综观人员、流程、技术 重新定义工控安全体系
现今各产业都拥抱数码转型,制造业也不例外,体现方式即是智能制造,即是透过新科技的运用,借此打造更新颖的商业模式、更具破坏性的产品、更敏捷的供应链,或提高运作效率;这也意谓工控环境不再封闭,进而导致网安风险随之升高。
趋势科技台湾暨香港区总经理洪伟淦归纳,工控网安事件可为四类,首先是目标式攻击,譬如伊朗核电厂曾遭受的Stuxnet蠕虫事件,但此类攻击偏向国家级,一般企业面对到的机率不大,反倒应留意其余三类,依序是「Collateral Damage」、黑客四处乱攻下遭受池鱼之殃;「Target Ransom」,黑客设法入侵企业DMZ、让电脑成为受控的殭屍电脑回报中继站,近一步伺机取得帐密后攻向Server Zone,最后遂行生产管理系统加密,阻断生产信息传递,间接瘫痪产线运作;最新一类攻击则是植入「挖矿病毒」,耗用厂内大量电脑设备的运算资源,连带造成网络壅塞,严重干扰产能。
综观上述攻击型态,我们不难推敲黑客思路,一些针对工控特殊协定设计的刁钻攻击,虽会发生但并非主流,只因黑客偏好成功机率高、易于复制、易于牟利的手法,因此基于老旧OS、未上Patch的弱点攻击,才是用户最需严防的威胁。
如何防范这些威胁?洪伟淦建议须从整体管理概念来进行,网安涉及人员、流程、技术等管理构面,技术只是辅助工具。企业务先重新定义工控安全组织,汇集IT、OT不同专才,彼此平时如何合作、战时如何分工,将所有运作机制都设定清楚。其次企业须针对厂内老中青三代电脑的不同OS、不同承载能力,实施不同安全配置,另需限缩电脑的对外沟通和存取能力,所以应用程序白名单技术就显得十分重要。
紧接着,企业不单单需要做好内部防御,亦需制定供应链安全政策,不管协力夥伴欲带进任何设备、程序,都需遵守规定,先行通过必要安全检查才准予放行。最后企业需建立网安监控与稽核机制,且先行定义网安事故应变处理机制(IR),以避免事发时陷于慌乱、导致延宕复原时间而加重灾难损失。