研華
DForum1115

聯網風潮引爆OT系統安全危機 急需補強防護措施

  • DIGITIMES企劃
Spiral Toys生產的聯網玩具CloudPets慘遭駭客入侵,洩漏高達200萬筆親子語音檔案,使各界為之譁然;圖為事發當時的新聞報導畫面。來源:YouTube

一些關於物聯網(IoT)安全議題的論壇,不時可見講師拿「玩命關頭 8」電影情節做為引言,指駭客有能力控制方圓兩英哩內千餘車輛,命令這些殭屍車執行特定動作;儘管前述內容看似科幻、不切實際,但事實上,隨著萬物聯網時代來臨,以及駭客攻擊技術不斷精節,欲將這些科幻情節搬上現實世界,絕非不可能之事!

正因如此,行政院資安處在致力推動「資安管理法」的同時,特別將政府機關、能源、水資源、通訊傳播、交通、金融與銀行、醫院、高科技園區等八大關鍵基礎設施納入該法的管理範疇,此舉並不是窮緊張,而是意識到物聯網資安問題的嚴重性。

 點擊圖片放大觀看

2010年伊朗核電廠遭受Stuxnet蠕蟲感染,雖然最終未釀成嚴重損害,但就此敲起ICS/SCADA資訊安全警鐘。來源:Phys.org

究竟物聯網資安威脅,真的如同部份專家描述得如此可怕?那麼就讓我們先來看看過去一年多的時間,全球發生了哪些物聯網安全事件。

IoT安全事件層出不窮

首先談及的苦主是Spiral Toys,該公司旗下一款名為CloudPets的聯網玩具,遭到惡意入侵釀成資料外洩事件,洩漏了逾200萬名孩童與其父母的語音資料,及80萬筆以上的電子郵件與密碼。

而CloudPets客戶的資料,主要儲存於AWS雲端服務,任何人只要瞭解檔案的所處位置,不需通過任何身份驗證程序便可存取這些資料,至於Spiral Toys的MongoDB資料庫,委由一家羅馬尼亞企業執行維護,但實際上幾乎沒有任何安全防護措施。

而三星為降低對Android系統的依賴,積極推動自家發展而成的Tizen作業系統,並運用於旗下智慧電視、智慧手錶及 Z系列智慧型手機等多款產品,結果外部資安研究人員發現,該系統竟內含多達40幾個漏洞,可能導致駭客從遠端入侵並控制設備。

更糟的是,在前述漏洞被揭露之前長達8個月時間,三星完全未修復這些弱點,意謂數以百萬計、甚至上千萬的聯網裝置,就這麼曝露在莫大的風險中。

美國自助售貨機領導廠商Avanti Markets,也在2017年慘遭駭客入侵,攻擊者利用惡意軟體來獲取系統權限,盜取使用者的信用卡帳戶資料、生物特徵識別資料(例如指紋)等個資訊息;令人詫異的是,Avanti形同完全不設防,未採取任何資料保護措施,就連最基本的P2P 加密都沒做。

更讓人記憶猶新的,2017年下半資安研究單位Armis發現驚爆,藍牙協定被發掘多達8個零日漏洞,恐大舉影響Android、iOS、Windows、Linux系統設備,及採用短距無線通訊技術的物聯網設備,使大批裝置被遠端挾持。以其間的BlueBorne漏洞為例,足以讓攻擊者完全接管其鎖定的藍牙裝置,繼而執行惡意程式碼、竊取資料甚至發動中間人(MitM)攻擊。

也許上述情節,似乎皆與較偏向消費或個人型態的IoT裝置有關,欲解決相關安全疏漏,斧底抽薪之計即是公權力的介入,譬如美國政府在2016年發表「保護物聯網策略準則」,要求物聯網生態體系於設計、生產與使用物聯網裝置與系統時,必須肩負安全保障之責;如此一來,理應能避免重演諸如Mirai殭屍病毒引發分散式阻斷服務(DDoS)攻擊的不幸事件。

主導前述事項的美國政府單位,係為國土安全局(DHS),事實上該局所關注的物聯網安全,絕非僅止於消費或個人型態的IoT裝置或系統,也包含了偏向工業或關鍵基礎設施層面的ICS(Industrial Control Systems)/SCADA。

因此由DHS所主導的ICS-CERT,近年來都持續揭露ICS/SCADA安全漏洞,同時要求相關設備製造商限期改善,使得一些經營作業技術型(Operational Technology;OT)設備的業者,面臨前所未見的重大壓力。

因為在過去很長一段期間,「資訊安全」幾乎完全不在他們產品設計與開發流程的考量項目,但這並不意謂他們視用戶權益為無物,在於ICS/SCADA以往確實處在封閉環境,駭客難以近身,自然沒有過多的安全顧慮。

藉助資安業者  解除ICS/SCADA威脅

反觀今日,工業 4.0浪潮席捲,遠端監控與診斷的應用抬頭,導致OT設備聯網化的趨勢日益高漲,意謂ICS/SCADA逐步走出原本封閉隔離的世界,等於是門戶大開,讓有心人士開始有了對此上下其手的機會。

儘管持平而論,與ICS/SCADA相關的真實攻擊案例不算多,但每起事件的驚悚程度,相較於一般資安事件有過之而無不及,不論談到2010年伊朗核電廠遭Stuxnet蠕蟲入侵、2015烏克蘭電廠遭駭而釀成大規模停電,乃至2017年Honda感染WannaCry勒索病毒以致暫時關閉工廠,皆是如此。

深究這些ICS/SCADA系統之所以淪陷,固然與聯網化趨勢息息相關,不少系統奠基於陳舊的作業平台,也是助長威脅的主因之一;資安專業廠商透露,全球有為數甚多的工業機器人,依然沿用類似像Linux 2.6等充斥漏洞的老舊作業系統與程式庫,加上普遍缺乏嚴謹完善的防護措施,因而蘊藏不小風險,甚至一些在IT環境的老舊病毒或惡意程式,一旦進入OT世界,都足以掀起強大破壞力。

事實上,現階段不管是OT設備或系統的製造商或用戶,歷經一些資安事件的震撼教育,對此事的關注程度,早已不再是漠不關心,畢竟在現實考量下,若自己成為美國DHS宣告的漏洞名單,後續可能因而丟失商譽與營收,當然不能掉以輕心。

但真要落實資安防護,卻也不是那麼簡單,主要是因為,OT人對於資安真的不熟悉,不知道該如何實踐「安全軟體發展生命週期(SSDLC)」理念,也不明白各種資安工具的運用之道。

你或許好奇,這些OT設備的製造商或用戶,內部總有IT人,而OT人的不擅長之處,正好就是他們的強項,難道不能靠這批人協助提升OT資安防護?話雖如此,但IT人也不熟悉OT作業環境,又不可能直接把IT環境的防護機制原封不動搬過去,所以還無法快速展現救援力量。

值此時刻,OT設備廠商有必要尋求其他外援,而資安廠商便是不錯的選擇,此乃由於,已針對ICS/SCADA安全議題推出對應解決方案的業者愈來愈多,一方面可透過SDK或API的運用,讓出廠設備得以具有一定資安強度,二方面資安業者也能適時扮演ICS/SCADA威脅情資收集與分享的角色,可藉助白名單管控、虛擬補丁等等技術措施,結合工業防火牆、網路入侵偵測系統等工具,確保OT設備的使用過程,維繫在理想的安全狀態。

更多關鍵字報導: 資安 蠕蟲 DDoS 物聯網(IoT)