隨後幾年中,數量龐大的勒索軟體都針對OT/ICS發動許多攻擊,同時要求以比特幣作為贖金來換取還原檔案的加密金鑰,這類案例包括Snake/EKANS 以及DoppelPaymer。新類型的勒索軟體攻擊在台灣的案例之一發生在2020 年5月,當時有兩間台灣的主要石油供應商遭駭客攻擊。入侵者取得各公司的Active Directory管理員權限後,藉此散播ColdLock勒索軟體,導致總部的所有員工無法存取公司的線上系統,且客戶必須用現金才能加油,直到系統恢復正常。從2020年1月到10月,勒索軟體攻擊案件中有57%發生在製造業或醫療保健業,網路上大約每14秒就會發生一次勒索軟體攻擊(圖1)。
工業革命4.0:以OT/ICS為目標攻擊的時代
利用網路來蒐集感測器資料,以強化工廠的生產效率與商業模式的改變是工業 4.0所注重的其中一項(圖2)。較為著名的例子是ThyssenKrupp電梯公司,該公司將其電梯連結至物聯網(IoT)感測器彙整資料。微軟為此廠商提供稱為MAX的IoT 服務。這項服務協助廠商預測、簡化保養和維修工作,保守估計能減少高達50%的停機時間。
從上述案例中,可以看出在先進技術快速發展的浪潮中,如何減少IT和OT之間的差距、優化製造流程,以及使用資料分析和預測結果來創造智慧工廠是熱門的議題。然而,數位化轉型並非一蹴可幾,而是需要長期投資的過程。
在現代化工廠的走向是以整合企業IT系統架構與營運資料,並結合OT 作業來建立高度整合的數位流程。這項整合雖然提高便利性和可用性,但也會帶來許多可被攻擊的面向與潛在破壞性,因此謹慎考慮資安防禦是有其必要性。例如透過智慧型手機來執行工廠人機介面(HMI)帶來的便利其實是雙面刃,因為便利性同時也提供攻擊者駭入系統的機會,工廠可被入侵的機會也大為提高。
駭客會利用任何可找到的途徑來奪取各式類型的資產,包含破壞生產、加密檔案要求受威脅對象為此支付高額贖金,或用盜來的資料勒索利益相關者等等。此類入侵不僅對資產和設施造成威脅,也引發安全問題。未來,網路攻擊極有可能會危害人類生命安全。
自動化階段
製造業的數位轉型可分為三個不同階段(圖3):勞力密集型、混合作業型和自動化型,由於自動化的過程中,每項資產會擁有一個IP,因此也稱為IP化。現代化和自動化成熟度的判斷,可藉由是否大量採用數位化流程來處理專用技術的比例為依據。資本支出(CAPEX)和營運成本(OPEX)這兩項密切地影響資產擁有者在數位化的採用率,但就自動化能夠提高效率和產出而言,長期來看是極為正向的投資。
從網路安全的角度審視這三個階段會發現完全不同性質的資安挑戰,以及應對資安風險時會須要謹慎的態度。第一階段為勞力密集型,工作場所中最常發生的資安問題通常與預算、資源和經驗不足有關,通常其現有網路環境並未考慮資安網路架構的部署。處於轉型第二階段「混合作業」的工廠也有獨特的資安問題,當系統同時混合執行新舊資產會產生新的攻擊面向,有時甚至極其脆弱。以VPNFilter惡意軟體為例,該軟體利用了新的路由器為載體來針對舊有的SCADA系統發動攻擊。
隨著工作場所過渡到第三階段的電腦作業,亦即自動化成熟度較高的階段,便需解決兩個主要問題:網路架構和端點管理,搭配著完整的網路安全機制,其中包括多層次保護、偵測和回應,以及用於決策和預測的資料和網路連線能力。一般而言,高度自動化的工作場所有一個獨有且特別嚴重的潛在弱點,就是當任一單點故障都會嚴重影響自動化週期。若其中一個流程因為被攻擊導致中斷,整個工廠的運作就會停滯。因此必須準備好面對安全事件的應變和備援措施,整體運作才能無慮。
駭客針對OT/ICS的攻擊行動
傳統OT/ICS防禦最常見的是依賴完全隔離(Air-gapped)(圖4),但是關於Air-gapped 有效性的假設會導致安全對策的規畫和部署不夠完善。OT/ICS環境中存在許多資安風險,內部與外部人員有心或無意的行為更是導致許多資安事件的破口主因。如果資安保護的管理策略過於鬆懈,面臨複雜的進階持續性威脅(APT)攻擊時,Air-gapped必定會成為主要的風險破口。
鬆懈的管理策略讓員工有不必要的機會,無論有意或無意地破壞OT/ICS環境或竊取敏感資料。在Air-gapped環境之中所攜帶的行動設備皆需要嚴格管理,例如用於傳輸資料的USB隨身碟和用於維修的筆記型電腦,這兩者都有可能成為惡意軟體傳播的載體。
處理複雜的APT攻擊非常有挑戰性,尤其是當合法憑證被劫持或竊取時。威脅者會竭盡所能爭取足夠的時間來達成其目標,這些目標就是進行必要的偵察、存取 OT/ICS網路,然後部署機器人(Bot)或勒索軟體以達到勒索等目的。
不同的產業在其工作場所會使用特定的OT網路架構與通訊協定。儘管需求不同,可能有著很大的差異,但至少有兩個共同點是持續存在的,也就是端點和網路兩者都必須加以保護,同時將產能最大化。
通常,OT/ICS端點是OT/ ICS網路安全中最薄弱的環節,因為環境中有許多老舊的OT/ICS端點執行重要的操作或運作於生產線的決策點。在OT/ICS環境中可以看到早已超過其終止服務的作業系統,例如Windows XP或Windows 7。這些舊系統不再發布任何更新和修補程式,這表示不會再修復新發現的漏洞,每個舊系統都是易受攻擊的目標(圖5)。
在有些情況下,這些端點受特殊保固或法規的約束, 而安裝額外的應用程式將會使保固無效或是違法。例如,製藥產業便擁有許多此類資產。針對這種設備的網路攻擊事件非常嚴重,但由於設備本身非常脆弱,因此無法安裝防毒軟體,需要特殊的解決方案才能維護和保障此類系統。
OT/ICS網路架構的重點在於可用性,並非安全性,而生產力是大多數決策過程中的主要考慮點。因此,工業控制網路架構在設計時很少會考量到資安防禦功能,且往往趨於網路扁平化。有許多的企業組織仍然以不揭露過多訊息就是最好的防禦方式來規畫OT/ICS資安,依賴「透過隱匿來實現安全」早已成為過時且無效的方法。OT/ICS網路另一個特性就是為了效能和可用性,OT/ICS網路協定傾向於避免加密或跳過身分驗證。更複雜的是,不同的OT/ ICS網路協定與多樣性會使網路隔離或信任清單建立的困難度增加(圖6)。
(1)工業控制網路架構沒有考量區域管理的資訊安全,甚至沒有詳細的層級隔離。
(2)執行老舊系統的關鍵資產其軟體和韌體不會再更新,新發現的漏洞亦無以修補。
(3)許多工業控制通訊協定並未加密, 使駭客更容易操縱工廠營運,干擾生產。
(4)傳統的IT安全性解決方案不適用於工業控制環境。
目前,IT和OT網路在整合時可能遇到的安全性風險是顯而易見的。根據廠商如 TXOne Networks威脅研究人員的建議,工業資安解決方案必須以OT/ICS的需求為基礎來加以建構,才能整合至操作流程中(SOP)。與IT解決方案不同,OT解決方案必須從頭開始針對OT/ICS環境來訂製。
專為OT/ICS網路設計的資安
OT/ICS工作人員非常熟悉他們自己的需求和流程,且往往掌控著自己的作業。同樣地,網路安全專家會帶來防範現代網路攻擊所需要的熟捻和警覺。要結合兩方面的專業並在有資源的準備之下,建立一個專門的內部團隊會有其必要性,在其運作的過程中需要不間斷的諮詢最新的網路威脅知識,來建立安全的營運基礎並在使用時維持其安全。
美國國家標準暨技術研究院(NIST)網路安全架構1.1版於2018年4月16日公開發布。此架構提供一個絕佳的參考模型,用於分類網路安全活動的功能:識別、保護、偵測、回應和復原。針對OT/ICS特定的網路安全,2015年5月發布了NIST 800-82 v2工業控制系統安全指南。
這些全面的安全性指南分為5個主要部分:
(1)工業控制系統概述
(2)ICS風險管理與評估
(3)ICS安全程式開發與部署
(4)ICS安全架構
(5)將安全控制應用於ICS
設置和部署皆以兩個指導原則為基礎:資安建構(Build-i t-secure)和資安維護(Keep-it-secure)(圖7)。執行資安建構時,必須確認目前OT/ICS的安全狀態,以便發現弱點並開發系統和架構來解決公司的網路安全需求。在建構或部署安全性對策之前,具備穩固的基礎非常重要。資安建構的最佳方式是建立專門負責的團隊並尋求外部諮詢服務的專業知識。風險評估和安全管理以及安全性架構都屬於安全建構方法的範疇。
可以把「資安建構」想成是為了OT/ ICS安全性架構打造一個可防禦、堅如磐石的基礎。但當OT環境開始全面運作,並且可能面臨多種適應性威脅和威脅者時,「資安維護」就成為日常優先事項。TXOne Networks的研究專家團隊將OT/ ICS中的網路和端點安全視為為「資安維護」而開發的實務核心。網路安全必需具備作業連續性以應對不斷演變的攻擊,這就是「資安維護」發揮作用的地方。為了維護資安,須要為開發和部署解決方案奠定良好的基礎和完善規畫的架構。普遍建議的做法是在選擇和部署解決方案時尋求專家的指導。
在整個數位轉型的過程中,企業組織在努力保護網路和端點安全時將面臨類似的挑戰。廠商如TXOne Networks處理了許多工控客戶資安問題,將多種環境、事件情況和漏洞來彙總網路安全知識的企業組織提供了一些對防禦策略最可靠的資源。資安解決方案,以三項關鍵技術為基礎來保護OT/ICS網路和端點:網路隔離、虛擬修補和信任清單。
網路隔離
網路分段隔離有兩個層級:內部分段隔離(Internal Segmentation)和細部分段隔離 (Micro-Segmentation)。內部分段隔離適用於大規模範圍或區域,會根據可用的技術、頻寬和使用中的通訊協議來定義這個範圍。同樣地,細部分段隔離是指技術解決方案允許使用者將要保護的範圍或區域縮小到更小規模,甚至縮小到一個資產。
網路架構的網路隔離類似在建立銀行大樓時防止搶劫概念,理想的銀行大樓應具備能見度、清晰實用的演練和防禦性對策。電梯、樓梯、走道和入口的位置和規畫都是基於設施中任何點都能在攻擊事件中形成幫助或妨礙,透過更容易防禦的基礎來提高全面防禦的標準。如此,當搶劫事件發生時,員工安全和銀行資源都受到完善保護。同樣地,對現代網路攻擊者而言,建構時沒有考量到網路分段的OT/ ICS網路就像銀行沒有適當規畫的窗戶、沒有安排優秀又細心的保全人員,卻有超過必要數量的入口處(圖8)。
在OT/ICS環境中具備適當的網路分段隔離可減少威脅影響並明顯提高管理的便利性。從資安角度來看,網路隔離可降低風險,同時防止惡意軟體爆發或阻止威脅者的橫向移動。即使系統的某個部分遭遇安全威脅事件,工廠仍能夠維持生產線的連續性。與高度仰賴黑名單的傳統安全性對策比較(例如防毒軟體),在沒有持續進行更新的情況下很難抵禦未知的攻擊。透過網路分段隔離,即使是未知攻擊,其潛在影響也是有限的。
除安全性外,網路分段隔離顯著改善了大量採用工業物聯網(IIoT)之工廠環境的可用性管理。網路隔離也能用於分隔控制路徑(雙向)和資料路徑(單向),可以減少因購買新的IoT設備帶來的不確定安全性風險,同時也能提高收集資料的能力,但卻不會在節點受損的情況下產生潛在的干擾,這種設置旨在限制入侵者可用的潛在功能。
產業內近期的另一個變化是,當5G企業專網的價格下降,資產擁有者會考慮網路連線營運成本進而大量採用。進行網路分段隔離並且將5G行動邊緣運算納入管理讓入侵者更難收集情報,有效阻礙攻擊的一種有效方式。零信任方法特別強調網路分段隔離重要性,資產擁有者要假設當其他的資安對策都將失效的前提下,如何限制任何設備、端點、使用者或網路的存取權限。有了此概念,便能在威脅情況發生之前做好周全準備。在管理工作場所的存取權限時,管理資產設備必須跟管理人員使用權限的概念類似,必須先對這些資產設備有零信任的假設。
虛擬補丁
根據趨勢科技的零日漏洞懸賞計畫(ZDI) 指出,SCADA系統提供修補的平均時間為60到150天。這讓駭客可在這期間發動攻擊。這只是在OT/ICS環境中執行快速修補管理的幾個複雜問題之一。其他問題尚包括要修補目標物、如何修補以及何時修補,必須不斷做出決定以平衡機密性和可用性。
通過虛擬補丁技術,無論其原開發者何時能發布更新,人們仍可保護資產,減少對未能做即時修補的擔憂,並優先考量生產力和安全性。端點虛擬補丁可透過主機式入侵預防系統(Host-based IPS)或網路IPS來建置。此類設備具有特別設計的規章,專門用於抵禦利用已知漏洞的攻擊,無需強制端點進行系統更新,意即不須重新啟動系統,也不須讓產線停機。虛擬補丁降低未知攻擊的影響,當威脅研究人員找出漏洞後(通常在幾天內),就可以提供攻擊防禦代碼更新來降低未知攻擊所造成的影響。
網路分段隔離和虛擬補丁針對試圖想利用OT/ICS漏洞的攻擊者建立了全面防禦網(圖9),也會經由限制未知攻擊的影響以及當威脅研究人員找出漏洞後(通常在幾天內),進行攻擊防禦代碼更新來降低未知攻擊所造成的影響。OT/ICS漏洞管理循環說明了處理OT/ICS漏洞的過程。大多數網路安全專家對零日漏洞並不陌生,處理此類漏洞需要快速反應、完善規畫的流程以及進行修補部署的程序。
在修補部署之前需要審慎檢視幾個問題,尤其是在處理零日漏洞時,也就是確認是否有修補方式?如果有,是否能相容?環境是否允許執行修補流程?上述這些問題都可能成為更新過程的障礙,這時便可看出採用網路分段隔離所具有的直接優勢,也就是網路隔離能將易受攻擊的資產隔離或聚合(Aggregating)到更容易遠離零日攻擊(Zero day attack)的安全區域。
部分情況下,此類資產在生產線上有著重要的作用,因此即使存有風險,也無法將其從網路中排出。在這種情況下,虛擬補丁可讓這些資產不僅安全又能維持生產力。當開發者正式提供修補套件時,網路分段隔離和虛擬補丁的搭配,讓工程師測試時延長修補所需準備時間,之後企業組織可利用既定的更新管理計畫來部署。
信任清單
最後,在網路和端點上設置信任清單控制(Trust List)是維護OT/ICS環境網路安全和生產力的最終對策。端點經常面臨的網路安全挑戰,便是有限的網路存取使得定期更新方式變得不切實際。若為此種情況,則傳統的防毒軟體幫助不大。信任清單是一種有效的替代解決方案,無需更新即可保護端點並限制應用程式、流程和組態(圖10)。一般來說,若將OT/ ICS端點與通用多用途的端點比較, 對單一用途或固定用途端點執行鎖定程序較容易。這種對策避免了增加端點的運算壓力,且不需要持續的病毒碼或模組更新。至於網路的信任清單,其在概念上相似,但使用了不同的元素:設備、協定和協定內的指令(圖11)。例如,技術人員可設定網路信任清單,讓HMI A與PLC B通訊時只能使用Modbus協定,或者可應用唯讀或其他自定權限。
從頭打造高韌性網路/端點
資安規畫者有一個最重要的問題必需瞭解並應對,那就是對多樣多變的OT/ICS工作場所獨特的防禦需求。高科技製造業的數位轉型可提高效率並創造經濟優勢,但網路威脅潛藏在整個轉型過程中。若駭客的攻擊成功,造成的損失會遠超出保護成本。生產中斷、智慧財產權被盜、敏感資訊洩露,無一不是難以恢復的痛點。
(本文作者皆任職於TXOne Network)
