品安科技
活动+

联网风潮引爆OT系统安全危机 急需补强防护措施

  • 魏淑芳
Spiral Toys生产的联网玩具CloudPets惨遭黑客入侵,泄漏高达200万笔亲子语音档案,使各界为之哗然;图为事发当时的新闻报导画面。来源:YouTube

DIGITIMES企划

一些关于物联网(IoT)安全议题的论坛,不时可见讲师拿「玩命关头 8」电影情节做为引言,指黑客有能力控制方圆两英哩内千余车辆,命令这些殭尸车执行特定动作;尽管前述内容看似科幻、不切实际,但事实上,随著万物联网时代来临,以及黑客攻击技术不断精节,欲将这些科幻情节搬上现实世界,绝非不可能之事!

 点击图片放大观看

2010年伊朗核电厂遭受Stuxnet蠕虫感染,虽然最终未酿成严重损害,但就此敲起ICS/SCADA信息安全警钟。来源:Phys.org

正因如此,行政院资安处在致力推动「资安管理法」的同时,特别将政府机关、能源、水资源、通讯传播、交通、金融与银行、医院、高科技园区等八大关键基础设施纳入该法的管理范畴,此举并不是穷紧张,而是意识到物联网资安问题的严重性。

究竟物联网资安威胁,真的如同部份专家描述得如此可怕?那么就让我们先来看看过去一年多的时间,全球发生了哪里些物联网安全事件。

IoT安全事件层出不穷

首先谈及的苦主是Spiral Toys,该公司旗下一款名为CloudPets的联网玩具,遭到恶意入侵酿成资料外泄事件,泄漏了逾200万名孩童与其父母的语音资料,及80万笔以上的电子邮件与口令。

而CloudPets客户的资料,主要储存于AWS云端服务,任何人只要了解档案的所处位置,不需通过任何身份验证程序便可存取这些资料,至于Spiral Toys的MongoDB资料库,委由一家罗马尼亚企业执行维护,但实际上几乎没有任何安全防护措施。

而三星为降低对Android系统的依赖,积极推动自家发展而成的Tizen操作系统,并运用于旗下智能电视、智能手表及 Z系列智能型手机等多款产品,结果外部资安研究人员发现,该系统竟内含多达40几个漏洞,可能导致黑客从远程入侵并控制设备。

更糟的是,在前述漏洞被揭露之前长达8个月时间,三星完全未修复这些弱点,意谓数以百万计、甚至上千万的联网装置,就这么曝露在莫大的风险中。

美国自助售货机领导厂商Avanti Markets,也在2017年惨遭黑客入侵,攻击者利用恶意软件来获取系统权限,盗取使用者的信用卡帐户资料、生物特征识别资料(例如指纹)等个信息息;令人诧异的是,Avanti形同完全不设防,未采取任何资料保护措施,就连最基本的P2P 加密都没做。

更让人记忆犹新的,2017年下半资安研究单位Armis发现惊爆,蓝牙协定被发掘多达8个零日漏洞,恐大举影响Android、iOS、Windows、Linux系统设备,及采用短距无线通讯技术的物联网设备,使大批装置被远程挟持。以其间的BlueBorne漏洞为例,足以让攻击者完全接管其锁定的蓝牙装置,继而执行恶意程序码、窃取资料甚至发动中间人(MitM)攻击。

也许上述情节,似乎皆与较偏向消费或个人型态的IoT装置有关,欲解决相关安全疏漏,斧底抽薪之计即是公权力的介入,譬如美国政府在2016年发表「保护物联网策略准则」,要求物联网生态体系于设计、生产与使用物联网装置与系统时,必须肩负安全保障之责;如此一来,理应能避免重演诸如Mirai殭尸病毒引发分散式阻断服务(DDoS)攻击的不幸事件。

主导前述事项的美国政府单位,系为国土安全局(DHS),事实上该局所关注的物联网安全,绝非仅止于消费或个人型态的IoT装置或系统,也包含了偏向工业或关键基础设施层面的ICS(Industrial Control Systems)/SCADA。

因此由DHS所主导的ICS-CERT,近年来都持续揭露ICS/SCADA安全漏洞,同时要求相关设备制造商限期改善,使得一些经营作业技术型(Operational Technology;OT)设备的业者,面临前所未见的重大压力。

因为在过去很长一段期间,「信息安全」几乎完全不在他们产品设计与开发流程的考量项目,但这并不意谓他们视用户权益为无物,在于ICS/SCADA以往确实处在封闭环境,黑客难以近身,自然没有过多的安全顾虑。

藉助资安业者  解除ICS/SCADA威胁

反观今日,工业 4.0浪潮席卷,远程监控与诊断的应用抬头,导致OT设备联网化的趋势日益高涨,意谓ICS/SCADA逐步走出原本封闭隔离的世界,等于是门户大开,让有心人士开始有了对此上下其手的机会。

尽管持平而论,与ICS/SCADA相关的真实攻击案例不算多,但每起事件的惊悚程度,相较于一般资安事件有过之而无不及,不论谈到2010年伊朗核电厂遭Stuxnet蠕虫入侵、2015乌克兰电厂遭骇而酿成大规模停电,乃至2017年Honda感染WannaCry勒索病毒以致暂时关闭工厂,皆是如此。

深究这些ICS/SCADA系统之所以沦陷,固然与联网化趋势息息相关,不少系统奠基于陈旧的作业平台,也是助长威胁的主因之一;资安专业厂商透露,全球有为数甚多的工业机器人,依然沿用类似像Linux 2.6等充斥漏洞的老旧操作系统与程序库,加上普遍缺乏严谨完善的防护措施,因而蕴藏不小风险,甚至一些在IT环境的老旧病毒或恶意程序,一旦进入OT世界,都足以掀起强大破坏力。

事实上,现阶段不管是OT设备或系统的制造商或用户,历经一些资安事件的震撼教育,对此事的关注程度,早已不再是漠不关心,毕竟在现实考量下,若自己成为美国DHS宣告的漏洞名单,后续可能因而丢失商誉与营收,当然不能掉以轻心。

但真要落实资安防护,却也不是那么简单,主要是因为,OT人对于资安真的不熟悉,不知道该如何实践「安全软件发展生命周期(SSDLC)」理念,也不明白各种资安工具的运用之道。

你或许好奇,这些OT设备的制造商或用户,内部总有IT人,而OT人的不擅长之处,正好就是他们的强项,难道不能靠这批人协助提升OT资安防护?话虽如此,但IT人也不熟悉OT作业环境,又不可能直接把IT环境的防护机制原封不动搬过去,所以还无法快速展现救援力量。

值此时刻,OT设备厂商有必要寻求其它外援,而资安厂商便是不错的选择,此乃由于,已针对ICS/SCADA安全议题推出对应解决方案的业者愈来愈多,一方面可透过SDK或API的运用,让出厂设备得以具有一定资安强度,二方面资安业者也能适时扮演ICS/SCADA威胁情资收集与分享的角色,可藉助白名单管控、虚拟补丁等等技术措施,结合工业防火墙、网络入侵侦测系统等工具,确保OT设备的使用过程,维系在理想的安全状态。

更多关键字报导: 资安 蠕虫 DDoS 物联网(IoT)