聯網風潮引爆OT系統安全危機 急需補強防護措施

Spiral Toys生產的聯網玩具CloudPets慘遭駭客入侵，洩漏高達200萬筆親子語音檔案，使各界為之譁然；圖為事發當時的新聞報導畫面。來源：YouTube

一些關於物聯網(IoT)安全議題的論壇，不時可見講師拿「玩命關頭 8」電影情節做為引言，指駭客有能力控制方圓兩英哩內千餘車輛，命令這些殭屍車執行特定動作；儘管前述內容看似科幻、不切實際，但事實上，隨著萬物聯網時代來臨，以及駭客攻擊技術不斷精節，欲將這些科幻情節搬上現實世界，絕非不可能之事！

正因如此，行政院資安處在致力推動「資安管理法」的同時，特別將政府機關、能源、水資源、通訊傳播、交通、金融與銀行、醫院、高科技園區等八大關鍵基礎設施納入該法的管理範疇，此舉並不是窮緊張，而是意識到物聯網資安問題的嚴重性。

究竟物聯網資安威脅，真的如同部份專家描述得如此可怕？那麼就讓我們先來看看過去一年多的時間，全球發生了哪些物聯網安全事件。

IoT安全事件層出不窮

首先談及的苦主是Spiral Toys，該公司旗下一款名為CloudPets的聯網玩具，遭到惡意入侵釀成資料外洩事件，洩漏了逾200萬名孩童與其父母的語音資料，及80萬筆以上的電子郵件與密碼。

而CloudPets客戶的資料，主要儲存於AWS雲端服務，任何人只要瞭解檔案的所處位置，不需通過任何身份驗證程序便可存取這些資料，至於Spiral Toys的MongoDB資料庫，委由一家羅馬尼亞企業執行維護，但實際上幾乎沒有任何安全防護措施。

而三星為降低對Android系統的依賴，積極推動自家發展而成的Tizen作業系統，並運用於旗下智慧電視、智慧手錶及 Z系列智慧型手機等多款產品，結果外部資安研究人員發現，該系統竟內含多達40幾個漏洞，可能導致駭客從遠端入侵並控制設備。

更糟的是，在前述漏洞被揭露之前長達8個月時間，三星完全未修復這些弱點，意謂數以百萬計、甚至上千萬的聯網裝置，就這麼曝露在莫大的風險中。

美國自助售貨機領導廠商Avanti Markets，也在2017年慘遭駭客入侵，攻擊者利用惡意軟體來獲取系統權限，盜取使用者的信用卡帳戶資料、生物特徵識別資料(例如指紋)等個資訊息；令人詫異的是，Avanti形同完全不設防，未採取任何資料保護措施，就連最基本的P2P 加密都沒做。

更讓人記憶猶新的，2017年下半資安研究單位Armis發現驚爆，藍牙協定被發掘多達8個零日漏洞，恐大舉影響Android、iOS、Windows、Linux系統設備，及採用短距無線通訊技術的物聯網設備，使大批裝置被遠端挾持。以其間的BlueBorne漏洞為例，足以讓攻擊者完全接管其鎖定的藍牙裝置，繼而執行惡意程式碼、竊取資料甚至發動中間人(MitM)攻擊。

也許上述情節，似乎皆與較偏向消費或個人型態的IoT裝置有關，欲解決相關安全疏漏，斧底抽薪之計即是公權力的介入，譬如美國政府在2016年發表「保護物聯網策略準則」，要求物聯網生態體系於設計、生產與使用物聯網裝置與系統時，必須肩負安全保障之責；如此一來，理應能避免重演諸如Mirai殭屍病毒引發分散式阻斷服務(DDoS)攻擊的不幸事件。

主導前述事項的美國政府單位，係為國土安全局(DHS)，事實上該局所關注的物聯網安全，絕非僅止於消費或個人型態的IoT裝置或系統，也包含了偏向工業或關鍵基礎設施層面的ICS(Industrial Control Systems)/SCADA。

因此由DHS所主導的ICS-CERT，近年來都持續揭露ICS/SCADA安全漏洞，同時要求相關設備製造商限期改善，使得一些經營作業技術型(Operational Technology；OT)設備的業者，面臨前所未見的重大壓力。

因為在過去很長一段期間，「資訊安全」幾乎完全不在他們產品設計與開發流程的考量項目，但這並不意謂他們視用戶權益為無物，在於ICS/SCADA以往確實處在封閉環境，駭客難以近身，自然沒有過多的安全顧慮。

藉助資安業者  解除ICS/SCADA威脅

反觀今日，工業 4.0浪潮席捲，遠端監控與診斷的應用抬頭，導致OT設備聯網化的趨勢日益高漲，意謂ICS/SCADA逐步走出原本封閉隔離的世界，等於是門戶大開，讓有心人士開始有了對此上下其手的機會。

儘管持平而論，與ICS/SCADA相關的真實攻擊案例不算多，但每起事件的驚悚程度，相較於一般資安事件有過之而無不及，不論談到2010年伊朗核電廠遭Stuxnet蠕蟲入侵、2015烏克蘭電廠遭駭而釀成大規模停電，乃至2017年Honda感染WannaCry勒索病毒以致暫時關閉工廠，皆是如此。

深究這些ICS/SCADA系統之所以淪陷，固然與聯網化趨勢息息相關，不少系統奠基於陳舊的作業平台，也是助長威脅的主因之一；資安專業廠商透露，全球有為數甚多的工業機器人，依然沿用類似像Linux 2.6等充斥漏洞的老舊作業系統與程式庫，加上普遍缺乏嚴謹完善的防護措施，因而蘊藏不小風險，甚至一些在IT環境的老舊病毒或惡意程式，一旦進入OT世界，都足以掀起強大破壞力。

事實上，現階段不管是OT設備或系統的製造商或用戶，歷經一些資安事件的震撼教育，對此事的關注程度，早已不再是漠不關心，畢竟在現實考量下，若自己成為美國DHS宣告的漏洞名單，後續可能因而丟失商譽與營收，當然不能掉以輕心。

但真要落實資安防護，卻也不是那麼簡單，主要是因為，OT人對於資安真的不熟悉，不知道該如何實踐「安全軟體發展生命週期(SSDLC)」理念，也不明白各種資安工具的運用之道。

你或許好奇，這些OT設備的製造商或用戶，內部總有IT人，而OT人的不擅長之處，正好就是他們的強項，難道不能靠這批人協助提升OT資安防護？話雖如此，但IT人也不熟悉OT作業環境，又不可能直接把IT環境的防護機制原封不動搬過去，所以還無法快速展現救援力量。

值此時刻，OT設備廠商有必要尋求其他外援，而資安廠商便是不錯的選擇，此乃由於，已針對ICS/SCADA安全議題推出對應解決方案的業者愈來愈多，一方面可透過SDK或API的運用，讓出廠設備得以具有一定資安強度，二方面資安業者也能適時扮演ICS/SCADA威脅情資收集與分享的角色，可藉助白名單管控、虛擬補丁等等技術措施，結合工業防火牆、網路入侵偵測系統等工具，確保OT設備的使用過程，維繫在理想的安全狀態。