趨勢科技
台灣暨香港區總經理
洪偉淦
精品科技股份有限公司
資安顧問
陳伯榆
工業技術研究院 資訊與通訊研究所
副組長
卓傳育
台灣中油公司
煉製事業部大林煉油廠資訊組經理
江郁文
我們提供本研討會主講者同意授權的演講檔案,歡迎參與來賓下載。
如果遇到檔案無法下載,請檢查您的電腦是否有以下狀況,而造成下載問題:
去(2018)年8月期間,一向被譽為資安模範生、優等生的某大晶圓製造廠,竟然驚傳因為資安SOP沒能執行到位,以致遭到變種WannaCry勒索病毒感染,隨之而來的機台當機、產線停擺,儘管看似僅短短2天,就已釀成逾新台幣50億元的高額損失,比起早先喧騰一時遠銀ATM遇駭盜領事件的約18億元,代價超出一倍以上,且衝擊範圍涵蓋新竹、台中、台南等多個重要生產基地,情節之嚴重可見一斑。
根據受害者的說法,這次病毒感染事件,並非起因於駭客攻擊,也不存在任何內神通外鬼的成份,純粹就是SOP沒做好,主要是新機台在安裝時,未按既定程序將它隔離並做好離線安全檢查,等於是未確認無毒即
去年(2018)底,全球網路資安方案領導廠商趨勢科技發表「2019年資安年度預測報告」,報告中提出針對工業控制系統ICS的攻擊將成為一項日益嚴重的威脅,因為現今的企業營運較以往更加仰賴即時數據,工控系統必須連結網路,因而給予駭客可乘之機,有機會利用不具備網路安全防護的工控系統做為跳板,對企業進行攻擊。
趨勢科技台灣暨香港區總經理洪偉淦表示,根據該公司ZDI統計,從2016、2017至2018等三個年度的上半期間,ICS及SCADA(監控與資料擷取系統)的漏洞數量都呈現逐年倍增之
隨著工業4.0、工業物聯網(IIoT)、工廠自動化等浪潮席捲,促使從前涇渭分明的OT與IT系統如今頻繁介接,讓OT環境不再封閉,因而開始滋生潛在風險;四零四科技(Moxa)亞太區事業處工業物聯網解決方案處高級工程師郭彥徵歸納,這些OT風險來自幾個大面向。
首先是「OT的灰色地帶」,亦可稱「Shadow OT」,係因OT網路架構簡單、資安設計不完整,導致工業現場有許多設備或連線未被控管,經常潛藏漏洞、易於被搜尋到,讓駭客無需動用高深技巧,便能輕易入侵得逞。其次是「不安全的身份認證」,IT系統設計上皆已導入權限管理概念,OT則不然,只求系統連接得上、系統與系統間能
無庸置疑,對於IC設計、設備機台製造商、工業控制電腦...等等各類型智慧製造業者來說,智慧財產正是公司永續發展的最大命脈,如何守護這條命脈,可謂至關重大。無奈的是,儘管企業費心建立一道道防護堡壘,在未充分掌握研發與IT整合環境下,依然難以完全遏阻資料外洩的情事,讓管理階層不禁納悶,背後真相究竟為何?
精品科技資安顧問陳伯榆點出第一個可能的破口,便是研發部門,也是公司最難管理的一環。研發創造企業利潤,亦利用自身技術建立自己對研發資料管理應用的手段,往往這些手段是IT與稽核不易發現掌握的。他指出研發人員經常需要連結GitHub,下載可用的程式碼資源進行修改或上傳,
關注半導體產業發展議題的人們,對「國際半導體產業設備與材料協會」(SEMI)應不陌生,其在半導體、太陽光電、平面顯示器、微電子(MEMS)、奈米科技等領域的國際標準制定與推動,可說頗負盛名;惟綜觀SEMI過往制定的產業技術標準,多與製程有關,如今SEMI台灣首度跨足資訊安全,積極催生晶圓廠暨設備的資安標準。
眾所皆知,去(2018)年8月間晶圓代工龍頭台積電的生產機台曾遭受勒索病毒WannaCry感染,成為近年最受矚目的事件,凸顯半導體產業邁向高度自動化、智慧化的同時,連帶面臨險峻的資安威脅。著眼於此,在台積電、日月光等多個SEMI會員努力推動下,於去年11月
迎向數位轉型浪潮,網路變成企業轉型基礎,確保網路安全,則成為企業在數位轉型的第一項功課,企業應善用智慧化的安全情報與工具,透過人工智慧與機器學習技術,建立主動內外偵測、防護以及回應機制,方能快速推進組織的創新轉型。
目前企業在網路安全防禦上,其實存在一個很大的盲點,就是資安解決方案大多集中部署在閘道端(Gateway)或終端(Endpoint),沒有監測內部網路行為,一旦駭客穿透防火牆之後,就可以在內網自由移動,再加上現在有手機、平板、IP CAM、印表機...等各種連網設備,為駭客提供了更多入侵的管道,更有機會進入到企業內網。
企業在規劃網路安全
全球網路安全供應商芬-安全F-Secure Countercept在2019年歐洲SC雜誌獎頒獎典禮上被宣佈為卓越獎,最佳進階持續威脅(APT)類別的獲獎解決方案。還獲得最佳安全公司類別的亞軍,被公認為高推薦的安全防護品牌。
F-Secure Countercept是一種威脅搜尋服務,可在幾分鐘內檢測到最熟練的攻擊者。它提供全天候的監控,可在幾分鐘內檢測和響應高級持續性威脅(APT)。為企業提供最先進的威脅情報和專業知識,降低公司的人力支援。這使組織能夠專注於他們的業務,並確保攻擊行為不會中斷他們的業務。
F-Secure Countercept董事
自2018年起經濟部工業局為推動資安產業發展,盤點業者技術能量,規劃建立「資訊安全服務機構能量登錄機制」,讓政府企業更了解各業者的資安能力與優勢。作為政府與企業選商之依據,藉以擴大產業商機,同時達到協助廠商聚焦服務能力。
有鑑於此,網擎資訊連續二年通過能量登錄,一共有八大服務項目獲得認可。包括:流量監控與防護檢測服務 、整合病毒與惡意程式防護檢測服務 、進階威脅保護檢測服務、電子郵件安全管理檢測與防護服務、郵件安全防護產品 、沙箱檢測產品、資料備份與復原產品、電子郵件防護產品;其中沙箱檢測項目為網擎資訊MailGates APT 防禦解決方案,更是今年唯一通過認可的合格廠
國內資安廠商ShareTech眾至資訊推出新世代UTM系列擴充三款新機型(NU-860T/NU-860H/NU-860C),以滿足需要高資料吞吐效能與強化威脅預防分支辦公室、SMB企業用戶、乃至於服務供應商部署。這些新產品提供超過10Gbps的全威脅預防效能,並推出20多項新功能的9.0.2版,包括威脅與憑證竊取防護、資料保存安全、惡意程式偵測防護等。
新世代UTM具有哪一些安全防護特色?
IPS入侵偵測,IPS會檢查對應到OSI模型第4到7層的內容,是否有惡意的攻擊程式、病毒,隱藏在TCP/IP的通信協定中,透過詳
從前大家都認為,由於OT環境對外阻絕,所以資安疑慮微乎其微。如今隨著IIoT、工業4.0、智慧製造、數位轉型等浪潮洶湧來襲,使得工業現場的數據必須上傳IT世界,以滿足諸如遠端監控、大數據分析、預防性保養等等需求,提高企業營運績效;就在此時,OT與IT開始對接,傳統的實體隔離逐漸失效,也為駭客、病毒或惡意程式,開啟了進入工業控制系統之門。
影響所及,過去難得看到的工控資安事件,近幾年愈來愈頻繁發生,光是2017、2018兩年就有不少。2017年期間,醫藥大廠默克(Merck)遭NotPetya勒索病毒感染,出現3.1億美元鉅額損失,同年Honda的Sayama
現今各產業都擁抱數位轉型,製造業也不例外,體現方式即是智慧製造,即是透過新科技的運用,藉此打造更新穎的商業模式、更具破壞性的產品、更敏捷的供應鏈,或提高運作效率;這也意謂工控環境不再封閉,進而導致資安風險隨之升高。
趨勢科技台灣暨香港區總經理洪偉淦歸納,工控資安事件可為四類,首先是目標式攻擊,譬如伊朗核電廠曾遭受的Stuxnet蠕蟲事件,但此類攻擊偏向國家級,一般企業面對到的機率不大,反倒應留意其餘三類,依序是「Collateral Damage」、駭客四處亂攻下遭受池魚之殃;「Target Ransom」,駭客設法入侵企業DMZ、讓電腦成為受控的殭屍電腦回報
現已進入工業4.0時代,藉由實體物件與虛擬進程相互連結,以利企業能善用IIoT、機器學習、大數據分析、3D列印、機器人、擴增實境(AR)、雲端運算等眾多創新元素,加速實現數位轉型,靈活因應多變的客戶需求。
不可否認,製造業數位轉型的主要驅動力是物聯網技術;但台灣微軟資深協理馮立偉提醒,IoT並非技術演進,而是商業流程演進,技術只是輔助IoT的推手。而IoT的到來,意謂設備和網路世界交互連接,假使出現資安風險,不管發生在自駕車、智慧建築或智慧電網等任何場域,都是不可承受之重;欲達到安全,僅是將解決方案固定部署於廣泛系統,已證實不可行,須在設計與部署的早期階段即應
隨IIoT、智慧生產趨勢所形,讓OT環境從封閉走向開放,連帶使攻擊路徑愈趨多元;麻煩的是,雖有不少企業意識到工控系統安全議題,已開始推動相關專案,但實施成效不顯著。
四零四科技(Moxa)產品行銷經理郭彥徵分析,工控安全之所以難為,在於蘊含許多迷思,企業若未釐清這些癥結,僅沿用IT慣用方法來建立OT安全架構,極易陷入瓶頸。首先企業應顛覆一些既定認知,須知道駭客早已開始研究工控系統、多數的ICS漏洞都可被輕易利用,再者駭客攻擊對象已不再限於SCADA,舉凡PLC、I/O或Sensor都可能遭襲擊。
此外不管企業或資安方案夥伴,亦須有所體認,
任誰都不能否認,強大的資安是IIoT的基本要求;在此前提下,工業物聯網聯盟(IIC)提出工業網際網路安全框架(IISF),其中蘊含15層架構,裡頭的「研發程式防禦竊取」、「資料安全保護」、「使用環境安全管控」及「開發環境的防護」,皆攸關營業秘密的保護;若企業未做好這些事情,可能出現研發人員帶槍投靠敵營、出貨的機台系統遭人逆向工程等悲劇。
精品科技資安顧問陳伯榆指出,許多企業高度倚重研發團隊,視他們為生財命脈,但他們也是最難管理的一群人。因工作所需,研發人員經常上外部GitHub搜尋可用資源,但公司生怕形成洩密管道,通常限制只進不出,殊不知他們仍可透過對Visu
儘管人們資安意識不斷升高,但資安事件仍層出不窮,譬如不少知名企業或政府單位發生資料外洩事件、金融機構屢遭重大網路攻擊,加上諸如Miori(Mirai進化版)、CPU漏洞攻擊、WannaCry...等等影響全球的重大威脅不絕於耳;可以肯定,展望今後大家將繼續與威脅共存。
工業技術研究院資訊與通訊研究所副組長卓傳育指出,進入物聯網世代,安全威脅的攻擊目標,從人擴散到機器,至於手段則從惡意程式滲透、詐騙,轉變為弱點探索與攻擊。但對於智慧製造領域,其實最需要關注的,不是新威脅、而是舊威脅,以眾所矚目的晶圓廠產線中毒事件為例,禍首竟是兩年前流行的WannaCry。
常有人問,資料上雲安不安全?任憑專家說破嘴,有些人仍有疑慮,但這些疑慮並非全無道理。事實上資訊安全人人有責,企業即使成為雲平台客戶,仍須與雲端服務供應商(CSP)互相負擔資安責任,例如縱使SaaS用戶應負責任較少,基於只有企業本身才最了解應用資料的安全等級與防護需求,企業主有必要與物聯網雲平台服務供應商一同合作分擔資訊安全的責任。
研華李麗鳳協理表示,物聯網雲端安全是維持智慧製造系統穩定運作的先決條件,非常重要;要做好物聯網雲端安全,企業主首要之務便是依各個資訊或系統對組織營運的影響大小,將業務資訊及資訊系統依CIA(機密性/完整性/可用性)的重要程度進行分類
近年超級電腦的新聞不少,包括國網中心新造的「臺灣杉」上線、科技部啟動量子電腦研發專案;強大的超級電腦,將形成AI發展的堅實後盾。
元智大學工業工程系副教授鍾雲恭指出,大家聽到的AI,多與神經網路相關,偏向歸納(反推)法(Induction),從「果」歸納出可能的「因」,但論及邏輯推理,還有由因推論到果的演繹(正推)法(Deduction),與因果互推的雙向推理法(Abduction),可混和運用,須依學習對象及解決問題目的而定,故三種方法各具價值,絕非僅有「深度學習」單一途徑;此外,「淺一點的學習(Shadow Learning)」模式,反而比較適合雲霧(fo
工業控制系統(ICS)存在許多資通安全挑戰,像是傳統資安工具不適用於ICS、設備使用預設密碼、多數ICS不支援許多安全功能等。其實OT人明白這些挑戰卻無力改善,只因ICS全天On Line操作,無法即時更新Patch與病毒碼,僅能靠物理隔絕,但隨著物聯網、工業4.0之開放,讓阻絕愈來愈難。
台灣中油煉製事業部大林煉油廠資訊組經理江郁文表示,欲提升ICS安全,可先參考國際自動化協會(ISA)的ISA-95標準,其中Level 1的控制器層、Level 2的HMI層、Level 3的MOM(製造營運管理)層三者可歸類為OT層,而Level 1+2是ICS,Leve