近年來轉型為創新整合服務提供商的華電聯網,在5G智慧交通車聯網等方面頗有斬獲,資安服務亦隨著應用場域擴展延伸,除了提供軟硬體解決方案,政府、金融等深受法規規範須執行的資安健診、弱點掃描、滲透測試、社交工程演練、SOC監控服務,以及顧問團隊協助導入ISO 27001管理制度,持續跨足至OT、IoT(物聯網)、ICS(工業控制系統)、公有雲資安、資安戰情儀表板、自動化聯防等方面,期能透過「一站式資安服務」滿足各產業資安方面的需求。
政府、金融業多年來因應法規要求須定期執行資安健診、弱點檢測、滲透測試等項目,以降低風險性,但華電聯網產品與資安處副總鄭炤仁實際接觸客戶的經驗發現,落實程度方面仍有很大的進步空間。至於其他產業除少部分高科技製造業外,對於資安的相關工作仍停留在很基礎的認知或缺乏完善的制度與管理,人員配置上也多仍以資訊部門兼任為主,員工的資安意識非常缺乏,大部分仍是觀望與僥倖的心態居多。
鄭炤仁認為,欲提升企業自身資安體質,首要是建立共識,讓高層也認同資安為必要工作的環節。華電聯網顧問團隊則可協助從流程方面著手,其次是針對風險環節引進技術工具協助控管,並且持續提升員工資安意識。進而實施滲透測試等方式檢驗,參照資安業界一致認同的MITRE ATT&CK框架評估防禦技術不足之處,逐年提高資安防護力。
資安制度、技術、教育完整服務
考量規模不大的企業資源稀缺難以增進資安防護,經濟部工業局委託財團法人工業技術研究院及中華民國資訊軟體協會共同推動資安檢測診斷服務,涵蓋企業資安評級、主機系統弱點掃描、資訊設備組態檢測、網路封包側錄分析、惡意程式或檔案檢視、防火牆連線設定檢視等六大項。今年(2022)年初立法院三讀通過「產業創新條例」修正案,把資通安全產品或服務納入抵減項目,於2022年至2024年投資資通安全產品或服務,其投資支出於100萬元以上10億元以內,得以當年度5%或三年內3%比率抵減其應納營所稅額,提供了誘因與配套政策鼓勵企業做好資安防護工作。
此外,隨著這幾年上市櫃公司不斷傳出爆發資安事件,金管會在2021年開始修正相關法令,要求上市櫃公司依「上市上櫃公司資通安全管控指引」提及的政策與管理、技術、認知訓練三大面向,由企業依其產業特性、規模大小及資安風險適度採行,強化資安防護與管理機制,以符合新版內控制度處理準則。
華電聯網產品與資安處資深協理楊仁吉表示,在「資安即國安」的政策推動與法規要求下,資安需求呈現爆炸性成長,華電聯網因應市場與企業需求,設計了一站式資安服務來協助,完整涵蓋制度面、技術面、教育面。
他進一步說明,管理面的制度為輔助導入ISO 27001、ISO 27701等國際認證,以協助企業持續改善與精進。技術面則提供安全性檢測,例如弱點掃描、滲透測試、源始碼檢測、資安健診,以及運用防毒軟體、網路∕網頁防火牆、入侵偵測與防禦、APT防禦等實作保護措施,除此之外,華電聯網更推出資安管理服務,結合雲端情資、網路閘道、網路內網與端點,協助企業洞察揭露的風險、消除已知的威脅、發現異常的行為、保護端點的安全,目的是協助企業建立早期資安預警機制。至於教育面,則是為提高企業整體資安意識進行教育訓練,結合顧問與系統整合商的實際經驗,讓員工了解現代化攻擊慣用手法,同時也可協助企業進行社交工程演練,強化員工對於釣魚郵件的警覺。
SEMI E187標準建構強化安全性
針對OT、物聯網(IoT)場域的安全風險與挑戰,華電聯網產品與資安處協理孫嘉瑜觀察,工廠的機台得仰賴廠商檢修,若供應鏈資安未能妥善控管,攻擊者可先滲透委外廠商再潛伏等待檢修時橫向移動回工廠,駭客利用產線持續營運中的老舊作業系統,便可輕易地進入工廠環境,進而從OT擴大感染範圍至IT環境。
多數工廠至今仍存在許多的老舊系統,不僅欠缺端點防護機制,甚至連漏洞更新修補都難以安裝,唯恐強制重新開機造成產線中斷,只是如此一來極可能被攻擊者輕易地滲透,達到執行加密勒索、竊取機敏資料的目的。另一個常見的風險為身份安全,包含人員與設備都須採最小權限配置、可視化資產管理,已成為防範機敏資料外洩風險的基本作為。
華電聯網產品與資安處副總鄭炤仁指出,風險評估是企業了解自身資安體質的重要依據,然而風險的範圍與評估的方式與法規、企業管理政策、營運策略目標息息相關,須動態檢視與落實持續改善方可展現效益。
由台灣主導的半導體產線設備資安標準規範(SEMI E187),讓製造商得以遵循設計出符合半導體製造業要求的設備。孫嘉瑜說明,SEMI E187主要定義晶圓設備供應廠商必須符合四大要求,包含機台設備電腦作業系統、網路安全、端點保護、資訊安全監控。
例如作業系統不得為停產或終止維運的版本,並且須即時更新修補程式;網路安全方面須依據組態管理準則監控高風險的TCP/IP通訊行為;端點保護關鍵是提升安全機制,運用白名單、防毒軟體、存取控管防範惡意程式感染,輔以弱點掃描及早發現破口;前述機制完成後還得持續監控,蒐集所有設備產生的日誌資料分析,避免惡意活動內部擴散卻不自知。
善用工具遵循IEC 62443標準規範
另一項製造業勢必得關注的是工控標準規範IEC 62443,其為針對工業通訊網路、網路與系統的安全性所制定的國際標準,可藉此設計與評估自動化系統,以提高網路安全性。
孫嘉瑜說明,華電聯網提供的Smart X IIoT資安解決方案,依據ISA-95標準定義IT與OT融合環境,主要監控Level 1到Level 3的OT層傳輸封包,以非侵入式的交換器封包複製方式蒐集,遞送到網路感測器,內建具有專利行為分析的引擎,可辨識資產並深度解析漏洞、威脅手法,最終運算結果可透過內部部署系統或雲端控管平台方式呈現,掌握資產活動行為指標,持續辨識漏洞、惡意活動。藉由ISO 27000系列國際資安管理標準和IEC 62443建構服務框架,企業便能符合持續改善的管理循環,逐步提高IT/OT資安成熟度。