建立工控資安流程並取得國際驗證 將威脅風險降至最低
- DIGITIMES企劃
-
最近短短幾個月內,國內接連發生多起重大資安事件,包括五月期間大型石化公司和半導體封測廠遭勒索軟體感染,六月期間自動化設備廠遭勒索軟體感染、PCB大廠遭病毒感染,到了七月,穿戴裝置大廠亦遭勒索軟體攻擊。同時有愈來愈多針對工控設備設計的惡意程式被揭露,例如EKANS(Snake)針對GE的Historian,LogicLocker針對PLC,Triton針對Schneider的TriconexSIS控制器等。
安華聯網科技研發長劉建宗提醒製造業,不能輕忽資安威脅趨勢。這些浮上檯面的事件,其實只是冰山一角,智慧製造資安問題之多已超乎大家想像,平均每天就有2~4個相關攻擊事件。究其主因,首先是工廠採用的OS多為Windows,所以一些被設計為攻擊辦公室的病毒,同樣可感染工廠;其次工廠遭遇APT攻擊的頻率日益提升,且往往混雜不同攻擊手法,大幅增加偵測難度。
再者不少攻擊事件的苦主都有共通點,即是其網路(含辦公網路、服務網路、工控網路、開發網路等)未依據風險採取適當隔離,以致一個破口就能全境擴散。此外對於供應商的安全管理,普遍做得不到位。
肇因OT資安事件層出不窮,導致國內外皆有愈來愈多資安法規問世。例如國內半導體業者組成供應商安全聯盟,進而與SEMI合作制定半導體機台的資安標準,擬規定機台不得採用EOS的系統,並因應OT網路不關機、不干涉、不更新的運作慣性,思考安全漏洞的補強之道。
安華聯網科技參與智慧機械資通安全計畫,經過研究發現,許多業者並非不重視資安,但防護思維偏重「技術方案」,較輕忽管理面的資安意識;除此之外,多數業者現行資安方案未經驗證、亦無定期執行弱點掃描與滲透測試的制度,而且普遍缺乏持續改善的機制,針對委外廠商也缺少監督管理機制,這些都亟待改善。如何按部就班補強現有資安缺失?劉建宗建議可參照IEC62443標準,當做CheckList,假使工廠管理者想根據IEC62443而強化資安確保,則可依循IEC62443-2-4標準,並結合第三方背書。
安華聯網科技不僅成立國內第一間嵌入式設備安全檢測實驗室,也是台灣唯一經亞馬遜授權的資安檢測實驗室、亞洲第一個經美國CTIA授權的資安實驗室,已協助多家製造商建立工控資安流程、取得國際證書。
倘若製造商有意尋求協助、強化資安,安華聯網科技可提供四階段服務。第一階段為「現況評估」,盤點企業或製造商目前的資安成熟度;第二階段為「制度建立」,協助企業或製造商,能透過管理來實踐資安防護;第三階段為「資安驗證」,提供包括整體場域檢測、單一設備檢測、滲透測試、紅隊演練等各式服務;最後為「永續資安」,將協助企業將資安融入企業的文化與價值觀,達到持續改善、長期安全的目標。
