結合IT與場域(OT)的物聯網應用,已是產業界時下最熱門的話題。但不論應用商業模式如何創新,安碁資訊(eDC)資安維運處資深處長黃瓊瑩強調,未來決勝點勢必在於資安基礎建設。安碁資訊為資安服務界老牌的供應商,日前數位鑑識中心實驗室更取得ISO17025國際認證,將有助於樹立緊急應變與事件調查結果的證據力。
「以往安碁資訊執行的事件調查,主要標的為IT環境中攻擊入侵活動的軌跡,若為物聯網或公部門的關鍵基礎設施應用場域,則屬於工業控制系統範疇,但兩種領域對於數位鑑識的思維技能皆相同。」黃瓊瑩指出,物聯網應用場域必須考量的環節,包含部署在無人看管的開放式環境下,可能遭惡意破壞、被調包置換等事故;其次是裝置本身運算能力有限,難以加入資安檢查機制;連網裝置數量規模可能很大,增加監測控管上的難度。這些應用場域潛在的問題,統稱為網路與實體攻擊(Cyber-Physical Attacks),必須在連網裝置規畫初期時就一併納入考量。
「在整體防護策略方面,應著重於防禦與偵測的即時性,才得以立即反應、降低損害範圍。對此,資安監控中心(SOC)的角色即可協助,提供7╳24小時監看,即便非上班時間亦有專業資安人力可立即處置。」他指出。
規範偵測建立物聯網場域安全保護
過去企業或組織偏重於事前防禦的技術建置,在攻擊數量居高不下、手法持續變化的現況下,實際上可發揮自動攔阻的能力有限。此外,企業資安預算的編列通常不多,無法導入市場上最先進的防禦技術,若透過資安監控中心服務即時發現問題與處置,不須投入昂貴的建置亦可達到降低風險之功效。
 |
| ▲根據電力能源研究機構(EPRI)調查報告顯示,在連網裝置環境中欠缺監看功能解決方案,可基於資安監控中心所建置的系統,納入規範偵測(Specification-Based)技術來提供。 |
上述概念同樣可套用到物聯網應用場域,黃瓊瑩以智慧型電表基礎建設(AMI)舉例,最底層的智慧電表可透過電力線載波(Power Line Carrier,PLC)或ZigBee等短距離無線傳輸模式,向上連接到頭端的電表資料管理系統(MDMS)。根據電力能源研究機構(EPRI)調查報告顯示,在連網裝置環境中欠缺監看功能解決方案,IT領域提供資安監控中心服務所建置的SIEM(資安事件控管)平台也無法支應,主因在於目前的電表、車用電子控制單元(Electronic Control Unit,ECU)等不同領域的應用場域,尚未具備足夠的攻擊特徵可提供入侵偵測系統偵測。
「因此面對物聯網安全,無法採用IT思維採以特徵碼技術建立保護措施,安碁資訊的看法是,物聯網的連網裝置行為模式較為明確,相當適合採用規範偵測(Specification-based)技術。」黃瓊瑩指出。
他進一步提到,所謂的規範偵測,在電表應用場域中,所傳遞的資料、檔案大小等行為,皆為固定模式,且頻寬不大,也無法產生大流量,在部署建置時即可明確定義允許執行的規範,例如執行關機時間、指令、回應時間等配置,再搭配資安監控中心服務持續觀察,一旦偏離規範準則即表示發生問題。
資安監控中心服務的整體要件不外乎維運組織、流程與知識庫、產品與平台,安碁資訊除了基於ArcSight資安事件控管平台自行研發分析引擎以外,同時也運用開放原始碼結合長期以來累積的經驗,設計安控解決方案,提供系統安全事件監測機制,在事件發生當下即可掌握與處理,降低損害風險。黃瓊瑩說,從系統作業流程執行偵測,毋須增添連網裝置負擔,更可藉此達到自動化執行,簡化場域管理複雜度。
統合IT與OT資料 SOC效率更即時
 |
| ▲安碁資訊(eDC)資安維運處資深處長黃瓊瑩指出,政府正在推動培植本土自主研發的資安廠商,關鍵基礎設施、自動控制機具等應用場域若得以結合資安監控中心的服務,未來將有機會整合成為解決方案外銷到其他國家。 |
安碁資訊建構的IT場域資安監控中心,資料處理架構包含:資料來源層、安全日誌收集層、安全事件分析層、維運管理層;若為物聯網應用場域,資料來源也可能是Modbus、DNP3(分散式網路通訊協定)等專屬於工業系統領域的通訊協定,不盡然是TCP/IP協定。
黃瓊瑩認為,應用場域與IT的基本運算邏輯大致相同,同樣須經過資料搜集、儲存、事件分析、營運管理,只是須懂得兩種不同知識領域,例如資料同樣需要具備檢索、統計、比對等能力,但是分析的項目,要從IT轉換為應用場域的邏輯,可透過平台上內建的運算引擎實作,之後的事件分析、維運管理則不變。
「因此,安碁資訊針對物聯網安全的作法,是把各式不同類型應用場域所搜集取得的資料,全數整合到資安監控中心的大數據系統平台,基於控管流程執行監看,並分析取得知識,再搭配專業人力判讀,現階段正在研發納入人工智慧來輔助,期能提高專業人力維運效率。」
新興物聯網應用場域蓬勃發展,通訊技術、資料格式、工作流程等方面,若非具有領域知識者無法全數理解,十多年來深耕IT領域的安碁資訊,又該如何協助客戶建立不同場域的安全性?黃瓊瑩表示,事實上,原屬於電子化服務事業群的安碁資訊,日前已併入宏碁自建雲(Build Your Own Cloud,BYOC),得以直接整合了自建雲多年來耕耘物聯網應用的知識與經驗。
如此一來,前端應用場域舉凡油、水、電、交通、廠房等,包含IT環境的資料中心、辦公室,皆可進行資料搜集,全數傳送到資安監控中心建置的系統平台,再依據不同應用場域的邏輯來執行大數據分析,提供即時性的資安情勢演變或情報。未來將進一步運用人工智慧,以每月收容的400億筆日誌為基礎,運用演算法模型進行資料的歸納與整理,或是挖掘出人力無法判讀的細節,藉此勾勒出攻擊活動的真實樣貌。