智慧應用 影音

掌握五大步驟 可望提升工控資安防禦力

2022/01/20 - DIGITIMES企劃

在工控資安議題發酵之前,製造業網路環境普遍存在「安全神話」,只因用戶認為他們沒有對外網路、工控系統有防火牆隔離、駭客不了解工控系統、工控設施不會是攻擊目標,以及企業既有資安設施會守護他們;殊不知現實狀況,與他們的認知多有所落差。

Tenable資深技術顧問李元勛表示說,回顧IT與OT融合,其實始於20年前,直到10年前OT環境走向全自動化時、跨進一大步,只因從PLC、SCADA、MES到ERP這條資訊流通路徑,已同時貫穿IT及OT場域;時至2020年,隨著工業物聯網(IIoT)蓬勃興起,OT環境採用IT技術的機會越來越大。

由於IT、OT融合日深,針對OT基礎設施發動的網路攻擊,也就漸趨頻繁。為何工業資安議題日益嚴峻?其實有諸多成因,包含缺乏正確的資產清冊、缺乏設備間溝通的可視性、缺乏弱點曝露的可視性、控制節點有限、威脅偵測不足,以及缺乏修補或老舊的系統過多。李元勛提醒用戶不容小看網路攻擊,若以普渡(Purdue)模型而論,從上層的破壞會導致較低層級的實體設備被破壞或控制,因下層實體設備(如PLC、RTU等)主要透過軟體被上層DCS系統控制,因此最終可能導致較低級別實體(級別1)受到嚴重破壞、形成代價高昂且危險的災難。

如何強化工控安全防禦?李元勛建議執行五大步驟。第一步是「清查所有設備」,了解工控環境有哪些控制器或主機設備、各自傳輸的方法,若掌握這些資訊,即可釐清有哪些不適當連線正在發生。除掌握設備的廠牌、型號外,應進一步掌握PLC背板插槽上的設備、萬一哪天出狀況,可循線追查問題點發生在哪台設備上。

第二步驟為「發現所有日常」,只要有設備、就有傳輸,倘若哪天發覺有主機嘗試對外連線,或嘗試在內部連結非固定聯繫的主機,即需確認是否為異常通訊。

接下來第三步驟是「關於控制器」,除觀察控制器的運作是否正常外,亦需嚴密監控裡頭的設定檔有無異動,具體做法是透過不同時間軸進行設定前後差異比對,如Tenable系統還搭配顏色標記,方便管理者清查出現變動的設定檔、以及由何人執行更動改。

第四步驟為「風險、弱點與不安全設定」,以2020年為例,全球共發現18,300弱點,此時可借助Tenable Research等工具,了解這些弱點是否影響工控環境,結果發現不到50%的弱點有攻擊程式,再憑藉良好的資產盤點,證實僅274個與工控環境相關,即可對症下藥、鎖定這些脆弱點來補強。

最後一步為「持續的態勢偵測」,可藉由Tenable Research分析目前工控環境中存在哪些CVE漏洞,以便著手進行補強措施;若礙於相關端點設備無法裝載防護軟體,可考慮加強邊界防護,藉以阻擋一些弱點攻擊。


圖說:Tenable資深技術顧問李元勛。DIGITIMES


圖說:欲了解Tenable,可透過Westcon Solutions。Westcon Taiwan