近年制造业发生工控资安事件频率,已逐步取代金融业,成为骇客最主要攻击和勒索目标。资讯工业策进会资安科技研究所(以下简称资安所),在数位发展部支持下,也针对工控场域与产线,研发网路多层次入侵侦测解决方案。能在不影响生产线稳定与安全的情况下,识别恶意行为与可疑流量轨迹,协助产业降低数位化後衍生的攻击风险,让关键资产免受损害。
|
资策会资安所研发「ICSentry工控资安威胁分析平台」协助产业解决OT资安风险,能在不影响生产线稳定与安全的情况下,针对制造业最需要的异常行为监控、威胁攻击侦测、渗透测试等功能进行部署。 |
尤其随着资讯科技(IT)和营运技术(OT)基础架构的普遍整合,使用最多OT设备的场域不仅过往处於物理隔离环境的OT系统已不复存在,还更容易受到病毒、蠕虫、木马等恶意软体的威胁。根据IBM年度资安报告《X-Force 威胁情报指数》观察,全球制造业已连续两年成为遭受勒索攻击最多的行业;尤其在亚洲,已发生的所有攻击案件,将近一半都瞄准制造业,成为骇客眼中的「最爱」。
资安所所长何玲玲指出,过去制造业面对工控资安问题,大多使用IT的既有解决方案来防御,但是IT与OT的软硬体架构协议、通讯协定与优先处理构面均有所不同,即使已逐步采取通用架构,防御效果仍然有限。
为协助产业解决OT资安风险,资安所运用多年累积的工控资安经验,自主研发出「ICSentry工控资安威胁分析平台」,能在不影响生产线稳定与安全的情况下,针对制造业最需要的异常行为监控、威胁攻击侦测、渗透测试等功能进行部署。其透过AI分析技术,提供多面向资安解决方案,共具备4大特点:
1. 资产盘点,落实场域可视性:基於OT场域可视性需求,ICSentry以国际普遍被接受的叁考架构普渡(Purdue)模型,执行深度封包检测,以准确辨识设备资讯并呈现场域网路拓朴架构,再依IT、OT不同工作流程分析产线弱点与潜在威胁。
2. 威胁侦测,揪出非法连线:因应工业控制系统(Industrial Control System,ICS)的操作、技术支援等,通常以远端登入方式进行,透过识别多种ICS的网路架构分析,并结合黑白名单手法,侦测系统是否出现非法连线或恶意行为。
3. 长期监控,即时风险告警:ICSentry应用AI辅助异常流量分析技术,自动建立产线正常行为模型,并进行长期监控,即时针对指定特徵进行判读与异常行为示警。
4. 渗透测试,入侵模拟演练:随着全球对资安要求日渐重视,也能依产业所在供应链需求,应用入侵攻击模拟技术进行红队攻击演练,除探勘潜在威胁外,也能协助厂商修正资安策略、提高整体防御力。
该「ICSentry工控资安威胁分析平台」在开发期间,即於2021叁与MITRE ATT&CK for ICS国际工控资安产品评测评比,在精准告警率、攻击行为侦测、网路可视度等拿下隹绩,并与微软、以色列Claroty等知名厂商并驾齐驱;今年再度以优异表现,荣获有研发界奥斯卡之称的全球百大科技奖《R&D100 Awards》。
资策会表示:「科技带动数位世界快速发展,资讯安全变得极为重要。资策会目标一直是开发创新解决方案,帮助企业应对不断变化的威胁。『ICSentry工控资安威胁分析平台』被选为具有创新解决重大社会、经济挑战的百大研发技术,足以展现我国工控资安技术研发与创新能量。」
除了针对侦防技术不断精进外,「ICSentry工控资安威胁分析平台」现也积极透过技转合作,与制造业、自动化产业、与资安厂商共同协作发展多种整合功能的工控资安方案,例如智慧工厂资安监控战情系统、工控分析串接资安管理平台、OT资安防护加值方案,工控AI威胁侦测扩增模组等,一同强化风险隔离管制、资产威胁可视与即时保护关键设备等资安需求。
目前「ICSentry工控资安威胁分析平台」已布建在数位产业署沙仑资安服务基地及资安所实验室提供情境攻防展示,将以国产自行研发工控资安技术能量,协助并赋能各产业因应日益复杂的网路环境,有效提升整体资安韧性。