全球製造業所面對的資安威脅為什麼會特別受到關注,是因為針對製造業的攻擊不只是影響個別企業營運,還有可能對社會甚至國家造成災難性後果。例如在澳洲發生的一宗大型資安事故,讓多達 800,000 公升的沒處理污水突然湧到社區、在烏克蘭西部兩個州發生的電網入侵,導致大約 230,000 名消費者停電 1 ~ 6 個小時、以及在美國德克薩斯州的達拉斯,全市 156 個國家緊急警報突然在晚上 11:40 分至凌晨 1:20 分響起,引起民眾恐懼,繼而阻礙正常 911 服務等。這些攻擊和普遍針對傳統 IT 基建的攻擊不同,它們都是利用 OT (Operational Technology) 環境的資安漏洞進行攻擊。
OT (Operational Technology)
OT 是指用於監控、控制和自動化工業過程和製造的技術。在製造業中,OT 通常用於控制生產線上的機器、設備和工具,以確保生產過程的效率和品質。製造業中的 OT 技術包括自動化控制系統、工業物聯網、機器人、儀器儀表和嵌入式系統等,所以 OT 在製造業的供應鏈中,扮演著一個非常重要的角色。
製造業 OT 環境的資安挑戰及建議
傳統而言,大部分的 OT 系統也是跟商業系統和IT網路分開,讓 OT 環境一直也沒有足夠的資安防禦能力。另一方面,由於 OT 環境的即時性和特殊性,適用於 IT 環境的資安防禦技術普遍也不是完全適合應用在 OT 環境。在這種情況下,除增加了 OT 環境被成功攻擊的機會外,更讓製造業需要迫切了解應如何應對 OT 的資安攻擊或從資安攻擊中復原。針對製造業 OT 環境的攻擊大約可以分為六種:
- 以未經授權的指令,讓控制系統執行非固定程序內的工作,以中斷生產過程或破壞生產裝置
- 修改系統流程或控制參數,以擾亂應有的產出效果,繼而引起故障甚至嚴重破壞
- 入侵人機介面 (Human Machine Interface) 或操作員控制台,強制阻礙或禁止操作員監察 OT 環境的運作狀態
- 入侵數據儲存庫以了解生產流程、控制系統、運作程序,繼而策劃下一次的攻擊目標與方式,或轉移攻擊相連的 IT 基建
- 以未經授權的裝置連接到企業無線網路,以便進行後續攻擊
- 以未經授權的通信伺服器,干擾生產流程
假如 OT 環境發現有資安異常情況或攻擊,可以根據以下的 NIST 資安框架執行應變及復原程序:
➊ 事件回報
發現有事件發生後,應立即回報給相關人員,以決定優先順序及進行初步分流。
◎ 處理方式
- 就發現事件的相關資訊進行溝通
- 持續的事件回報
- 持續的事件資訊與復原計劃分享
- 持續與相關人員協調復原計劃
◎ 建議技術方案
- 網路:網路監控工具
- 網路與主機:網路與主機入侵偵測 (IDS) 工具
- 主機:端點偵測與應變 (EDR) 工具
- 帳號:身份識別和存取管理 (IAM) 工具
- 行為:異常行為偵測工具
➋ 日誌審查
審查相關日誌以找出及確認異常活動。日誌同時可協助找出問題來源,以減輕將來受到同樣攻擊所帶來的影響。
◎ 處理方式
- 日誌有被完整記錄、儲存、處理、以及審查。
◎ 建議技術方案
- 安全性資訊與事件管理 (SIEM) 工具
➌ 事件分析
分析相關的安全性事件,並找出攻擊的特性、入侵方式、以及其他安全問題。
◎ 處理方式
- 分析事件的攻擊目標與方式
- 從不同來源及接收器收集事件數據
- 決定相關事件的關連性
- 調查監察系統的通知信息
- 確認事件的影響
- 進行取證
- 對事件及復原計劃進行分類
◎ 建議技術方案
- 安全性資訊與事件管理 (SIEM) 工具
➍ 事件處理及應變
針對事件進行評估,以找出潛在的影響、威脅、漏洞。而應變方式應包含抑制、降低影響、以及執行對策。
◎ 處理方式
- 準備執行事件應變、持續營運與災害復原計劃
- 確認以上計劃已被成功測試
- 人員理解各自的角色與流程
- 進行事件抑制
- 執行應變計劃
◎ 建議技術方案
- 網路政策管理工具
- 防火牆
➎ 鏟除及復原
將事件相關的惡意軟體或病毒移除、以及補救資安漏洞等,恢復正常營運。
◎ 處理方式
- 執行災難復原計劃
◎ 建議技術方案
- 配置管理 (Configuration Management) 工具
- 備份 (Backup) 工具
- 軟體更新管理 (Patch Management) 工具
Electrum Cloud 蔚藍雲提供專業策略諮詢服務 協助製造業制定資安應變及復原策略
現今自然災害、網路攻擊等資安事故頻傳,尤其製造業所面對的資安威脅特別受到關注,企業如何在任何資安事故或災害發生的當下快速復原、確保持續運作,是企業目前重要的經營課題之一。Electrum Cloud 蔚藍雲擁有豐富的雲端策略諮詢與架構經驗,理解製造業面臨到的資安挑戰,協助企業制訂完善且合規的災害復原策略。
