Advantech
活动+
 

物联网设备资安大进击 晶睿与趋势联手强化制造系统安全等级

晶睿通讯产品管理部产品经理张洋榕(左)与趋势科技资深经理郑朱弘毅(右)都指出,监控摄影机已然成为黑客攻击的新目标。

工厂系统中的营运技术(OT)系统过去为封闭性架构,只为内部制程所用,由于与外界隔绝,资安疑虑一直以来并不高,随著工业4.0概念的兴起,制造系统的资安问题逐渐浮现。2018年台积电因新购设备感染病毒,导致全台产线大死机,营收损失高达新台币52亿元,此事件让全球制造业者开始正视制造系统的资安,不过晶睿通讯产品管理部产品经理张洋榕指出,目前绝大多数作法都在机台联网的安全强化,忽略工厂中的联网设备,如安控摄影机、网络影像摄像机、路由器等,制造业者一但疏忽,将会让厂内的资安防护出现缺口,危及制造系统。

安控摄影机过去类比型态与工厂制造系统一样,都是封闭性系统,因此对资安的需求并不高,后来与网络介接的IP摄影机逐渐成为主流,安全意识才逐渐提升,现在各大厂的安控摄影机在出货前,都会键入一定程度的资安机制,用以防堵病毒与黑客的入侵,只不过目前业界的做法多仍停留在被动式防护,难以遏止不断进化的恶意攻击。

晶睿携手趋势,5个月挡下500万次网络攻击

张洋榕指出,资安是高度专业,需要有专业团队主导,而摄影机业者很难投入成本建立团队,因此大多与第三方评测单位合作一次性的检测。但在无法持续观察、更新的状态下,企业的安全监控系统除了无法防堵新型态的攻击外,过去存在已久但未引爆的资安弱点,也难以被找出并改善。这些状况都会让安控摄影机在出厂后就面临资安的风险挑战,一旦受到攻击就难有招架之力,对此张洋榕坦言,过去晶睿通讯的资安机制也是采取被动式防护做法,直到2016年美国及欧洲受到严重网络攻击才改变。目前晶睿出货时将资安机制内建于安控摄影机的做法,能让资安防护做到产品出厂前一刻的最高等级,并透过后续更新持续防护。

2016年10月21日,黑客透过网络控制了美国超过百万台联网装置,并以此对Twitter、Paypal、Spotify等知名网站进行DDoS攻击,而这些联网装置中,绝大多数为网络摄影机。在这次事件后,晶睿通讯意识到当时防护做法的不足,决意强化资安机制,2017年开始与全球资安大厂趋势科技合作,成为全球首宗将入侵防护系统(IPS)建置在安全监控装置上的实例,深度体现安全监控与资安的两大领域的跨界合作。

晶睿通讯与趋势科技从2017年开始合作,2018年推出可实时阻挡恶意攻击与病毒的安控摄影机,并由敌我攻防中找出黑客的攻击模式,进而调整自己的资安机制,让系统防堵更周密。2019年双方合作再升级,将防护延伸到安全监控系统的后台,为客户设置网络风险仪表板,显示系统中所有安控摄影机的资安状态,并将攻防数据分析结果实时传给管理者,以可视化与数码化方式提供管理者完整信息。

对于安控摄影机的资安防护效果,趋势科技资深经理郑朱弘毅表示,若论及一件设备的资安实作水平,很难用一个概括的数字做为评分,因为牵涉到的因素太广。不过这也不代表使用者无从查知资安机制的建置效益,比如藉由在设备实际运行环境中所抵挡的攻击次数,便可清楚理解资安升级的实际效应。他建议从网络风险仪表板上就可看出目前正有多少攻击正在发生,就可了解现时网络攻击的频度以及主要型态,视情况进一步提出相对应的应变措施。而根据趋势科技本身累积的信息,晶睿通讯在出厂的7千台监控摄影机,在5个月内,拦截了超过500万次的网络攻击,藉由抵挡实时的攻击,快速地回应威胁。

这500万次攻击模式中,有75%尝试使用暴力破解登入,这表示只要口令遭窃,系统就会门户大开,而分析这些攻击数据也可看出,不法份子多利用Mirai殭尸病毒之类的变种恶意程序和已知的系统漏洞攻击安控摄影机,而趋势科技透过持续的更新与关注,让晶睿通讯的产品随时保持在最新版的资安环境下,因此可有效防堵外界攻击,确保设备安全。

郑朱弘毅进一步表示,传统资安公司探寻网络攻击样貌的做法,常将网络设备放置在攻击最频繁的危险环境中(Honey Pot),透过收集大量攻击来揣摩整体网络攻击的样貌。不过这类环境并非常态,与企业系统所处的网络环境截然不同,同时不见得完美对应某些设备品项,因此多数IT管理人员往往会对其收集到的攻击剖析报告存疑。晶睿通讯与趋势科技合作的资料收集模式,则是让安控摄影机处于常态环境下,系统运行时间与被攻击的频率都与现实状况相同,因此所取得的数据会与系统实际应用时完全相同,对企业来说,此一数据就极具参考价值。

为制造系统补强资安漏洞

从2018年推出具备防入侵软件资安防护功能的安控摄影机后,晶睿通讯旗下的所有新产品都会内建该软件。张洋榕表示,随著物联网趋势的逐渐落实,企业中联网的系统、设备越来越多元,而高风险往往会伴随便利功能而来,一旦轻忽就有可能造成庞大损失,尤其是制造业,其风险又远高于其它产业。张洋榕指出,安全监控已是制造现场的必要IT建置,而工业4.0要求IT与OT系统集成,因此安控摄影机虽不会与OT系统中的生产设备直接介接,但当所有系统均已连结时,任何连网设备都有可能成为黑客的攻击跳板,由于目前坊间的网络摄影机,其资安都是被动式设计,非常容易成为攻击目标,因此安全强化已是刻不容缓,这也是晶睿通讯愿意投入大量资源,全面提升监控摄影机资安强度的主因。

不过张洋榕和郑朱弘毅也表示,资安的防护责任是分散在每一环节中的,晶睿通讯与趋势科技已经强化了安控摄影机中的软硬件安全,使用者本身也必须培养起同样认知,负起本身的资安责任,最简单的做法就是定时更换口令,而且尽可能设计为难以破解的强口令,避免使用容易被不法份子试中的弱口令,当系统设计者与使用者都能正视资安问题,监控摄影机就可安全无虞。

  •     按赞加入DIGITIMES智能应用粉丝团