隨著物聯網(IoT)、人工智慧(AI)等新興技術成為產業數位轉型的重要推手,原本封閉的工業控制系統(ICS)或營運技術(OT)場域開始串連IT系統,卻也為勒索病毒開啟滲透入侵的大門,惡意程式可從IT環境橫向移動擴散感染OT場域,恐導致營運中斷、商譽損害,造成難以估計的損失。
近年來台灣製造業為了避免遭勒索病毒襲擊,已陸續在工業物聯網場域導入防火牆與機台部署防毒軟體來執行偵測與回應。為了協助高階管理者洞察資安治理成效,市場上也興起採用第三方掃描工具如SecurityScorecard,可以從企業外部執行網路資安風險分析。 工研院資訊與通訊研究所組長卓傳育指出,工研院亦自主研發CyberMeter,其能從企業外部掃描評估應用場域弱點,同時亦擷取暗網的情資、第三方資料庫,解析判斷企業營運機敏資料是否外洩,以客觀的數據量化評估資安治理的完整度。
物聯網端點與網路同步防護
縱觀IT與OT場域整合運行的物聯網應用安全防護,甚至近來備受本土產業關注的供應鏈資安議題,卓傳育認為,零信任(Zero Trust)控管模式已成為各界共通的核心思維,其藉由為網路、端點、作業系統、應用程式及機敏資料,建立多層次白名單管控策略,有助於在不同環節控管資安風險。
過往IT防禦著重探討攻擊狙殺鏈(Kill Chain)採用的戰略、技術與程序(TTP),目的在於提升辨識能力以阻斷攻擊。卓傳育認為,既有IT採用的解決方案不盡然皆適用於OT環境,例如設備機台產生的資料若須全數遞交給資安廠商解析判讀,對於受限特種個資法規的產業、訂單已簽保密協議的工廠等OT環境勢必無法採用,便可改由工研院研發的應用程式白名單機制來輔助。
他進一步說明,多數OT環境較單純,只要以正向表列方式,將非日常工作需要的程式禁止運行即可。概念上簡單易懂,然而實務面的障礙在於撰寫控管規則,須同時具備IT技能與掌握OT工作流程。工研院自主研發的白名單機制獨特之處,是以機器學習演算建立正常行為分析模型,無論企業將其部署到現有的防火牆,或者聯網裝置出廠前預先內建,便能不依賴專業人員技能而自動建立規則,只要系統行為異常即發出警告,讓維運人員盡快排除問題。
「我們開發的理念是減少人力介入,增進IT與OT協同合作。」過往由IT部門負責資安治理,設定防火牆規則時當然優先力求萬無一失,但若管控機制過嚴而影響到生產力,卻是廠長必須承擔責任,往往造成雙方不易配合。卓傳育說,「引進工研院發展的演算模型,由AI自動建立公平合理的控管規則,便可避免責任歸屬的爭議,更容易在OT場域落實資安部署。
零信任存取閘道器確保資料不落地
近兩年因應COVID-19防疫需求,營運場域開放維運人員遠端登入執行日常工作任務,使得工研院開發的虛擬行動架構(VMI)與虛擬桌上型電腦基礎架構(VDI)深受企業青睞。卓傳育觀察,主要是因為開放虛擬私有網路(VPN)搭配遠端桌面通訊協定(RDP)登入企業內網,不僅潛藏資安風險,亦難以實施稽核。工研院提供的VMI與VDI方案則可建立零信任存取閘道,不論是手機、筆電環境,須通過多因素驗證方可取用資源,並且完整掌握人事時地物的存取行為資料。
工研院資訊與通訊研究所組長卓傳育指出,藉由工研院提供的企業資安成熟度評級服務與資安顧問訪查,可協助企業釐清自身資安風險,搭配運用風險檢測、主題式研發場域驗證機制,扶植本土企業建立國際級資安防護,推動產業增強資安韌性。
企業欲達到「資料不落地」,可透過存取閘道器讓遠端工作者直接以VMI或VDI取用,無須採用VPN、RDP方式登入,不僅機敏資料永遠不會下載到員工私人手機或筆電,亦可直接使用企業內部的Android等平台,不受限於硬體廠牌或作業系統。
工研院設計的VMI架構,具備彈性配置的特性,可依需求進行不同的配置方式。例如需要完整行動裝置虛擬化,可選用虛擬主機方式進行部署;想最大化實體資源利用率,亦可選擇使用虛擬容器(Container)進行高密度的部署。若考量到成本壓力,VMI也可提供Arm SoC Cluster平台的建置,意味著VMI可同時運行於x86與Arm不同技術平台。
卓傳育指出,在台灣對於VMI方案需求最多的是電信商,所有員工都是透過手機執行任務。至於其他產業需求較多的是VDI方案,工研院研發的VDI技術相較於外商方案更具成本優勢,企業得以透過單一閘道器來實現。「須強調的是,工研院以增進產業創新發展為目的,研發產品是為了進行技術轉移或獨立出新創公司,並非要以工研院的資源來和現有廠商競爭。目前DMI研發計畫朝向成立新創公司發展,預計明年(2023)會正式成立提供產品與服務。特色就是把手機、桌機的虛擬化技術整合,達到安全存取與資料不落地。」
推動中堅企業強化資安防護服務
物聯網場域中落實零信任控管模式,最基本措施須針對每次發起的連線驗證身分與配置最小權限,聯網裝置也須從開發階段就融入安全設計(Security by Design),藉由硬體安全晶片防止偽冒。儘管裝置製造商亦認同安全設計的理念,目前普遍遇到的障礙是增添安全晶片成本過高,難以普遍落實,前述提及工研院研發的多層次白名單管控機制即可解決眼前困境。
具體的做法是,在零信任概念下將每個聯網裝置都視為存在風險、須持續監控,於裝置韌體中安裝代理程式進行白名單規則管控,針對無法安裝的設備機台,亦可在網路中部署白名單設備,解析通過的流量來進行管控過濾。卓傳育說明,更重要的是無需人為監控,即可確保場域的工作流程只能做正常的事,只在出現異常時觸發警告,讓維運人員判斷是否違反規則。
此外,為協助本土企業接軌國際市場、因應日漸增多的產業標準規範,經濟部工業局參考德國「隱形冠軍」定義,依台灣產業特性針對具備適當規模、基礎技術紮實、在特定領域擁有技術獨特性及關鍵性、高度國際市場競爭力的「中堅企業」族群,委託工研院承辦「新興物聯網資安示範推動計畫」及「跨域資安強化產業推動計畫」,整合資安成熟度輔導能量,推動中堅企業強化資安防護服務。主要方式是藉由「企業資安成熟度評級服務」結合資安顧問訪查,協助企業釐清自身資安風險,並透過資安檢測、主題式研發場域驗證補助等機制,扶植企業建立國際水準的資安防護,並且輔以企業資安人員的技能培訓課程,持續推動產業增強資安韌性。