制造工厂网安防御战 趋势科技盘点三大网安策略防堵黑客攻击

2021/04/13 - DIGITIMES企划

工业4.0及数码转型的推波助澜之下，工业物联网装置如春笋般产生，同时也让工控制造场域存在网安风险。黑客威胁往往是不怕一万，只怕万一，当生产环境的OT或机房IT被病毒感染，不仅影响企业营运，更可能造成无可计算的损失。工厂该如何有效防堵黑客勒索情况？趋势科技盘点近期工控场域最常见的入侵手法与模式，提出三大网安防护策略，让业者在第一线防范于未然。

趋势科技资深技术顾问黄源庆首先指出，盘点过往攻击事件，第一种威胁来自「勒索蠕虫加密厂区所有机台电脑」，这类症状会发生设备机台被加密、蓝屏，一台设备有危险因子产生，会透过网络线去感染，瞬间导致产在线百台电脑被攻击成功、产线被瘫痪，尤其是半导体高科技制造厂。最常是这类受攻击对象。

第二种类型为「APT Ransom主机设备被加密勒索」，黑客会利用网页弱点破解线上桌面帐密，入侵WEB主机植入网页后门，将病毒往内部扩散。当设备主机被加密可能造成数据毁损，甚至黑客要求大笔赎金。过去APT Ransom就曾发生5天内影响全球数百万用户，赎金合计达1千万美元。

第三种攻击模式则透过「挖矿Coin Miner」来瘫痪电脑。黄源庆表示，黑客会透过网络芳邻自动化破密Mimikatz，在企业的主机内埋设挖矿程序，被感染设备的设备会造成产线瞬断、网络拥塞、系统服务发生异常或龟速。即使企业重启系统主机网络服务、修补系统弱点、防护程序扫描，仍可能发生间歇性服务中断。

综观上述攻击手法，黄源庆针对现今OT场域，罗列出造成网安高风险的七大因素，分别是「大内网环境、幽灵设备无法管理、不安全的认证存取、老旧未更新电脑设备、人员疏失、无基本安全防护、无法实时察觉威胁扩散」。对此，企业有哪些具体因应策略？

第一种策略为「隔离管制」，也就是在第一线进行有效防御。黄源庆说明，隔离管制可透过几种手法，进行有深度层次的安全隔离，包含边界防护(IT、OT、厂区边界)、区段隔离(依厂区、地域、主机群)、微隔离(保护特别重要的产线、设备、机台)、单机隔离(一般脆弱电脑设备)。

隔离之后，下一步策略就是将「威胁可视化」，简单来说就是能侦测资产感知威胁，及时采取应变。侦测的方面可分为两类，其一是产线设备资产侦测，也就是针对电脑资产、工控设备进行侦测；其二是场域威胁实时监控，有效侦查漏洞利用控制、内部跨区感染、网络瘫痪蠕虫等可能性。

第三种策略为「关键保护」，针对系统应用安全锁定，包含程序白名单管制措施、周边装置白名单管制、保护资源有限的主机设备等，以及在重要主机多层次安全防护，具体做到异动监控、入侵防护。最后黄源庆强调，企业平常可藉由趋势科技的协助，审视企业信息安全态势，做到OT网安健检，在需要紧急网安救援时，才能取回信息维运控制权。


图说：趋势科技资深技术顾问黄源庆。