隨著數位化程度提升,製造業紛紛建構工業物聯網(IIoT)應用場域,使得機器視覺、即時資料分析、人工智慧(AI)等可逐步推展實現。搭配邊緣運算或雲端平台的高效能運算支援,離散製造的現場正在迅速發展虛實整合,藉此提高生產效率與產品品質。然而,數位化衍生的資安風險亦成為當前製造業亟待解決的難題。
IIoT應用驅動資訊科技(IT)與營運技術(OT)融合,完整蒐集產線工作流程的各項數據,同步到供應鏈管理、訂單管理、製造執行系統(MES)、企業資源規劃(ERP)等資訊系統。生產過程中所產生的資料經過整理、分析,可讓高階管理層即時查看報表、掌握稼動率。另一方面,蒐集OT領域完整的資料,統一儲存到大數據平台,並且運用機器學習演算模型分析,則能持續改善工作流程的可靠度,調整製程配方以提高產品良率。
問題是大數據平台與演算模型環境,不論自建部署於邊緣運算或外部公有雲平台,皆須透過網路介面傳輸溝通,資安風險也隨之產生。因為對於攻擊者而言,相同的惡意程式與滲透手法,便可以從IT擴散到OT環境,直接威脅企業營運命脈。
勒索軟體成為OT場域最大威脅
根據Fortinet日前發布的《2023年勒索軟體威脅報告》指出,企業的抵禦策略已不足面對日益猖獗的勒索軟體,從實際爆發的資安事件可窺見端倪。2023年勒索軟體威脅報告統計,78%的企業自認已經為緩解資安事件做足準備,但仍有高達五成的企業曾在2022年遭受勒索軟體攻擊,其中更有46%的企業遭遇到兩次以上的惡意入侵。
勒索軟體除了損害OT現場資訊系統的檔案,同時迫使企業須面對是否支付贖金的抉擇。Fortinet調查發現,雖然72%的企業在短時間內可偵測發現資安威脅事件,但居然有近四分之三(71%)的受駭單位,會選擇以某種形式交付贖金。這也難怪製造業始終是近幾年勒索軟體攻擊的重點目標,攻擊者甚至能調高贖金。以《2023年勒索軟體威脅報告》統計數據來看,有四分之一的製造業廠商表示,遭索取的金額達100萬美元(約合新台幣3,000萬元)以上。
此外,Fortinet近期另一份針對台灣及全球570位營運技術(OT)專業人員進行的《2023年OT與網路資安現況調查報告》(2023 State of Operational Technology and Cybersecurity Report),發現隨著IT與OT環境逐漸整合,企業也致力於強化資安防護,以應對日益嚴峻的駭客威脅,但仍有高達七成五的OT環境至少遭到駭客入侵一次。受訪者表示發動手法是利用惡意軟體(56%)及網路釣魚(49%)為主。
OT場域大規模部署聯網裝置,能提高資訊可視性、增進營運效率。Fortinet 2023年OT與網路資安現況調查報告統計,近八成的OT環境已部署上百台具備IP連網功能的機台與設備,凸顯出受攻擊面與網路威脅風險正日益擴大。對此,受訪的OT人員表示在尋找網路安全解決方案時,首要目的是檢測已知的漏洞。畢竟對於OT團隊而言,減少停機時間通常比在IT環境中更為重要。因此,在OT網路中的資安防護機制,不太以維護資料的機密性和完整性為衡量標準,更多是確保關鍵系統的可用性。
目前,檢測已知漏洞的攻擊已成為最基本的網路安全解決方案要求。儘管76%的OT人員認為網路安全解決方案有助於降低營運中斷風險,同時也滿足效率(67%)、靈活性(68%)的需求,但是當解決方案的類型與數量逐漸增加,企業如何在高度融合的IT及OT環境,落實統一的安全防護策略與措施,將是接下來須持續改善的方向。
新型Evil PLC攻擊手法與緩解之道
工廠環境已建置的自動化控制是由許多電子與控制器等元件所組成,早期的控制器不僅佔用空間大,且迴路流程不易修改與維護,可程式控制器(PLC)的出現使得這些問題得以被解決。國際知名的OT領域技術供應商相繼發展自家專屬的可程式控制器,由於撰寫程式語法不同,OT現場操作人員須依據不同廠牌切換運行程式,為了降低操作困擾,國際電工委員會(IEC)在1993年制定了IEC 61131-3標準以統一可程式控制器的語法。
IEC 61131-3標準把控制動作區分為邏輯運算與硬體動作。邏輯運算採以共同的描述格式來統一IEC 61131-3所定義的語法;硬體動作則對應各硬體設計專屬的韌體函式庫,使得控制邏輯可在該平台上運行呼叫使用硬體資源,進而執行動作。此外,由於所設計的程式碼可以在不同的目標平台間重複使用,因此,透過自行建立的函式庫及利用重複使用的特性,更可縮短自動化流程的開發時程。
工業物聯網安全技術廠商Claroty旗下的研究部門Team82,定期針對擴展式物聯網(XIoT)環境進行漏洞追蹤,揭露新型「Evil PLC」攻擊手法,可藉由滲透感染PLC橫向移動,擴散到工程工作站或其他OT場域的PLC。
一般規模的OT網路可能有數十台PLC負責監控工業流程。攻擊者若想實際破壞某個流程,首先需要掃描找出可滲透的控制器,進而攻擊特定目標。Evil PLC攻擊手法是把PLC變成殭屍電腦,讓攻擊者有機會再入侵到工程師的工作站,獲取操控PLC的權限與方法,接著只要改變控制參數即可破壞OT工作流程。
Team82研究團隊除了揭露Evil PLC攻擊手法,同時也提供可緩解攻擊風險的建議措施。首先是避免PLC直接暴露在網際網路上;其次是遵循零信任原則,依據不同操作者身分配置驗證機制與最小權限;第三,實作網路分段(Segmentation),以限縮攻擊範圍;第四,持續監控網路封包;第五,即時更新漏洞修補程式,避免遭零時差攻擊。
掌握運行數據即時回應風險
OT場域為企業創造價值與營收,萬一發生故障甚至停擺,恐帶來無法估計的損失。這也是惡意攻擊者經常鎖定OT場域發動勒索攻擊的因素之一。如今工業物聯網應用提升了傳統工廠數位化能力,須增添控管措施以降低資安風險,才可讓數位化、數位優化,乃至於智慧化,發揮應有的價值。
工業物聯網應用安全領域正在迅速發展。過去,OT環境安全主要集中在針對傳統工業系統、通訊網路的特定解決方案,例如以防火牆等技術建立保護措施。隨著企業應用需求的演變,工具及服務正在朝多功能平台方向發展。例如借助虛實整合系統(CPS)執行資產盤點、提高可視性,以便於現場工程師可透過戰情室儀表板,完整掌握營運現場指標數據。一旦接收到資安風險告警通報,可第一時間介入查看與回應,保障OT持續運行不中斷。