第十四屆CIO價值學院第四堂課 會後報導
戴夫寇爾執行長翁浩正表示,近年在國際上發生許多資安事件,肇因於黑色產業鏈的利益考量所致;對企業來說,因而面臨更嚴峻的風險,主要是因為,隨著企業採用愈來愈多連網設備、雲端服務,形同讓曝險面積擴大,連帶使攻擊者有更多攻擊機會。此外攻擊方與防守方之間的實力差距日益拉大,因為企業若想做好資安,需要管理的標的實在太多,如今隨著曝險面積變大,防禦成本就跟著拉高、也更加難以防禦,使攻防之間的資源越來越不對稱。
[ 敬邀參與2022年度CIO大調查活動,掌握IT脈動缺你不可 ]
顯見企業若缺乏好的防護策略,也未能綜觀全局來進行數位資產與環境的盤點,很難達到理想防禦成效。
台南紡織總經理室特別助理邵致平指出,針對OT資安議題,此處先從當前傳統產業沿用的一些生產設備與製程來出發。一般中小型系統,大概都由一些獨立的機台構成,奠基於非Windows-based平台,並搭載可程式控制器、高階自動化控制器或一般工業電腦,也帶有一些畫面上的連接與呈現功能。另值得一提,這些系統走的是專用封閉性通訊協定,並非一般常見的TCP/IP,比方說Profibus、CANbus、Modbus RTU、EtherCAT、Host Link,或者Rockwell、Emerson等專用的 Data Highway Plus 介面,乃至許多特殊儀器採用的HART介面等等。
綜上所述,OT領域充斥許多組合性控制、編程程式的控制核心,或是通訊協定,明顯迥異於IT領域慣常出現Windows-based或TCP/IP架構。因此事實上早期工控範疇基於系統、通訊協定的專有化,甚少出現資安問題。
現今之所慢慢發生資安事故,癥結就在於智能化,業主需要做大量訊息的蒐集、分析與判讀,也將許多原本獨立機台推向互通架構,因為跨系統的整合、端點資料的收集與取得,使工廠逐漸需要動用Windows-based及TCP/IP架構,因而曝露在各式惡意軟體或病毒威脅之下。
採 Who & Where 管理 避免少數設備釀成破口
《CIO IT經理人》雜誌總主筆施鑫澤說,眾所皆知,OT人與IT人之間的視野不太一樣,因此包括從IT角度來看OT,抑或從OT角度來看IT,究竟可以看出什麼樣的內容,著實是富含趣味且令人關心的課題。
翁浩正從IT看OT。他說OT環境較IT封閉,相對單純、但也相對複雜,係因設備類型較少,為單純之處;但另一方面,其系統往往不在最新狀態,且型態混雜,有的是純硬體、有的偏向OT、有些是OT與IT混合體,足見資安挑戰確實不少。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
他接著引述國外調查研究報告,包括有72%的漏洞可在外部直接做攻擊,意即駭客從遠端就能直接利用該漏洞來發動攻擊。47%漏洞屬於Purdue模型中的 Level 1 和 Level 2。72% 漏洞不需任何身份驗證、只要連到它即可執行攻擊。78.17%漏洞不需要與使用者互動,直接發動攻擊即可成功。65.7%漏洞會讓可用性有所損失,可能導致工廠裡的機組停擺,甚至危及人員生命安全。
大家可以參考 MITRE ATT&CK 框架裡頭的「ATT&CK for Industrial Control Systems」,探索OT安全攻擊階段,以及箇中涵蓋的戰略與技術。常見第一步驟是 Initial Access,駭客要取得你環境的進入權,接著執行惡意程式、提升權限、規避防禦設備或軟體,然後找到企業內部更多有價值資產,再以水平或橫向移動方式來收集更多情報、文件及機密資料,進而控制他的後門,造成企業更大的損失。有了 MITRE ATT&CK 框架,方便企業進行盤點,判斷自身風險是大或小,需不需要針對人、技術或流程進行補強。
翁浩正根據先前協助企業執行紅隊演練的經驗,得到一些重要發現:
- 第一點,常見許多場域的系統較為老舊,有不少既存的漏洞,但卻無法上Patch或更新,容易形成資安缺口。
- 第二點,不少用戶或其維護廠商習慣採用預設密碼,駭客一旦取得,就可輕鬆登入受害企業的環境。
- 第三點,OT領域缺乏加密的通訊協定,代表駭客有機會居間竊聽或擷取封包,取得一些機敏資料,甚至進一步做通訊協定分析、據此設計更進階的攻擊。
- 第四點,OT的網路區隔相對鬆散,重要與次要設備同處一區,形同一人淪陷、其他人就通通遭池魚之殃。
- 第五點,在OT環境欲透過防毒軟體之類的機制,去偵測埋伏其中的惡意程式,相對比較困難。
邵致平則說,OT領域有非常大量、多元的設備,早已習慣採用分區、分系統的管理跟控制邏輯,藉由一些類比介面或通訊方式實現資料交握,由最上層的圖控整合軟體做最後的整合。此外OT業主也需要做歷史資料紀錄的分析,因而架設許多關於邏輯運算的主控電腦,這些電腦多植基於Windows-based平台,屬於DCS分散式系統架構。一般來說,此類電腦非常獨立,不會結合網路化、Web化,但仍遇到很多問題,就是Window不斷更新、但工廠的管理平台卻跟不上,也因為未連網,也無法常常做漏洞更新與檢視。換言之,OT領域追求生產設備的效能與良率,反而忽略資訊安全架構。
不過除了上述管理平台,OT設備多為非Windows-based控制器,或者可編程控制器、智慧智能控制器,或比較專屬特殊的非TCP/IP通訊協定,目前看來,確實較不容易受到攻擊。所以邵致平建議,一般OT系統要去考量到IT資安問題的時候,可先從網路方面做分析,看它是內網第幾層,抑或是外網、要做怎麼樣的環狀/星狀管理,網路模型先底定,之後再來看這些系統之間的互相影響,鎖定對製程可能造成較大風險的環節加強防禦。
又或者可採用另一種 Who & Where 管理模型,端看標的物是誰、能夠到哪裡,假使認定為高風險目標,即透過流量導引的設計,阻斷它的擴散範圍,讓它無法藉由垂直或水平擴散去影響到別的系統。
其實就整個OT與IT層的考量,應設法讓兩邊能夠相互重疊,然後可從管理和維護的構面來思考,不一定要花大把鈔票,把防護重兵佈在最重要的地方。
針對智慧樓宇的核心資訊流 配置高資安規格
邵致平指出,有關智慧樓宇統安全機制的設計,大概分為幾個要點。第一個思考點就是資訊流、金流和大資料收集、訊息分析等,必須有較高資安規格,不容許系統被攻破,如果系統出了問題,便需啟動快速復原機制,例如沙盒、RAID陣列等。第二點雖然指的仍是資訊流,但某些層面上可容許些許 Data Loss 或Lag狀況,比方說視覺辨識系統如CCTV、車牌辨識、人流車流辨識系統等等,都有這種特性,資安等級可以較低一些。
第三點比較偏OT領域、也較為特別,如消防系統、HVAC空調管理系統、EMS能源管理系統,都需要即時反應與控制,係因它們涉及安全。一般來說,我要求這樣的控制反饋速率,能夠在50毫秒以下、尤其是EMS,才可清楚研判是否有電力使用不當、三相不平衡、諧波、欠相短路等狀況,進而快速得知如何執行維護保養與安全確保。
利用模擬場域 驗證OT防禦機制的可用性
翁浩正說,從攻擊方角度來看,他偏好一種論述,假使你們是攻擊者、是駭客,或技術高超的網軍,要攻進一個企業,會想從哪邊著手?很多人選擇IT,因IT裡面有許多系統、網站,就有漏洞可利用來做攻擊;但不少企業IT環境相對成熟,內部防禦機制相對齊全,也定期做滲透測試、紅隊演練,甚至採購EDR方案,要對他做攻擊,要嘛失敗、要嘛容易被抓到。於是轉而從OT做嘗試,因OT攻擊事件相對難以被識破,而OT裡面的資安設備、監控設備比IT少,因此在發生攻擊行動時,反應速度較慢,甚至渾然不知。
OT場域若實施自動化,一定會有主機與IT介接,而IT也可能因為要銜接OT通訊,被迫把原本加密等級Downgrade、變成沒有加密的狀態,隨著防講力減少,駭客就能從OT輾轉攻進IT環境。
考量現今鮮少企業敢對OT環境或整個企業實施大型紅隊演練,因他們難以承受網路及系統不慎停擺,翁浩正提出一個不錯的權宜之計,可建立一些與Production環境一致的模擬場域,可容許檢測、掃描,即使中斷也無所謂,藉此驗證我這些系統配置存在哪些缺口,以補強OT環境的防護力。(文/明雲青)
(本文授權非營利轉載,請註明出處:CIO Taiwan)
