製造業自建5G專網　小心資安風險隨之而來(下)

趨勢科技設計了一個模擬工廠實驗來發掘建置5G專網時可能遭遇的資安風險，模擬了一個煉鋼廠環境來研究它可能面臨的網路攻擊。以下是這項實驗發現的三大重點：

1. 開放式5G專網系統有四個可能遭駭客滲透的路徑。

2. 其核心網路（CN）有三個訊號可能被攔截的點。

3. 核心網路還可能被當成跳板來攻擊生產線。

接下來，詳細說明每一個重點。

四個滲透路徑

企業務必了解一點，當採用開放式硬體和軟體來建構5G專網的核心網路（CN）與無線存取網路（RAN），那就會跟開放式IT環境一樣面臨到系統漏洞的風險。

近期許多企業都在嘗試進行一些概念驗證（PoC），目的是希望未來能全面打造其5G專網。不過，僅有很少數的企業將網路資安也列入其檢驗的清單當中。由於這些5G專網所採用的是一般通用伺服器與開放原始碼軟體，因此這樣的網路基礎架構在建置時如果沒有仔細考慮到資安問題，很可能含有嚴重的漏洞。假使生產線與行動通訊系統之間又存在著錯綜複雜的交互連結，那就會很難套用修補更新，因為企業很可能會為了維持生產線運作而犧牲資安。因此，企業必須注意那些可能潛藏的風險（圖1）。

核心網路主機伺服器

未來，隨著5G專網越來越普及，可預料的是企業為了節省成本，很可能會使用一般通用伺服器來當成核心網路主機。所以在此次的模擬工廠實驗當中，同樣也使用一般的x86伺服器來當成核心網路的主機。由於開放基礎架構將是未來的潮流，因此企業有必要特別防範核心網路主機本身遭到漏洞攻擊。這是企業在建構5G專網的核心網路時需要特別注意的問題，因為Linux作業系統的使用者和系統漏洞越來越多。

虛擬機器（VM）和容器

容器和其他虛擬化環境的漏洞，同樣也必是必須考慮的重點，有一種叫做「容器跳脫」（Container Escape）的攻擊手法是經由容器來滲透主機。容器技術在5G核心網路當中扮演著很重要的角色，而容器映像一般大多是由開放原始碼套件（如SQL資料庫引擎及程式語言）所建構。所以，企業在使用這些套件時也應像使用外部下載的程式碼那樣小心謹慎，務必搜尋一下程式庫的作者，並且檢查一下內容來確定裡面沒有惡意程式碼。由於建置5G專網時，必須與系統整合商密切合作，因此企業（設備持有人）必須主動要求系統廠商與系統整合商要在容器環境當中建置一些資安措施。

網路基礎架構

另一個駭客可能滲透的路徑是經由網路基礎架構，包括路由器和防火牆。5G專網會在核心網路當中用到交換器、路由器，以及其他網路設備。這些設備的漏洞管理與防範，就跟其他任何IT系統一樣重要。

基地台

基地台相關的資安研究目前還有好長一段路要走，但在這次的實驗當中已經發現到基地台的漏洞，並將漏洞通報給廠商，廠商表示該漏洞僅出現在專為測試而販售的機型，並未出現在一般銷售的產品中。不過，即使是概念驗證環境也可能含有重要的文件和智慧財產，概念驗證環境也應維持與線上生產環境同樣重要的資安等級。因此，強烈建議基地台設備持有者仍須進行一些滲透測試，以確保基地台擁有足夠的安全防護，同時也確定線上生產環境沒有類似的問題。

以上就是這次實驗發現的四個駭客可能滲透的路徑。這些5G專網的漏洞也許不一定會嚗露在網際網路上被駭客利用進行攻擊，但必須切記的一點是，隨著5G專網的基礎架構越來越開放，這些漏洞與攻擊手法就會隨著廣泛流傳。

三個訊號可能遭到攔截的點

一旦駭客經由前述路徑滲透到核心網路內，接下來就能發動下一階段的攻擊，也就是攔截及篡改資料。在實驗中，發現負責處理使用者資料的用戶層（User Plane）有三個訊號攔截點。

如圖2所示，第一個點位於核心網路與網際網路之間的連接（圖中標註1的位置）。這是核心網路與外界連接的後端線路。第二個點位於SGW與PGW之間的通訊（圖中標註2的位置），這是使用者資料的伺服閘道（Serving Gateway，簡稱SGW）與對外連線的封包資料網路閘道（Packet Data Network Gateway，簡稱PGW）之間的連線。第三個點（也就是最後一個點）位於基地台與核心網路之間（圖中標註3的位置）。這裡是資料從用戶設備（UE）進入核心網路用戶層的地方。在這幾個點上，如果資料是以明碼方式傳輸而未加密的話，就有可能遭到攔截或篡改。

企業可採用一套具備加密的通訊協定，或者建置IPsec或VPN來有效防範這項風險。不論採用哪種方式，IT系統管理員都必須謹記，5G系統本身預設並不提供加密。如果駭客真的成功利用了這幾個攔截點，他們就能對生產線發動攻擊。

六種攻擊手法

在研究過程中，總共發現了六種攻擊生產線的手法，參見表1。

表1中的前三種手法（MQTT挾持、Modbus/TCP挾持、PLC韌體重設）是藉由篡改核心網路內的使用者資料來造成實體損害，這是我們研究發現的六種攻擊手法當中特別需要注意的三種。第四和第五種手法（「DNS挾持」與「遠端桌面攻擊」），不會直接導致實體損害，但可用來竊取機密資訊或提升權限。第六種方法（SIM卡偷換）專門攻擊用戶設備。SIM卡是IT系統管理員必須管理的一種新的資產，因為這是行動通訊系統特有的資產。建議系統管理員應制定一套策略來防範SIM卡遭到惡意濫用。

接下來，看一下一種可能的實際攻擊情境：藉由Modbus/TCP挾持來關閉警示。看看當駭客利用這些方法來發動攻擊時有可能造成多大的實際損害。

攻擊情境：藉Modbus/ TCP挾持來關閉警示

圖3顯示此一攻擊情境的示意圖，駭客的目標是要破壞製造流程，駭客可攻擊核心網路主機伺服器的漏洞來進入核心網路。

接著，駭客利用核心網路做為跳板，發送不當的Modbus/TCP指令到連接某個溫控閥門的可程式化邏輯控制器（PLC）。如此就能干擾控制閥門的運作，使得煉鋼廠某個流程環節的溫度設定超標。這樣就可以干擾製造流程，但駭客能做的還不只這樣，他們還可以對核心網路動手腳來造成更大範圍的損害。

對煉鋼廠來說，溫度的嚴格控制非常重要，因此生產線上的溫度隨時都有感測器在嚴密監控，這些溫度資訊會傳送到人機介面（HMI）。如果HMI收到的資料超出了預先設定的範圍，HMI就會發出警示。

但是，駭客可以利用核心網路為跳板來攔截來自感測器的封包，並篡改其中的溫度值，讓溫度落在正常範圍內。接著，駭客篡改過的資料再傳送至系統管理員的HMI，其效果就等於是將警示關閉。此時，生產線上的溫度可能已經非常熱，但系統管理員卻渾然不知情，所以不僅製造流程，就連生產出來的產品也會受到影響。

從駭客的角度看事情

當企業在思考防禦策略時，很重要一點是要從駭客的角度來看事情。換言之，若能了解駭客為何會花費力氣去攻擊核心網路，就能設計出有效的防禦。正如先前提到的，核心網路是所有資訊處理的基礎，因此對製造流程的機密性、一致性與可用性有直接的影響（參見圖4）。所以，對駭客而言，該系統有多種可能的攻擊手段，例如竊取資訊或造成破壞。

5G專網與其他網路基礎架構一樣，一旦建置完成並開始運轉之後，就無法輕易改變或翻新。此一基礎架構對駭客的吸引力在於：他們可經由此處暗中深入到其他網路，而且有充分的時間讓他們完成最終目標。駭客隨時準備投入大量資源來駭入這套系統，因此企業一旦遭到攻擊，很可能就會遭受嚴重破壞。

將資安融入5G專網設計當中

所以，企業機構若想要建置自己的5G專網，最好採取「將資安融入設計當中」的作法，從中長期的角度來規劃資安措施，並預先設想駭客有可能滲透到系統內部。趨勢科技建議採取以下三項作法：

1. 在核心網路內部實施強制加密與認證∕授權

2. 在概念驗證（PoC）階段就確認安全性

3. 建立一套能夠迅速偵測異常狀況的架構

在核心網路內部實施強制加密與認證∕授權

根據研究顯示，核心網路是一個新的潛在攻擊領域，是5G專網建置上的一項資安風險。核心網路是建置行動通訊系統的基本要素，也是負責處理使用者資料的重要單元。為了確保核心網路的安全，首先應了解哪些是駭客可能攻擊的區域。經由測試發現，駭客有四個滲透路徑、三個訊號攔截點，以及六種攻擊手法，如表2所示。

除了SIM卡偷換之外，所有前述攻擊手法都是從攔截核心網路內的訊號下手。因此，要在技術上有效對抗這類攻擊，主要是需靠通訊加密以及認證與授權的管理（包括SIM卡在內）。更確切一點，就是採用支援加密的通訊協定、安裝EDR、XDR或其他偵測及回應工具，以及妥善管理SIM卡以確保每個SIM卡都有對應的裝置。

這些全都是零信任（Zero Trust）資安的關鍵要素，因此也可以說，在設計5G專網的核心網路時，應該考慮到零信任的資安方法。當然，如果系統本身就存在著漏洞，加密也可能被駭客破解，因此確實消除系統的任何弱點依然非常重要。

在概念驗證（PoC）階段就確認安全性

企業機構若想建置5G專網，首先必須在設計階段就釐清自己的資安需求，而且必須與系統整合商密切配合來做到這點。預料未來將有越來越多企業開始投入概念驗證，希望未來能打造一個完全的5G專網。不過，企業卻很少在概念驗證階段就確認好資安的需求。 5G專網是加快IoT部署的基礎，然而就像在大樓蓋好之後就不會再動到地基一樣，最好在一開始就將資安融入基礎架構當中，而非事後再來添加。正因如此，建議在概念驗證階段就應該將本研究中發現的風險列入考量（參見圖5）。如果能在設計階段就阻絕駭客可能滲透的路徑與訊號攔截點，勢必將大幅降低資安風險。

建立一套能夠迅速偵測異常狀況的架構

隨著駭客攻擊日益複雜且精密，從內部採取一些措施來防範這些風險將更加重要。隨著數位轉型的腳步加快，企業網路的邊界已越來越模糊、越來越複雜。駭客會試圖利用每一個可能的路徑來滲透系統並找到網路內的資源。在駭客的眼裡，工廠與生產基地都是有待挖掘的寶藏（參見圖6）。

今年，美國大型輸油管營運商Colonial Pipeline因遭到駭客攻擊而停止營運五天。根據報導，由於該公司的IT系統遭到攻擊，所以他們閉了控制系統來防止損害擴大，而這項作法卻導致營運停擺。

就像這樣，駭客經常透過IT系統來攻擊控制系統。

所以，如果無法即時掌握系統當前的狀態，或可能遭遇的威脅，就無法掌握攻擊可能的損害範圍。許多製造業都面臨了相同的問題：隨著系統越來越複雜，網路攻擊的手法也變得複雜。要對抗這類攻擊，很重要的就是能隨時監控整套系統並快速偵測任何變更。 因此，建置一套能夠涵蓋各個層面（包括IT、OT及CT）的XDR將有助於大幅降低企業風險。

結語

以上就是趨勢科技研究並提出的一些資安建議。透過這系列的上下集文章，完整探討了製造業在建置5G專網時所可能面臨的網路資安風險，並根據趨勢科技的模擬工廠實驗，提供一些建議作法來防範這些風險，希望這份研究對於正在打算建置5G專網的企業機構能有所幫助。

（原文出處：Security Risks with Private 5G in Manufacturing Companies Part. 3、Private 5G Security Risks in Manufacturing Part 4）

＜本文作者：趨勢科技全球技術支援及研發中心/本文出自趨勢科技資安部落格，是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作，發掘消費者及商業經營所面臨層出不窮的資安威脅，進行研究分析、分享觀點並提出建議。＞