行业资讯
工业环境下可能面临的资安威胁与解决之道
时间:2019-06-06 12:56来源:安防知识网

 

 

  在国内出现许多跟OT应用有关的资安事件后,大家对于工控设备与物联网装置的安全性,有了更多的关心与重视。本文即针对高科技制造业的OT应用环境及物联网装置,探讨工业环境下可能面临的资安威胁与解决之道。

  IT(资讯科技)人员对于IT设备的资安维护其实已相当熟悉,但对于生产线上的OT(操作科技)设备则相对比较陌生,这也给了骇客入侵的可趁之机。传统IT领域重视资料的机密性与完整性,但OT设备则更着重于可用性与人员安全,但为了因应远端连线的需求,OT设备从比较封闭的环境下逐渐打开网路大门,面临与IT设备同样的安全威胁。

  通过网路行为特征阻挡异常操作的威胁

  想要找出网路环境中潜在的威胁,目前除了防毒软体外也已有其他的选择,例如:Darktrace的企业免疫系统,是一种网路防御机器学习技术,正如人体免疫系统会了解身体的正常情况,识别和消除一些不符合正常发展模式的异常值,其将相同的逻辑应用于企业和工业环境。在机器学习和人工智慧运算法支持下,企业免疫系统技术可替代为网路中的每个设备和用户学习独特的「行为模式」,若发现异常网路作业,便可进行隔离以确保系统安全;且可与其他资安系统相辅相成,提供中心监控功能,防止机密资料外泄,能对异常作业进行虚拟隔离,但又不影响正常工作的运行,相当适合IT与OT环境的运作。

  监控特权连线避免异常资料存取

  从许多企业实际案例中,可以发现很多机密资料的外泄,通常是透过合法授权的帐号进行存取,一般的资安管理系统并无法识别与阻挡这些机密资料的外流。立宝科技产品经理汪育庆表示,机密资料的外泄,通常是透过员工有意、无意的操作,或经由外部承包商授权帐号进入系统,或因帐号密码被骇客窃取,透过特权帐号进入系统存取;此外,也有些是经由程式之间的资料分享,导致资料存取过程中被窃取。他指出,FUDO PAM特权连线监控解决方案,可监控伺服器连线,记录连线使用者的行为动作,包含滑鼠移动轨迹、键盘输入以及传输的档案,不需安装任何代理程式(Agent)在被监控的伺服器上,也不需要在用户端安装任何软体观看/稽核记录下来的监控内容。它可以监控内部员工、外部承包商或合作伙伴等在伺服器上的动作行为,管理者亦可即时监看,若发现异常动作便可即时阻挡,提供高科技制造业绝佳的资讯保护能力。
 

\
 

  要解决物联网装置的安全问题,可先从设备制造的源头做起,

  例如:对晶片韧体进行加密保护。

  工控机与物联网装置的安全挑战

  而针对更为广泛的机台联网甚至是物联网装置,又该如何防范资安威胁?互联安睿资通技术长何宜霖表示,可以有以下作法:

  1、从设备制造源头开始进行安全检测

  物联网装置为提供操作上的便利,常提供网页介面进行操作,因此骇客可透过浏览器漏洞对物联网装置进行攻击。且很多人在安装了物联网装置后,几乎都采用预设的帐号与密码,使得骇客要掌控这些物联网装置变得易如反掌。此外,物联网装置大多采用无线技术传输讯号,这也让骇客可以非接触式地从空中拦截讯号来加以破解,趁机入侵物联网系统。要解决物联网装置的安全问题,可先从设备制造的源头做起,包括:在产品的开发阶段便做好设备安全检测,对产品的韧体做好保护,以避免被骇客破解;在网页介面、应用程式的安全性上,也要将已知的漏洞补上。另外,使用者也要有足够的安全意识,不要使用预设的帐号与密码,才不会给骇客可趁之机。

  2、多层次的应用程式白名单技术

  国际间与台湾本地都发生过工业机台(工控机)与物联网装置遭受入侵的事件,导致工厂生产与运作都遭受到重大损失。工业技术研究院副组长卓传育表示,工控机器设备每天进行的工作相当固定,物联网装置也几乎是全天候运作,只要设备运作正常,管理者通常不会特别注意是否有异常或已被骇客入侵,因此成为骇客下手攻击的首要目标。传统防毒软体采用黑名单概念──即发现黑名单中的恶意程式被执行便加以警示阻挡,但这种作法难免会出现漏网之鱼,导致系统遭受恶意程式感染。应该采用应用程式白名单概念,只有列在白名单中的应用程式才允许被执行,包括程式所进行的系统呼叫、控制流程等,这种多层次的应用程式白名单技术,才能主动做好OT设备的资安。

  3、晶片加密技术的联网安全

  想要在产品的开发阶段做好资讯安全工作,可以尝试从晶片加密开始做起,国内提供晶片加密方案的尚承科技执行长赖育承表示,资讯安全是开发物联网装置的首要工作,以PiLock晶片加密技术为例,能在产品开发阶段保护韧体安全、对晶片韧体进行加密,使其在生产制造过程中不被破解,短时间即可做好韧体加密保护工作。其亦可以协助厂商在物联网装置的生命周期间,无论是韧体保护、韧体更新、晶片制造、产品交付的过程,都能够做好安全防护工作,一方面保护厂家的智慧财产,也可避免产品被骇客破解注入恶意程式。

  想要避免物联网装置被骇客入侵,可以从建立网路安全边界做起,做好内网隔离的工作。此外,企业也应该经常性地进行场域的弱点扫描检测,发现装置与系统的弱点,以便能及时地加以补强,让骇客无可趁之机。