建立弱点防御机制 避免恶意程序轻易击溃ICS
去年(2018)底,全球网络网安方案领导厂商趋势科技发表「2019年网安年度预测报告」,报告中提出针对工业控制系统ICS的攻击将成为一项日益严重的威胁,因为现今的企业营运较以往更加仰赖实时数据,工控系统必须连结网络,因而给予黑客可乘之机,有机会利用不具备网络安全防护的工控系统做为跳板,对企业进行攻击。
趋势科技台湾暨香港区总经理洪伟淦表示,根据该公司ZDI统计,从2016、2017至2018等三个年度的上半期间,ICS及SCADA(监控与数据撷取系统)的漏洞数量都呈现逐年倍增之势;尽管2019上半最新统计数量尚未出炉,但推测情况并未好转。不过他认为发现漏洞是好事,有助于及早预防黑客入侵ICS的可能性。
依照2019年上半的观察,台湾地区工控系统遭受攻击的主要途径,仍以传统OS漏洞居首,倒未必是相对特殊的SCADA弱点,如造成去年震惊各界的晶圆厂感染事件的系统漏洞,便是已经被发现并存在一段时日;换言之,黑客即便还未钻研工厂所用的特殊协定,都有机会利用现有的威胁工具,瘫痪工厂的生产运作。
根据目前台湾工控环境的攻击案例,可以分为下面几种类型:首先第一种是「池鱼之殃」,也就是黑客或恶意程序原来并非瞄准工控系统作为攻击目标,但由于恶意程序会自动对含有漏洞系统进行攻击,这时包含漏洞的工控系统就会被波及,可能进而使厂区瘫痪。其实包括SCADA、MES等系统,普遍走TCP/IP协定、采用Windows平台,基本上仍是采用传统操作系统的「类电脑」,而黑客不管是IT或OT,只要有漏洞即钻,连带也会让工控系统中招。
其次是「刻意攻击」,黑客设法渗透企业的工控网络、攻打特定主机,让产线虽然仍可运作,但管理系统却已瘫痪,导致管理者根本无从得知当下产能是否满足订单需求,也无法将实时生产信息传递给国外大客户,影响所致工厂已几近停摆。再者是「挖矿」,黑客在厂区内大量散播挖矿病毒,将工厂内成千数百台电脑设备的运算源吃乾抹净,最终导致网络不通、电脑运作迟缓,生产力大受影响。
不影响产能为前提,计划性部署防御功能
总的来说,OS老旧、漏洞不易修补加上几乎未做防毒,是造成ICS脆弱的主因,但解决这些问题不见得容易,有些甚至想改也改不了,比方说OS过旧已无Patch可上,或基于特定用途而设计的电脑原本就无足够空间加装网安软件,另外企业主更担心的是Patch与机台程序相冲突,小则导致参数配方偏移、重则造成当机或无法开机,而机台原厂也不见得提供保固,任何结局都是工厂难以承受之重。
然而洪伟淦强调,无论如何,制造业者或油水电关键设施提供者,仍应建立弱点防御观念,若有些工控电脑可以上Patch就应该上,再思考如何透过管理流程的调整,有计划性地将Patching可能造成的冲击降到最低,逐步从可用性与安全性间调适最佳平衡。
至于无法上Patch的电脑,可从外围解决,譬如利用入侵防御系统(IPS),守护进出工控环境的大门口,并搭配虚拟补丁功能,防堵恶意程序利用漏洞入侵,另外可考虑导入应用程序白名单技术,透过其简单、轻量化等特点,让即使是运算资源有限的机台,仍可阻止不明程序;又或者利用非常驻型的防毒USB,伴随机台检修或更新时做一次扫毒,都不失为防御之道。
未来制造,云端、物联、数据蒐集已成关键。但是,当生产信息出得去、外部攻击进得来……您知道您的工厂,安全吗?8/8登场的网安论坛,活动主题订为「保障IIoT安全,加速智能制造」,邀请中油信息部经理分享工控系统安全管理经验、工研院资通所专家探讨高科技制造业网安标准,还有重量级业者趋势、研华、四零四、精品…提出最新市场观察与解决方案,全程参与听众有机会抽中PS4一台!免费活动,欢迎各界报名参加。