建立工控网安流程并取得国际验证 将威胁风险降至最低
- DIGITIMES企划
-
最近短短几个月内,国内接连发生多起重大网安事件,包括五月期间大型石化公司和半导体封测厂遭勒索软件感染,六月期间自动化设备厂遭勒索软件感染、PCB大厂遭病毒感染,到了七月,穿戴装置大厂亦遭勒索软件攻击。同时有愈来愈多针对工控设备设计的恶意程序被揭露,例如EKANS(Snake)针对GE的Historian,LogicLocker针对PLC,Triton针对Schneider的TriconexSIS控制器等。
安华联网科技研发长刘建宗提醒制造业,不能轻忽网安威胁趋势。这些浮上台面的事件,其实只是冰山一角,智能制造网安问题之多已超乎大家想像,平均每天就有2~4个相关攻击事件。究其主因,首先是工厂采用的OS多为Windows,所以一些被设计为攻击办公室的病毒,同样可感染工厂;其次工厂遭遇APT攻击的频率日益提升,且往往混杂不同攻击手法,大幅增加侦测难度。
再者不少攻击事件的苦主都有共通点,即是其网络(含办公网络、服务网络、工控网络、开发网络等)未依据风险采取适当隔离,以致一个破口就能全境扩散。此外对于供应商的安全管理,普遍做得不到位。
肇因OT网安事件层出不穷,导致国内外皆有愈来愈多网安法规问世。例如国内半导体业者组成供应商安全联盟,进而与SEMI合作制定半导体机台的网安标准,拟规定机台不得采用EOS的系统,并因应OT网络不关机、不干涉、不更新的运作惯性,思考安全漏洞的补强之道。
安华联网科技参与智能机械资通安全计划,经过研究发现,许多业者并非不重视网安,但防护思维偏重「技术方案」,较轻忽管理面的网安意识;除此之外,多数业者现行网安方案未经验证、亦无定期执行弱点扫描与渗透测试的制度,而且普遍缺乏持续改善的机制,针对委外厂商也缺少监督管理机制,这些都亟待改善。如何按部就班补强现有网安缺失?刘建宗建议可参照IEC62443标准,当做CheckList,假使工厂管理者想根据IEC62443而强化网安确保,则可依循IEC62443-2-4标准,并结合第三方背书。
安华联网科技不仅成立国内第一间嵌入式设备安全检测实验室,也是台湾唯一经亚马逊授权的网安检测实验室、亚洲第一个经美国CTIA授权的网安实验室,已协助多家制造商建立工控网安流程、取得国际证书。
倘若制造商有意寻求协助、强化网安,安华联网科技可提供四阶段服务。第一阶段为「现况评估」,盘点企业或制造商目前的网安成熟度;第二阶段为「制度建立」,协助企业或制造商,能透过管理来实践网安防护;第三阶段为「网安验证」,提供包括整体场域检测、单一设备检测、渗透测试、红队演练等各式服务;最后为「永续网安」,将协助企业将网安融入企业的文化与价值观,达到持续改善、长期安全的目标。
