工業物聯網的演進將製造業智慧生產的願景具體落地。不過當新技術導入的同時,廠域網路除了邁入新階段應用外,惡意攻擊或非法侵入的問題也伴隨著而來。
在過去十年中,透過網路對智慧工廠的惡意攻擊案例愈來愈多,造成許多世界級的大廠陸續受害。例如在2005年,澳洲的荷頓車廠,因為受到ZOBOT病毒的攻擊,導致被迫中斷生產數個小時,估計造成600萬澳幣的損失;而2010年又出現了名為「Stuxnet」的病毒,無情的瘋狂攻擊透過架構在PLC或RTU的SCADA系統。
這樣的攻擊事件不勝枚舉,隨後還有Triton、Palmetto Fusion、Dragonfly等等的病毒或惡意植入,造成了美國的電力公司、德國的鋼鐵廠及沙烏地阿拉伯的煉油廠巨大的停工損失。
在智慧生產網路趨勢下,5個傳統OT環境的安全弱點
圖1 : 四零四科技(MOXA)亞太區物聯網解決方案處產品行銷經理郭彥徵(攝影:林鼎皓) |
|
四零四科技(MOXA)亞太區物聯網解決方案處產品行銷經理郭彥徵歸納了目前OT有幾個潛在的資安問題,分別是「OT的灰色地帶」、「不安全的身份驗證」、「不安全的協議」、「缺乏保護的設備」,以及「不安全的第三方軟體」等,這5個OT環境的安全弱點。這些都是目前MOXA在與客戶討論或解決資安問題時,所深深感受到的各種資安風險的因素。
OT的灰色地帶
在IT的世界裡,多數的作業環境都是以Windows作業系統為主,MIS透過各種監控工具可以相當容易掌握目前有哪些功能軟體正在運行,也有專責人員負責監管資安風險。但是對於追求生產效率的OT人員來說,時常於相對扁平的工廠網路中加入更多設備及網路節點。過去OT於網路建構、設備管理,甚至資安規劃相對著墨較少,而不同廠牌生產設備的韌體設計各異,常讓管理者無法得知潛在資安風險,以及該如何提升自我的防護能力。
不安全的身份驗證
郭彥徵分析說,在IT的網路環境中,對身分權限管理是相當重視的,常見以相當多的認證機制嚴謹地管控身分權限。不過,傳統的OT環境架構,著重系統的順暢運行,面對資安的風險問題相對較低。因此在認證權限方面容易忽略,產生許多不安全的連線,讓廠內的人員或是設備商的技術人員,只要利用電腦,就能毫無困難的登入生產設備,或者廠內的作業網路中。
不安全的協議
一般生產設備之間的工業通訊協定,因發展較早,並未考量與設計網路安全的相關功能。例如只要持有內建Modbus通訊協定的電腦,就能透過Modbus對生產設備發出任何指令並執行,這也是IT人員所深刻感受到的OT資安風險之一。
缺乏保護的設備
MOXA發現的另一個潛在資安憂慮,在於OT人員擔心韌體更新後,有可能對原來的程式或作業產生相容性問題,導致設備運轉出現異常。因此即使OT人員知道更新韌體可對設備資安帶來更高一層的保護,仍不希望改變設備中的韌體。雖然OT人員追求的是產線上的設備能平順運轉,但從長期專注於資安議題的MOXA來看,這是相當危險的狀態。
不安全的第三方軟體
最後郭彥徵提到,也有相當多的資安問題來自於受認證的廠商或員工,無意間將已被感染惡意程式的電腦連上廠內設備,讓惡意程式漫佈在整個OT網路中。甚至更進一步再繼續感染其他的電腦,擴散到另一間工廠或生產線上的設備。
即使是單純的網路設備,也必須擁有資安的DNA
MOXA長久專注於發展高度專業的網路設備產品,但MOXA認為即使是網路角色單純的工控設備,也必須擁有資安的DNA。從設備安全性來看,第一個考量點就是設備本身不會被攻擊或侵入,以今天的標準而言,工控資安標準IEC-62443其中的IEC-62443-4-2項目就對規範了設備資安功能,確保工控設備的自我防護能力。
有鑑於此,MOXA非常早就開始研發符合工業網路的IEC 62443-4-2安全準則的網通設備。除了強化網通設備資安防護能力外,MOXA還針對不同產品進行了各種獨特性設計,藉由本身的功能性來提供保護。例如MOXA在市場上已經銷售相當多Serial to Ethernet序列/網路轉換器產品。其中的NPort 6000系列產品就提供了獨特的資安功能,當訊號從Serial傳送到Ethernet端時會進行SSL/TLS加密,而在電腦端接收訊號後,必須進行解密,才能成功的接收完整指令。此外還有像交換機內Port Lock網口管控、針對資訊傳輸的Access Control List (ACL) 區域存取的功能性管理、防火牆、具加密功能的VPN等等,都是工業網路設備可以運用的技術。
提供老舊生產設備也可以加入物聯網的重生機會
資安的最後一道防線就是管理,因此對於OT方面的管理操作,MOXA提供對每一部設備進行檢查的Security Check 功能,掃視設備中IEC-62443-4-2建議的資安功能項目是否是否有被開啟。
簡單而言,對於設備安全防護的檢查,Security Check會進行三個步驟,第一是對設備中的功能項目進行掃描,確認IEC-6244-4-2資安功能是否被正確的開啟。其次是透過預設的資安Profile,自動導入相關設備,令設備立即符合預期資安水準。
監控部分,MOXA也提供能自動偵測OT網路狀況的MXview,快速偵測未知設備狀態、未知通訊連線的OT灰色地帶。
最後,除了基於傳統網路方案加強的安全功能,MOXA更進一步提出OT資安解決方案,從網路資安的考量作為規劃出發點,再往下層逐步涵蓋到整體網路通訊產品,範圍涵蓋了資安管理、網路資安防護、端點資安防護。依序為MXsecurity、EtherFire、EtherGuard等完整系列產品。首先 MXsecurity提供OT資安人員完整的資安訊息,包含資安攻擊/阻擋資訊及事件紀錄,及網路設備、連線、通訊協定的 可視化訊息。其次EtherGuard運用了多項防護技術,包含:針對IT/OT攻擊防禦的IPS/IDS整合方案,讓使用者可以在與關鍵工控設備連接的網路路徑上,自由選擇進行主動攻擊防護(IPS)或是被動的異常告警(IDS),以及支援IT/OT通訊協定的深度包解析DPI(deep packet inspection)。最後EtherFire 運用了相同的資安技術,更加上了部分網路路由器及L3交換機功能,使其可以更廣泛的運用在OT網路中進行資安防護。
MOXA將於8/21-24於台北國際自動化工業大展(攤位M1130)展出專為OT現場網路架構打造的資安方案,歡迎上活動網站報名參觀,報名將於8/16截止。凡報名成功即可憑名片至現場攤位領取精美禮品一份。