����,例如��,OT 網絡聯機的對象都是固定��,所以在防火墻上就可以執(zhí)行嚴格的白名單策略�,非允許的 IP 地址都會被拒絕聯機�����。將對外供應鏈的服務器��、OT 網絡跟內部網絡進行實體網絡的區(qū)隔��,新的網絡架構示意圖(圖 3)如下:
圖 3:區(qū)隔 IT 與 OT 網絡環(huán)境
面對傳統制造業(yè)的升級轉型�����,智能工廠中的 IT 與 OT 的整合也擴大了企業(yè)的攻擊面���,傳統安全措施不太會充分考慮這些�,例如,可能不適用于 OT 的區(qū)隔安全解決方案��。正因如此��,智慧工廠不僅容易受操作問題影響����,也易受到 DDoS、勒索軟件����、網絡釣魚、系統漏洞�、惡意軟件、裝置遭害等影響��。
IT 與 OT 的思維不同�����,IT 要的是創(chuàng)新��,OT 要的是穩(wěn)定�。為了有效讓 OT 環(huán)境維持穩(wěn)定運作�,除了區(qū)隔 IT 與 OT 網絡環(huán)境外�,建議在強化威脅情報信息通知,以達到【事前防范】����、【事中阻擋】及【事后追蹤】運作目標(圖 4),減少被黑客�、病毒入侵及攻擊的機會讓整個網絡達到可控、可管的目標����,就算被癱瘓,也能把損失控制在一個小區(qū)域����,不會外散到整個網絡環(huán)境�����。
圖 4:藉由端點防護設備��、縱深防御�����、全面管控與威脅情報,打造內外網安全
ShareTech 智能工廠 OT 架構與解決方案
概念是把每一個運作的單元用防火墻區(qū)隔����,要進出本區(qū)之外的網絡都需要進行身分識別及留下存取紀錄,并利用 VPN 的加密技術�,把原本在網絡上明碼傳遞的信息加密。然后整體的 IT 網絡跟 OT 網絡也是用防火墻做切割���,只有被允許的人才能存取另一邊的網絡�����。在這個架構下�,OT 層的網絡防護的機制說明如下:
網關安全防護
具備防火墻的防護機制(圖 5)�����,能夠阻擋黑客的惡意掃描及碎片攻擊等���,能夠阻擋的項目包含封鎖 IP���、封鎖 Land 攻擊、封鎖Smurf、封鎖 Trace Route����、封鎖 Fraggle、封鎖 Tear Drop 攻擊���、封鎖 ICMP / SYN / PIN of Death 等攻擊�����。
保護后端的服務器或是 PLC 等工業(yè)連網設備���,避免 ICMP / SYN(TCP) / UDP 等通訊協議的洪水攻擊(DOS)跟分布式洪水攻擊(DDOS),導致服務被中斷或式癱瘓��,針對每一個通訊協議可以設定保護的力道��。
圖 5:檢視網絡流量�,降低內網惡意攻擊行為
提高網絡威脅能見度(圖 6)
主要有三點:
(1) 揭露隱藏的風險
加強對高風險活動、可疑流量和進階型威脅的可見度��。
(2) 阻止未知威脅
透過大數據分析�、學習和系統漏洞補防��,保護企業(yè)組織網絡安全。
(3) 隔離受感染的系統
自動隔離網絡中已經遭駭的系統����,并阻止威脅擴散。
圖 6:檢測加密����、非加密網絡聯機是否有惡意行為
管制 port 的建立聯機機制
開越多的對外服務 Port,代表把自己暴露在外的風險因素增加�����,所以對于已知的聯機對象����,不管對方是使用動態(tài)或是固定 IP 地址,都可以利用防火墻普遍有的 IPSec VPN�,建立安全的 VPN 信道傳遞信息(圖 7),而不需要開 Port 的方式達成聯機的需求����。
圖 7:透由 VPN 強化安全聯機
建立白名單管理機制
由于惡意軟件的變種速度太快,如果靠黑名單來做把關可能沒那么可靠�,所以對 IOT 設備的軟件管理權限,應該都用白名單機制來進行控管�����。在 IOT 場域里具有極少變動的特性,通常系統在安裝后�,應用程序即維持不變。管理者可以決定哪些程序是允許被執(zhí)行����,其余的程序將被阻擋。當所有程序被允許執(zhí)行時��,應用程序白名單可以過濾內容或限定其帶寬使用量�����。
圖 8:ShareTech OTS 提供白名單防護機制
只允許特定的協議通過���,避免非必要的數據泄出
在工控環(huán)境系統�����,有些單位為了遠程管理的便利性��,使用 SSH��、Telnet、網頁登入聯機模式,如果沒有采取任何安全管理措施�,例如:只限定某些特定 IP 才能存取,或者必須經過身分認證后才能使用服務(圖 9)��,否則讓黑客輕易入侵系統管控設備���,容易引起大災難���。SharTech OTS 防護設備可以與 AD/POP3/Radius 做認證授權機制,可協助管理人員與監(jiān)控企業(yè)內部所有使用者賬號�,在確認使用者的 ID 的有效授權之后,才能允許其使用網絡��,讓企業(yè)可以有效管理網絡使用資源�����。
圖 9 ShareTech OTS 防護設備提供身分識別機制
支持工業(yè)網絡協議
ShareTech OTS 防護的設備要能支持常用的工業(yè)控制協議(圖 10)�,例如,EtherCAT 使用 TCP/UDP 34980��、EtherNet /IP 使用 TCP 44818 UDP 2222��,管理者只要選取這一些協議名稱���,會自動對應出應該開放的 Port 號�����,至于其他的通訊 PORT 全部被關閉���。 以計算機組裝線為例��,若封包夾帶可疑的參數�,要求機械手臂執(zhí)行標準以外動作�����,ShareTech OT 防護設備在接獲數據封包后�,將進行封包分析、阻擋����,降低計算機廠商蒙受巨額財物損失。
圖 10:ShareTech OTS 支持工業(yè)協議埠
專屬OPC入侵防御機制
導入OPC入侵防御機制(圖 11)�,收集所有 IT、IOT 網絡的封包與訊號��,并且采用深度封包檢測(DPI)的方式進行比對��,分析通訊協議當中的每個層級,掌握出現異常數據的行為�����。讓管理者可以在與關鍵工控設備連接的網絡路徑上�,及時偵測到攻擊事件的發(fā)生�����、并依照管理員的設定����,中止或阻絕入侵行為,包括自動攔截棄置攻擊封包��,并依據設定�,留下攻擊的記錄即通知管理者等連續(xù)的應變措施。
圖 11:首創(chuàng)OPC入侵防御機制
日志
對于進出防火墻的事件有一個獨立的地方可以查詢�����,例如�,何時、從哪里來的管理者�,執(zhí)行了哪一個動作�����,把這一些數據記錄下來��,方便管理者日后追蹤�����。
統整成威脅情報 - 戰(zhàn)情室
詳細的網絡通聯紀錄及訊息通常會有專業(yè)的網絡管理者來判讀�����,但是為了讓高階的管理者能夠立刻了解整個網絡的安全程度�����、防護力道等信息�,有一個統合的威脅情報信息�����,以圖表的方式呈現����,讓高階領導者快速的明了系統的安全度�。
設備災難復原機制
當設備因外在事故無法正常運作時��,硬件本身要能支持 LAN BYPASS 模式�,不影響工廠生產營運,如果是硬件損壞無法運作��,最好可以利用 USB 插槽���,平時做好配置文件備份動作,當設備真的無法運作���,只要立即更換一臺�����,將原本 USB 換插到新機上開啟電源�����,就會自動將原本的配置文件數據帶入����,不用 5 分鐘完成災難救援的服務�。
