智慧工廠(Smart Factories)是工業(yè)物聯(lián)網(wǎng)(IIoT) 改造傳統(tǒng)制造業(yè)的最佳展現(xiàn)�,在萬物聯(lián)網(wǎng)(圖 1)、大數(shù)據(jù)與 AI 等技術(shù)的結(jié)合下���,智能制造����、智能醫(yī)療�、智能交通已成為臺灣轉(zhuǎn)型升級目標。然而�,所面對的操作科技(OT)資安威脅會更嚴苛,只要遭遇一次重大網(wǎng)絡(luò)攻擊�,原本物聯(lián)裝置所帶來的效益,恐怕瞬間就會化為烏有�,例如:機密資料外泄、營運生產(chǎn)停頓�、供應鏈斷炊。近年來鎖定智能工廠的病毒越來越多�����,全球都有受害的災情不斷傳出,不只影響生產(chǎn)線運作�����,更甚者會危及國家基礎(chǔ)設(shè)施���,并要當心成為勒索軟件目標�。
圖 1:物聯(lián)網(wǎng)運用遍及各種產(chǎn)業(yè)
打破封閉內(nèi)網(wǎng)是安全的觀念
過去多數(shù)工廠因設(shè)備老舊����、缺乏專業(yè)整合人才,或因其為封閉系統(tǒng)而缺乏資安防護觀念����。在工業(yè)物聯(lián)網(wǎng)的建置下,企業(yè) IT 與廠房 OT 系統(tǒng)相互串連����,使長久以來一直是被認為封閉網(wǎng)絡(luò)的 OT 環(huán)境�����,暴露在可能遭受網(wǎng)絡(luò)攻擊風險下,包括商業(yè)機密遭竊取��、惡意中斷營運����、攻擊基礎(chǔ)設(shè)施造成生產(chǎn)損失、甚至造成工安事件危害人員健康與安全等���。
有些工廠開放機臺可以透過防火墻直接對外�����,任何人皆可以對機臺進行聯(lián)機管理�,甚至從外部亦可以透過 IE 聯(lián)機���,進行管制�。由于機臺物聯(lián)網(wǎng)化后加速生產(chǎn)力����,但是對于網(wǎng)絡(luò)的管理并沒有嚴格要求與落實,容易造成后續(xù)資安維護管理上漏洞����。因此在導入裝置物聯(lián)網(wǎng)后,聯(lián)網(wǎng)的機具、人員管理識別�、網(wǎng)絡(luò)流量檢測、LOG 紀錄追蹤都是需改善的要點�,所以需要在原來的系統(tǒng)上加入信息安全的防護,除了原本防火墻基礎(chǔ)網(wǎng)絡(luò)防護外�,建議區(qū)隔 IT 與 OT 的網(wǎng)絡(luò)架構(gòu)(圖 2)、做好定期弱點掃描及人員資安教育訓練課程等�,除了保護企業(yè)的信息外也保護自己的網(wǎng)絡(luò)財產(chǎn),萬一真的不幸發(fā)生攻擊事件��,可以將損害降到最低�。
圖 2:強化 OT 內(nèi)網(wǎng)安全
智能工廠(OT 廠域)存在的資安威脅
攻擊的來源來自幾個地方,每個方向的目的并不一樣����,整個系統(tǒng)的問題分析如下:
(1) 來自網(wǎng)絡(luò)黑客的攻擊:
可能帶有炫耀或是威脅意圖,例如:黑客發(fā)出勒索郵件��,要求交付比特幣當贖金�,如果不從就不定期發(fā)出癱瘓攻擊,癱瘓戰(zhàn)情中心或是阻斷客戶端的網(wǎng)絡(luò)��。勒索金額相對于工作上的損失����,通常小很多,所以企業(yè)都會付贖金息事寧人�,這樣更助長這類的惡意行為。
(2) 惡意人士攻擊:
客戶端的現(xiàn)場通常是無人的環(huán)境�����,有心人士進入專屬的內(nèi)部網(wǎng)絡(luò)根本不費吹灰之力��,在這個狀況下��,要竊取�����、偽造數(shù)據(jù)或是癱瘓網(wǎng)絡(luò)運作�����,就像開了一道任意門暢通無阻���。
(3) 人員疏忽:
因為內(nèi)部計算機跟廠房機臺網(wǎng)絡(luò)是沒有任何管制����,萬一有人被引誘點了釣魚郵件后�����,裝入后門程序,讓惡意攻擊者有竊取機密數(shù)據(jù)與發(fā)動勒索攻擊的機會�,例如,把服務(wù)器的數(shù)據(jù)加密藉以勒索���。
(4) 不安全的身分認證:
在 IT 的網(wǎng)絡(luò)環(huán)境中�����,對身分的權(quán)限管理是相當重視的��,常見以相當多的認證機制嚴謹管控身分權(quán)限���。不過,傳統(tǒng)的 OT 環(huán)境架構(gòu)����,注重系統(tǒng)的運行與穩(wěn)定度,面對資安的風險問題相對較低�。因此在認證權(quán)限方面就容易忽略,產(chǎn)生許多不安全的聯(lián)機����,讓廠內(nèi)的人員或是設(shè)備的技術(shù)人員���,只要利用計算機��,就能輕松登入生產(chǎn)設(shè)備�。
(5) 不安全的協(xié)議:
一般生產(chǎn)設(shè)備之間的工業(yè)通訊協(xié)議,因發(fā)展的比較早���,并未考慮與設(shè)計網(wǎng)絡(luò)安全的相關(guān)功能�。例如只要持有內(nèi)建 Modbus 通訊協(xié)議的計算機����,就能透過 Modbus 對生產(chǎn)設(shè)備發(fā)出任何指令并執(zhí)行。
(6) 事件紀錄跟搜尋:
現(xiàn)況�����,每一個設(shè)備都是獨立運作�����,并各自保留記錄��,能記錄的項目及時間就看設(shè)備本身的儲存裝置��,當需要事后查詢時,就需要進入每一個設(shè)備中����,用他的方式去查詢,費時耗力��。
(7) 過期設(shè)備系統(tǒng)安全更新:
設(shè)備廠商會對設(shè)備的操作系統(tǒng)進行例行的安全性更新����,當設(shè)備廠商宣布設(shè)備停產(chǎn)或是倒閉后,就不會對設(shè)備進行安全性更新�,例如,Microsoft 對 Windows 7 就不會進行任何安全性更新�,此時 Windows 7 的漏洞就暴露出來,讓有心人士有機可趁��。
但是在工業(yè)環(huán)境中�����,因為整體系統(tǒng)軟硬件一起運作的因素����,設(shè)備更替的速度跟 IT 環(huán)境是不一樣,往往 10-20 年的設(shè)備依舊在運作���,沒連網(wǎng)前沒問題���,一旦上因特網(wǎng)就有潛在的威脅�。
(8) 無專業(yè)維護人員:
多數(shù) OT 管理者對 IT 維護不熟悉�����,很擔心設(shè)備發(fā)生故障或出現(xiàn)問題時�,無法實時處理而影響產(chǎn)線的運作�。
區(qū)隔 IT 與 OT 網(wǎng)絡(luò)架構(gòu),保護 OT 內(nèi)網(wǎng)安全脅
攻擊的來源來自四面八方����,在信息跟網(wǎng)絡(luò)安全的考慮下,眾至建議導入智慧聯(lián)網(wǎng)工廠將目前的網(wǎng)絡(luò)架構(gòu)進行調(diào)整�����,每一個不同目的的網(wǎng)絡(luò)區(qū)塊�����,執(zhí)行不同安全等級的信息安全防護�,例如��,OT 網(wǎng)絡(luò)聯(lián)機的對象都是固定�����,所以在防火墻上就可以執(zhí)行嚴格的白名單策略���,非允許的 IP 地址都會被拒絕聯(lián)機。將對外供應鏈的服務(wù)器���、OT 網(wǎng)絡(luò)跟內(nèi)部網(wǎng)絡(luò)進行實體網(wǎng)絡(luò)的區(qū)隔����,新的網(wǎng)絡(luò)架構(gòu)示意圖(圖 3)如下:
圖 3:區(qū)隔 IT 與 OT 網(wǎng)絡(luò)環(huán)境
面對傳統(tǒng)制造業(yè)的升級轉(zhuǎn)型����,智能工廠中的 IT 與 OT 的整合也擴大了企業(yè)的攻擊面,傳統(tǒng)安全措施不太會充分考慮這些�,例如,可能不適用于 OT 的區(qū)隔安全解決方案��。正因如此�,智慧工廠不僅容易受操作問題影響,也易受到 DDoS、勒索軟件�����、網(wǎng)絡(luò)釣魚����、系統(tǒng)漏洞、惡意軟件����、裝置遭害等影響����。
IT 與 OT 的思維不同,IT 要的是創(chuàng)新�,OT 要的是穩(wěn)定。為了有效讓 OT 環(huán)境維持穩(wěn)定運作�����,除了區(qū)隔 IT 與 OT 網(wǎng)絡(luò)環(huán)境外�,建議在強化威脅情報信息通知,以達到【事前防范】��、【事中阻擋】及【事后追蹤】運作目標(圖 4),減少被黑客�����、病毒入侵及攻擊的機會讓整個網(wǎng)絡(luò)達到可控�����、可管的目標�,就算被癱瘓,也能把損失控制在一個小區(qū)域��,不會外散到整個網(wǎng)絡(luò)環(huán)境�。
圖 4:藉由端點防護設(shè)備、縱深防御����、全面管控與威脅情報,打造內(nèi)外網(wǎng)安全
ShareTech 智能工廠 OT 架構(gòu)與解決方案
概念是把每一個運作的單元用防火墻區(qū)隔���,要進出本區(qū)之外的網(wǎng)絡(luò)都需要進行身分識別及留下存取紀錄��,并利用 VPN 的加密技術(shù)���,把原本在網(wǎng)絡(luò)上明碼傳遞的信息加密�。然后整體的 IT 網(wǎng)絡(luò)跟 OT 網(wǎng)絡(luò)也是用防火墻做切割��,只有被允許的人才能存取另一邊的網(wǎng)絡(luò)�。在這個架構(gòu)下,OT 層的網(wǎng)絡(luò)防護的機制說明如下:
網(wǎng)關(guān)安全防護
具備防火墻的防護機制(圖 5)����,能夠阻擋黑客的惡意掃描及碎片攻擊等,能夠阻擋的項目包含封鎖 IP��、封鎖 Land 攻擊����、封鎖Smurf、封鎖 Trace Route�����、封鎖 Fraggle����、封鎖 Tear Drop 攻擊����、封鎖 ICMP / SYN / PIN of Death 等攻擊。
保護后端的服務(wù)器或是 PLC 等工業(yè)連網(wǎng)設(shè)備,避免 ICMP / SYN(TCP) / UDP 等通訊協(xié)議的洪水攻擊(DOS)跟分布式洪水攻擊(DDOS)����,導致服務(wù)被中斷或式癱瘓,針對每一個通訊協(xié)議可以設(shè)定保護的力道�。
圖 5:檢視網(wǎng)絡(luò)流量,降低內(nèi)網(wǎng)惡意攻擊行為
提高網(wǎng)絡(luò)威脅能見度(圖 6)
主要有三點:
(1) 揭露隱藏的風險
加強對高風險活動�、可疑流量和進階型威脅的可見度。
(2) 阻止未知威脅
透過大數(shù)據(jù)分析���、學習和系統(tǒng)漏洞補防�����,保護企業(yè)組織網(wǎng)絡(luò)安全�。
(3) 隔離受感染的系統(tǒng)
自動隔離網(wǎng)絡(luò)中已經(jīng)遭駭?shù)南到y(tǒng)�����,并阻止威脅擴散���。
圖 6:檢測加密�、非加密網(wǎng)絡(luò)聯(lián)機是否有惡意行為
管制 port 的建立聯(lián)機機制
開越多的對外服務(wù) Port���,代表把自己暴露在外的風險因素增加����,所以對于已知的聯(lián)機對象,不管對方是使用動態(tài)或是固定 IP 地址�����,都可以利用防火墻普遍有的 IPSec VPN��,建立安全的 VPN 信道傳遞信息(圖 7)�,而不需要開 Port 的方式達成聯(lián)機的需求。
圖 7:透由 VPN 強化安全聯(lián)機
建立白名單管理機制
由于惡意軟件的變種速度太快��,如果靠黑名單來做把關(guān)可能沒那么可靠���,所以對 IOT 設(shè)備的軟件管理權(quán)限����,應該都用白名單機制來進行控管�����。在 IOT 場域里具有極少變動的特性����,通常系統(tǒng)在安裝后,應用程序即維持不變��。管理者可以決定哪些程序是允許被執(zhí)行�,其余的程序?qū)⒈蛔钃酢.斔谐绦虮辉试S執(zhí)行時�,應用程序白名單可以過濾內(nèi)容或限定其帶寬使用量。
圖 8:ShareTech OTS 提供白名單防護機制
只允許特定的協(xié)議通過�����,避免非必要的數(shù)據(jù)泄出
在工控環(huán)境系統(tǒng)�,有些單位為了遠程管理的便利性,使用 SSH��、Telnet����、網(wǎng)頁登入聯(lián)機模式,如果沒有采取任何安全管理措施����,例如:只限定某些特定 IP 才能存取,或者必須經(jīng)過身分認證后才能使用服務(wù)(圖 9)�����,否則讓黑客輕易入侵系統(tǒng)管控設(shè)備,容易引起大災難����。SharTech OTS 防護設(shè)備可以與 AD/POP3/Radius 做認證授權(quán)機制,可協(xié)助管理人員與監(jiān)控企業(yè)內(nèi)部所有使用者賬號�,在確認使用者的 ID 的有效授權(quán)之后,才能允許其使用網(wǎng)絡(luò)�����,讓企業(yè)可以有效管理網(wǎng)絡(luò)使用資源�。
圖 9 ShareTech OTS 防護設(shè)備提供身分識別機制
支持工業(yè)網(wǎng)絡(luò)協(xié)議
ShareTech OTS 防護的設(shè)備要能支持常用的工業(yè)控制協(xié)議(圖 10),例如�����,EtherCAT 使用 TCP/UDP 34980�����、EtherNet /IP 使用 TCP 44818 UDP 2222��,管理者只要選取這一些協(xié)議名稱�����,會自動對應出應該開放的 Port 號���,至于其他的通訊 PORT 全部被關(guān)閉�����。 以計算機組裝線為例��,若封包夾帶可疑的參數(shù)����,要求機械手臂執(zhí)行標準以外動作�,ShareTech OT 防護設(shè)備在接獲數(shù)據(jù)封包后,將進行封包分析���、阻擋���,降低計算機廠商蒙受巨額財物損失。
圖 10:ShareTech OTS 支持工業(yè)協(xié)議埠
專屬OPC入侵防御機制
導入OPC入侵防御機制(圖 11)���,收集所有 IT�、IOT 網(wǎng)絡(luò)的封包與訊號,并且采用深度封包檢測(DPI)的方式進行比對�����,分析通訊協(xié)議當中的每個層級�,掌握出現(xiàn)異常數(shù)據(jù)的行為。讓管理者可以在與關(guān)鍵工控設(shè)備連接的網(wǎng)絡(luò)路徑上�,及時偵測到攻擊事件的發(fā)生、并依照管理員的設(shè)定���,中止或阻絕入侵行為����,包括自動攔截棄置攻擊封包��,并依據(jù)設(shè)定�����,留下攻擊的記錄即通知管理者等連續(xù)的應變措施�。
圖 11:首創(chuàng)OPC入侵防御機制
日志
對于進出防火墻的事件有一個獨立的地方可以查詢,例如����,何時���、從哪里來的管理者���,執(zhí)行了哪一個動作�,把這一些數(shù)據(jù)記錄下來����,方便管理者日后追蹤。
統(tǒng)整成威脅情報 - 戰(zhàn)情室
詳細的網(wǎng)絡(luò)通聯(lián)紀錄及訊息通常會有專業(yè)的網(wǎng)絡(luò)管理者來判讀�����,但是為了讓高階的管理者能夠立刻了解整個網(wǎng)絡(luò)的安全程度��、防護力道等信息��,有一個統(tǒng)合的威脅情報信息��,以圖表的方式呈現(xiàn)�����,讓高階領(lǐng)導者快速的明了系統(tǒng)的安全度。
設(shè)備災難復原機制
當設(shè)備因外在事故無法正常運作時�����,硬件本身要能支持 LAN BYPASS 模式�,不影響工廠生產(chǎn)營運,如果是硬件損壞無法運作�,最好可以利用 USB 插槽,平時做好配置文件備份動作���,當設(shè)備真的無法運作�����,只要立即更換一臺����,將原本 USB 換插到新機上開啟電源�,就會自動將原本的配置文件數(shù)據(jù)帶入,不用 5 分鐘完成災難救援的服務(wù)���。
