製造智慧化風險大增 資安意識提升刻不容緩
- 俞鴻樟/台北
-
2011年德國政府宣布堆動工業4.0政策後,全球製造業就掀起一片智慧化浪潮,由於智慧製造訴求IT與OT兩大系統密切整合,在IT系統的開放特色下,與之鏈結的OT系統資安風險將會大增,然而製造智慧化已成既定趨勢,在此態勢下,強化製造系統的資安機制,成為業者必須嚴正面對問題,經濟部工業局新興資安產業生態系推動計畫,近年來積極推廣SecPaaS資安整合服務平台,日前就舉辦了「智慧製造資安趨勢暨技術分享論壇」,邀請工研院產科國際所、資通所研究人員與產業人士,深入剖析新世代製造系統的資安技術趨勢與觀念。
工研院資通所闕志克所長在致詞時指出,隨著工業系統網路的智慧化,OT系統遭受攻擊的頻率越來越高,這幾年類似事件頻傳,像是美國電網受到俄羅斯駭客攻擊,或是台積電因新購入的機台出現漏洞,導致大量產線停擺,這些事件都讓製造業者對智慧生產系統產生疑慮,對此他認為,製造業必須積極建立白名單機制,降低系統遭駭的風險。
在IT領域,白名單資安概念已成熟多時,不過由於IT系統為開放式架構,太過嚴格的限制會影響系統效能,不過OT系統的功能需求並不多,因此採用白名單機制,只有已授權之程式才能執行的做法相對安全。目前工研院資通所已針對工業物聯網研發出白名單技術,硬體方面可支援x86與ARM,作業系統方面,在Linux和Windows均可使用,製造業者可透過此白名單應用來強化系統的安全性。
延續闕志克所長的看法,TXOne Networks技術經理林季誼在「白名單工控應用實務:場景、管理與挑戰」演講中表示,美國國土安全局的報告中曾指出,白名單是最好且最終極的防護策略,當所有的資安機制都失效時,白名單就是最後的一道牆。
在製造系統中,白名單有四種階層,第一是操作端(Operator)的鎖定,只有綁定權限的人員可以操作機台;第二層是資料端,避免關鍵資料被覆蓋、更改;第三層是設備組態,確認機台環境設定不會被隨意變動,導致製造系統停擺;第四層是筆電、隨身碟等外界設備可被控管,當機台供應商或廠內維修人員,需要透過其他設備連結機台時,白名單機制必須可加以控管,確保系統不被惡意程式入侵。
另外林季誼也以TXOne Networks的建置經驗,將白名單建置分為兩類,第一類是獨立運作的機台例如ATM,這類型系統中的機台彼此之間並不串連,只與上層資料中心連結,因此白名單的建置較為簡單;另一種則是智慧製造系統,底層設備彼此連結為機聯網,這類系統的架構複雜,必須整體系統一起測試,才能建置起完整嚴密的白名單機制,對此她建議由專業單位協助,成效會更佳。
網路攻擊手法多變,防禦機制需與時俱進
除了白名單的建置外,會中也邀請工研院產科國際所資深研究員鍾銘輝,針對「製造業資安發展與市場趨勢」發表演說。他指出製造系統下一階段的佈建重點會在OT製造業防護上,包含應用白名單機制端點行為、OT漏洞管理、減少攻擊表面、建立可視化防禦環境、身份授權管理等提升防禦能力。
而隨著駭客攻擊模式日益複雜與各國政府對產品安全的監管壓力,設備廠商必須導入國際標準產品安全設計標準,並將資安視為差異化策略,以提升產品附加價值。未來網通、工業電腦、機械設備等產業可從安全可視性作為第一步,再逐步建立微網段、OT端點防護,甚至自建安全軟體開發團隊,特別是提供長期穩定性、可維護性的系統,如此一來可獲得製造業客戶青睞。此外由於客戶需要融合IT與OT的安全防禦架構,對資安產業來說,則需要思考產品使用體驗,避免使用太多的資安方案,提供整合管理平台,並串聯更多生態系夥伴提升易用性,如:擴大與設備商合作、廣泛整合第三方SIEM,將有助於提升產品市場競爭力。
此外在工研院資通所趙翊廷與王子夏兩位技術副理,則分別從Linux與Windows兩部分,講解「主動式資安防禦管理機制與應用案例」。趙翊廷先介紹Linux核心的安全模組SELinux,他指出SELinux的網路資安規範相當完整,且天生具備稽核功能,並符合相關標準,因此使用Linux系統的國家機關或企業如美國政府、軍方或網站維運/託管公司、金融業等都已開始採用,工研院也大力投入發展,持續改善SELinux,使之更容易使用。在Windows部分,王子夏則介紹工研院研發的白名單防禦技術,此技術可依安全策略,套用多層次防禦機制,限制管理應用程式系統呼叫行為、腳本語言及應用程式執行,其中包括零惡意程式執行、主從式管理、應用程式更新、二階段認證與雲服務管理等功能,將可提供製造業者更安全的Windows防護機制。
可視化是資安系統的重要一環,研討會中,椰棗科技技術副總賴冠州也為與會者講解智慧製造的資安戰情室概念與設計。他表示經由廣泛佈建的系統元件,戰情室可即時呈現網路流量與訊息,讓廠管人員深入了解系統狀態,快速反應與處置資安事件。他特別介紹該公司的eSAF資安平台,此平台是工業物聯網的最後一道防線,具備輕量級高性價比的嵌入式軟體與硬體,可深入作業場域進行佈署,並透過彈性化特色,達成設備與感測器的微型實體的隔離。此外eSAF資安平台也可有效收集OT場域聯網設備與網路資訊,且將在Frontier與eSAF系統管理伺服器進行智慧化的分析與檢測,即時而準確的資安狀態呈現與保護。目前椰棗科技的eSAF資安平台已多有應用,其中新漢科技位於桃園的華亞智慧工廠戰情室,就有11種功能,為兩條SMT與1條DIP產線提供高可視化資安防護。
研討會最後,工研院資通所副組長卓傳育表示,資安設計早已是資訊系統的必要考量,智慧化成為製造業趨勢後,經濟部工業局所推動SecPaaS資安整合服務平台計畫,也納入製造系統,並將之視為2020年的重點領域,希望透過政策制定,緊密結合製造與資安兩端產業,為我國智慧製造系統提供更嚴密的保護。(經濟部工業局廣告)
