Check Point Software Technologies Ltd.
资深技术顾问
温德钧
Veeam Software
资深亚洲区域技术顾问
陈瑞文 Wales Chen
Palo Alto Networks
网安顾问
曾国伟
eASPNet 数码通国际
资深技术顾问
黄仕宇
我们提供本研讨会主讲者同意授权的演讲档案,欢迎参与来宾下载。
如果遇到档案无法下载,请检查您的电脑是否有以下状况,而造成下载问题:
今(2020)年5月,攸关民生需求的关键基础设施遭骇,引发各界震惊;到了下半年,多家上市柜公司接连感染勒索病毒,其中不乏电子五哥级的大厂,显见灾情日益严峻。专家提出警语,因2020年黑客的收益饱满,2021年必定持续展开勒索软件攻击。
此刻正好是5G起飞、「云+网+端」强势汇流的关键时期,预期2021年企业数码转型的步伐势必加快许多;当IT、CT与OT趋于紧密融合之际,形同给予黑客更多可乘之机,能好整以暇地将勒索软件等恶意程序,送入工厂内高价值的生产设备或营运系统中,据此索讨钜额赎金。
随着工控网安风险急遽攀升,制造业者无不绷紧神经;因此
2020年是5G商转元年,而5G有别于过去2G、3G和4G,挟着前所未有的高带宽(eMBB)、低延迟(URLLC)和广连结(mMTC)等优势,成为史上最能支持企业应用的移动通讯技术,因而使「5G专网」需求看涨。当5G被布建到企业内部环境,促成IT、CT和OT网络相连,导致网安威胁随之增加。
工业技术研究院技术副理王子夏表示,针对5G通讯带来的网安议题,其实与URLLC及mMTC两项特性较有关联。以URLLC而论,相关应用情境主要在于工控自动化、无人载具或线上医疗,一旦出状况,可能造成巨大损失、甚至危及使用者生命安全,亟需结合完善的网安管控。
今(2020)年7月起,台湾5G正式进入商转,挟高带宽、高密度及低延迟等优势,使各界看好5G能承载智能物联多元应用服务,带动智能制造、智能医疗、智能城市、自驾车、无人载具等创新应用蓬勃兴起。微软亚洲区解决方案副总经理冯立伟预期,各个垂直产业在5G的应用发展,都有很高的未来性。
冯立伟认为,5G合适的运用情境十分多元,其中Video Content Delivery、自驾车、AR/VR、IIoT是发展性最强的四大领域;只因CPU、GPU等运算科技已发展到先进水平,过去唯有网络频寛的发展相对落后,因而抑制创新应用的进程,如今5G问世,补强悬殊已久的罩
据SANS Institute调查,超过72%工业现场采用以IP为基础的通讯,针对工业设备进行控制、设定和数据采集;但高达79%用户对于管理IIoT设备的网安缺乏信心。显见网安问题已为IIoT营运模式带来重大考验。
工业网通大厂四零四科技(Moxa)产品行销经理郭彦徵指出,随着近年工业网安事件频传,可从中观察到一个值得忧虑的趋势,以往事件多属于「非目标式攻击」,受害者只是无辜遭惹横祸,但近1~2年情势生变,「锁定性攻击」出现频率激增,意谓黑客会针对工业场域量身订制攻击计划,使防护难度更高,业主更需多加小心。
以往鲜少有人认为IoT/OT基础设施蕴藏网安风险,但历经近年多起Target Ransom网安事故,令多数人彻底改观。这些攻击事件,不只酿成产线中断,还可能导致关键基础设施停摆,影响社会大众的生命财产安全。
趋势科技资深技术顾问黄源庆表示,综观近年IoT/OT事故,可归类为三大型态。第一是勒索蠕虫加密半导体厂或电子厂所有机台电脑,造成营运中断,例如某大厂曾遭遇此类事件,导致产线停摆4天、大量材料报废,估计亏损逾新台币25亿元。第二是APT Ransom肆虐传统制造、高科技电子厂、关键基础设施等等场域,使主机设备被加密勒索,酿成营运中断。
事实上,IoT/OT装置并非只出现在工厂,或是油水电等关键基础设施场域,各个行业几乎都有,比方说IP Camera、门禁设备、Router、打卡钟...等等多不胜数的装置皆是。可以肯定,你我的网络环境中都有许多IoT/OT设备,连带蕴藏着不低的网安风险。
Check Point资深技术顾问温德钧认为,比起一般电脑设备,IoT设备更容易遭受攻击与入侵,主要是因为,它们拥有老旧的操作系统、缺乏安全性的连线、设计时没有安全性考量、过于简单的认证方式且多使用缺省值、更新难度高且甚至无法更新...等等。
总之只要有IP,黑客都进得去,也都可以扫出一
因IoT网安事件频传,不只引发产业界高度关注,也驱使各国政府制定相关法规,包括ENISA、美国NIST都针对IoT设备安全着手拟定强制性规范。
不仅如此,Security Ecosystem概念也逐步成形,如同金字塔,从最底部的硬件安全逐层而上,包含软件安全、平台安全、云端安全乃至最上层法规与认证的制约,每一层皆须确保安全。以硬件安全而论,须奠基于信任根(Root of Trust),藉由可靠的安全元件(Secure Element)、信任平台模块(TPM),以及安全快闪存储器(Secure Flash)等等来保障系统安全。
向来负责存取韧体及重要代
随着工业4.0浪潮推进,使工厂的机台设备与信息系统连结的更深,也开始运用大量IoT装置,实时监测机台运作状态。综观工业4.0最重要的组成元件,不外乎三大项,一是负责现场管控和监督的现场控制单元、设备电脑或人员输入;二是负责生产规划的MES;三是统筹企业营运管理的ERP。
Veeam Software资深亚洲区域技术顾问陈瑞文指出,上述三大组成元件,可视为「现代制造信息系统」,堪称智能工厂的生命线,假使停止运作,同一时间生产线的运作就立即停顿;更可怕的,万一这条生命线的数据损毁殆尽,过往重要纪录便化为云烟,让产线陷入更大停摆危机。
如何避免
过往黑客或恶意程序染指的对象,都落在IT场域,但近年情势丕变,OT场域所遭受的网安威胁急遽增加。考量及此,有的关键基础设施业主决定强化网安,制定长达4~5年的计划,准备好好重整其防火墙、网络设备、数据备份机制...等安全架构,但问题来了,现在布建的防护技术,能否抵御4~5年后的恶意攻击型态?着实值得商榷。
安碁信息产品经理方亨谦强调,正所谓术业有专攻,与其自行摸索、部署、维运OT网安架构,耗时费工又不见得有效,不如直接引入专业服务,更能有效加速OT网安布建进程。
但无论业主决定以何等方式推动OT网安防御,第一步皆须做到「知己知彼、百战百胜
长期关注网安的人皆有深刻体会,不同时期都有当下流行的攻击样态,可能逾越企业既有防御范围,此时只好斥资增购新的防护方案。长此以往,不仅徒增建置费用,更衍生沉重维运负担,但更可怕的是,当众多设备此起彼落频发告警,会让管理者穷于应付,索性充耳不闻,就这麽让威胁悄然潜入。
花钱买设备,不但没收到预期收御功效,反倒形成更多的网安管理缺陷,教企业主情何以堪?如何避免陷入这般窘境?Palo Alto Networks网安顾问曾国伟认为,只要能借助单一网络安全平台、完整涵盖各个防护面向,就无需叠床架屋,便可做到化繁为简,透过一致性、整体性、最佳化的保护与体验,更有效率地解决资
随着5G浪潮来袭,可望带动多元的万物联网应用需求,如在制造工厂场域,可凭藉智能物联网管理平台(AIoT)为核心,使生产、品管、运输、能源管控乃至仓储等等环节迈向智能化,加速实现工业4.0目标。
数码通国际资深技术顾问黄仕宇指出,万物联网下,将有更多人透过各种装置上网取得服务,连带驱使服务提供者必须提供更弹性的网络带宽、运算资源和数据空间,继而帮助企业实现基础设施上云、平台系统上云、业务应用上云等目标,使其营运操作更稳定顺畅。
伴随连线的装置、传输的数据和用户信息愈来愈多,同时也带来更多的网安破口与网安风险,因此服务提供者肩负重任,必须全力强化云端安全
众所皆知我国的资通安全管理法除定义公务机关、特定非公务机关的资通安全责任外,也特别针对关键基础设施(Critical Infrastructure;CI)的网安规范多所着墨。CI指的是实体或虚拟资产、系统或网络,其功能一旦停止运作或效能降低,恐对国家安全、社会公共利益、国民生活或经济活动造成重大影响。
国立中兴大学信息科学与工程系教授兼资通安全研究中心主任廖宜恩认为,欲强化关键基础设施网安防护,须先彻底改变网安思维与价值命题,一方面将「事后考虑」旧思维转向「网安始于设计」新思维,另一方面将「网安即成本」的价值观调整为「网安即利润」。
此外