全部已讀
 
 

物聯網設備資安大進擊 晶睿與趨勢聯手強化製造系統安全等級

2019/10/03 - DIGITIMES企劃

工廠系統中的營運技術(OT)系統過去為封閉性架構,只為內部製程所用,由於與外界隔絕,資安疑慮一直以來並不高,隨著工業4.0概念的興起,製造系統的資安問題逐漸浮現。2018年台積電因新購設備感染病毒,導致全台產線大當機,營收損失高達新台幣52億元,此事件讓全球製造業者開始正視製造系統的資安,不過晶睿通訊產品管理部產品經理張洋榕指出,目前絕大多數作法都在機台聯網的安全強化,忽略工廠中的聯網設備,如安控攝影機、網路影像錄影機、路由器等,製造業者一但疏忽,將會讓廠內的資安防護出現缺口,危及製造系統。

安控攝影機過去類比型態與工廠製造系統一樣,都是封閉性系統,因此對資安的需求並不高,後來與網路介接的IP攝影機逐漸成為主流,安全意識才逐漸提升,現在各大廠的安控攝影機在出貨前,都會鍵入一定程度的資安機制,用以防堵病毒與駭客的入侵,只不過目前業界的做法多仍停留在被動式防護,難以遏止不斷進化的惡意攻擊。

晶睿攜手趨勢,5個月擋下500萬次網路攻擊

張洋榕指出,資安是高度專業,需要有專業團隊主導,而攝影機業者很難投入成本建立團隊,因此大多與第三方評測單位合作一次性的檢測。但在無法持續觀察、更新的狀態下,企業的安全監控系統除了無法防堵新型態的攻擊外,過去存在已久但未引爆的資安弱點,也難以被找出並改善。這些狀況都會讓安控攝影機在出廠後就面臨資安的風險挑戰,一旦受到攻擊就難有招架之力,對此張洋榕坦言,過去晶睿通訊的資安機制也是採取被動式防護做法,直到2016年美國及歐洲受到嚴重網路攻擊才改變。目前晶睿出貨時將資安機制內建於安控攝影機的做法,能讓資安防護做到產品出廠前一刻的最高等級,並透過後續更新持續防護。

2016年10月21日,駭客透過網路控制了美國超過百萬台聯網裝置,並以此對Twitter、Paypal、Spotify等知名網站進行DDoS攻擊,而這些聯網裝置中,絕大多數為網路攝影機。在這次事件後,晶睿通訊意識到當時防護做法的不足,決意強化資安機制,2017年開始與全球資安大廠趨勢科技合作,成為全球首宗將入侵防護系統(IPS)建置在安全監控裝置上的實例,深度體現安全監控與資安的兩大領域的跨界合作。

晶睿通訊與趨勢科技從2017年開始合作,2018年推出可即時阻擋惡意攻擊與病毒的安控攝影機,並由敵我攻防中找出駭客的攻擊模式,進而調整自己的資安機制,讓系統防堵更周密。2019年雙方合作再升級,將防護延伸到安全監控系統的後台,為客戶設置網路風險儀表板,顯示系統中所有安控攝影機的資安狀態,並將攻防數據分析結果即時傳給管理者,以可視化與數位化方式提供管理者完整資訊。

對於安控攝影機的資安防護效果,趨勢科技資深經理鄭朱弘毅表示,若論及一件設備的資安實作水平,很難用一個概括的數字做為評分,因為牽涉到的因素太廣。不過這也不代表使用者無從查知資安機制的建置效益,比如藉由在設備實際運行環境中所抵擋的攻擊次數,便可清楚理解資安升級的實際效應。他建議從網路風險儀表板上就可看出目前正有多少攻擊正在發生,就可了解現時網路攻擊的頻度以及主要型態,視情況進一步提出相對應的應變措施。而根據趨勢科技本身累積的資訊,晶睿通訊在出廠的7千台監控攝影機,在5個月內,攔截了超過500萬次的網路攻擊,藉由抵擋即時的攻擊,快速地回應威脅。

這500萬次攻擊模式中,有75%嘗試使用暴力破解登入,這表示只要密碼遭竊,系統就會門戶大開,而分析這些攻擊數據也可看出,不法份子多利用Mirai殭屍病毒之類的變種惡意程式和已知的系統漏洞攻擊安控攝影機,而趨勢科技透過持續的更新與關注,讓晶睿通訊的產品隨時保持在最新版的資安環境下,因此可有效防堵外界攻擊,確保設備安全。

鄭朱弘毅進一步表示,傳統資安公司探尋網路攻擊樣貌的做法,常將網路設備放置在攻擊最頻繁的危險環境中(Honey Pot),透過收集大量攻擊來揣摩整體網路攻擊的樣貌。不過這類環境並非常態,與企業系統所處的網路環境截然不同,同時不見得完美對應某些設備品項,因此多數IT管理人員往往會對其收集到的攻擊剖析報告存疑。晶睿通訊與趨勢科技合作的資料收集模式,則是讓安控攝影機處於常態環境下,系統運作時間與被攻擊的頻率都與現實狀況相同,因此所取得的數據會與系統實際應用時完全相同,對企業來說,此一數據就極具參考價值。

為製造系統補強資安漏洞

從2018年推出具備防入侵軟體資安防護功能的安控攝影機後,晶睿通訊旗下的所有新產品都會內建該軟體。張洋榕表示,隨著物聯網趨勢的逐漸落實,企業中聯網的系統、設備越來越多元,而高風險往往會伴隨便利功能而來,一旦輕忽就有可能造成龐大損失,尤其是製造業,其風險又遠高於其他產業。張洋榕指出,安全監控已是製造現場的必要IT建置,而工業4.0要求IT與OT系統整合,因此安控攝影機雖不會與OT系統中的生產設備直接介接,但當所有系統均已連結時,任何連網設備都有可能成為駭客的攻擊跳板,由於目前坊間的網路攝影機,其資安都是被動式設計,非常容易成為攻擊目標,因此安全強化已是刻不容緩,這也是晶睿通訊願意投入大量資源,全面提升監控攝影機資安強度的主因。

不過張洋榕和鄭朱弘毅也表示,資安的防護責任是分散在每一環節中的,晶睿通訊與趨勢科技已經強化了安控攝影機中的軟硬體安全,使用者本身也必須培養起同樣認知,負起本身的資安責任,最簡單的做法就是定時更換密碼,而且儘可能設計為難以破解的強密碼,避免使用容易被不法份子試中的弱密碼,當系統設計者與使用者都能正視資安問題,監控攝影機就可安全無虞。


圖說:晶睿通訊產品管理部產品經理張洋榕(左)與趨勢科技資深經理鄭朱弘毅(右)都指出,監控攝影機已然成為駭客攻擊的新目標。