订报
event
 

建立工控资安流程并取得国际验证 将威胁风险降至最低

安华联网科技研发长刘建宗。

最近短短几个月内,国内接连发生多起重大资安事件,包括五月期间大型石化公司和半导体封测厂遭勒索软件感染,六月期间自动化设备厂遭勒索软件感染、PCB大厂遭病毒感染,到了七月,穿戴装置大厂亦遭勒索软件攻击。同时有愈来愈多针对工控设备设计的恶意程序被揭露,例如EKANS(Snake)针对GE的Historian,LogicLocker针对PLC,Triton针对Schneider的TriconexSIS控制器等。

安华联网科技研发长刘建宗提醒制造业,不能轻忽资安威胁趋势。这些浮上台面的事件,其实只是冰山一角,智能制造资安问题之多已超乎大家想象,平均每天就有2~4个相关攻击事件。究其主因,首先是工厂采用的OS多为Windows,所以一些被设计为攻击办公室的病毒,同样可感染工厂;其次工厂遭遇APT攻击的频率日益提升,且往往混杂不同攻击手法,大幅增加侦测难度。

再者不少攻击事件的苦主都有共通点,即是其网络(含办公网络、服务网络、工控网络、开发网络等)未依据风险采取适当隔离,以致一个破口就能全境扩散。此外对于供应商的安全管理,普遍做得不到位。

肇因OT资安事件层出不穷,导致国内外皆有愈来愈多资安法规问世。例如国内半导体业者组成供应商安全联盟,进而与SEMI合作制定半导体机台的资安标准,拟规定机台不得采用EOS的系统,并因应OT网络不关机、不干涉、不更新的运行惯性,思考安全漏洞的补强之道。

安华联网科技参与智能机械资通安全计画,经过研究发现,许多业者并非不重视资安,但防护思维偏重「技术方案」,较轻忽管理面的资安意识;除此之外,多数业者现行资安方案未经验证、亦无定期执行弱点扫描与渗透测试的制度,而且普遍缺乏持续改善的机制,针对委外厂商也缺少监督管理机制,这些都亟待改善。如何按部就班补强现有资安缺失?刘建宗建议可参照IEC62443标准,当做CheckList,假使工厂管理者想根据IEC62443而强化资安确保,则可依循IEC62443-2-4标准,并结合第三方背书。

安华联网科技不仅成立国内第一间嵌入式设备安全检测实验室,也是台湾唯一经亚马逊授权的资安检测实验室、亚洲第一个经美国CTIA授权的资安实验室,已协助多家制造商建立工控资安流程、取得国际证书。

倘若制造商有意寻求协助、强化资安,安华联网科技可提供四阶段服务。第一阶段为「现况评估」,盘点企业或制造商目前的资安成熟度;第二阶段为「制度建立」,协助企业或制造商,能透过管理来实践资安防护;第三阶段为「资安验证」,提供包括整体场域检测、单一设备检测、渗透测试、红队演练等各式服务;最后为「永续资安」,将协助企业将资安融入企业的文化与价值观,达到持续改善、长期安全的目标。


  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: 安华联网 CTIA 设备联网 物联网资安