訂閱電子報∣ 友善列印字體大小 文章分享-Facebook 文章分享-Plurk 文章分享-Twitter
數位時代 融合創新 - IT與OT加速融合 資訊保安不容忽視
獲取專題報導零時差!立即訂閱電電公會電子報。

為了能夠更有效地在市場競爭,IT和OT這兩個傳統上彼此獨立的運作環境正在融合,愈來愈多的產業已開始藉由各種IT如工業物聯網(IIoT),將網路和數位通訊整合到OT之中。

資安業者Fortinet指出,這些變化並非沒有風險。因為成功鎖定OT ICS、監控和資料擷取控制系統(SCADA),甚至針對連接設備(例如閥門、量表或交換機)的網路攻擊,都可能會對關鍵基礎設施和服務、環境,甚至是人命,造成破壞性的後果。

其他的問題包括無法正確辨識、測量和追蹤風險,可能影響和中斷客戶相關的IT系統,以及引發災難性事件導致無法營運中斷。組織內部缺乏安全專業知識,更讓前述問題變得更加複雜。

值得注意的是,IT+OT可能引發資安的可能,不只是來自於企業自身的內部員工,還包括將資訊安全服務委外的第三方供應商。因為電腦產業面臨的網路安全技術差距日益擴大,加上許多資訊安全專業人員,其實並沒有OT環境的實際經驗。

根據Fortinet調查,將近90%有連線OT基礎架構的企業組織,其監控和資料擷取與工業控制系統(SCADA / ICS)架構,都曾遭遇資訊安全問題,其中包括病毒( 7 7 % ) , 內部(73%)或外部(70%)駭客,敏感或機密資料外洩(72%),以及缺乏設備驗證(67%)。

值得注意的是,受調查的企業中,超過三分之一現在擔心的是,對連線的物聯網設備預藏的後門漏洞,因為硬體與架構上的限制,使用者通常無法在物聯網設備安裝防毒軟體等資安工具。更重要的是,當某個品牌產品的弱點一旦被攻破,其他品牌的同類型產品通常也
會很快地淪陷,這是由於同類型物聯網設備經常共用韌體模板,韌體的高度同值化容易導致「一點攻破,全網淪陷」的資安問題。

常見入侵物聯網設備的途徑
依據非營利組織OWASP ( OpenWeb Application Security Project)於2018年統計的IoT TOP 10攻擊指標中,入侵物聯網設備的主要途徑包括:

1. 不安全的密碼:由於一般使用者通常不會重設密碼,讓攻擊者利用預設密碼或常見的弱密碼問題,即可輕易的取得物聯網設備的控制權限。

2. 韌體(Firmware)漏洞:一般使用者通常不會主動更新物聯網設備韌體,讓攻擊者可透過舊版韌體漏洞或廠商所遺留的工程帳號入侵。

3. 網站應用程式漏洞:網站應用程式的漏洞,讓攻擊者可以用來竊取登入憑證或推播惡意的軟體更新。

如奇虎3 6 0 旗下的網路安全研究實驗室(Netlab)在2019年8月30日指出,有攻擊組織的行動,是利用利凌企業DVR產品的NTPUpdate零時差漏洞,傳播Chalubo殭屍網路。到了2010年1月,Netlab發現更多攻擊組織的活動,是利用利凌企業產品的FTP,與NTP零時差漏洞,散布FBot、Moobot殭屍網路。這也意謂著,在這半年期間,這些零時差漏洞已接連被多個攻擊組織利用。

根據Netlab 360的說明,利凌DVR存在三大嚴重漏洞,包括:登入帳號密碼寫死(hard-coded)、命令注入漏洞,以及任意檔案讀取漏洞。利凌企業雖然隨即發布網路產品資安漏洞公告,說明資安風險,並通知用戶、主要代理商與安裝商,警告此事件的風險,估計影響裝置數量達13,062台,所幸產品韌體也已迅速更新,為了確保開源程式碼的潛在漏洞,將再加上一層防護,透過AES256的加密,以更進一步確保韌體的加密性,並且驗證是否為自家韌體,以預防攻擊者進行反組譯分析。

除了影像主機之外,常見的無線AP分享器也屬於物聯網設備中的高風險族群。以近期Ruckus Wireless管理頁面的Cross-Site Scripting漏洞為例,問題包括設備管理網頁未限制連線IP,可利用暴力破解工具針對無法修改的預設帳號進行攻擊,甚至無須滲透工具的輔助,利用產品預設帳號密碼即可輕易地進入設備的管理頁面,讓攻擊者取得該裝置的完整控制權。

IT 及OT 存在技術與文化的差異
由上述案例中可以得知,要避免物聯網設備的安全問題,除了管理者需作好安全設定外,更相當依賴設備商漏洞修補的速度。建置安全的IT+OT環境也成為當務之急,才能夠有效降低設備被入侵的風險。

根據CIO Taiwan 報導, 法國施耐德電機(Schneider Electric)全球資安長Christophe Blassiau指出,IT擅長處理大規模迅速地感染或清除OT的環境,就像類似WannaCry和NotPetya這些勒索軟體,OT和IT的專家們需要共同合作,以保護工廠和企業關鍵基礎架構。

但想要解決IT與OT融合後的資訊安全問題,並不是簡單地將OT領域融入IT資訊安全領域就能解決,因為兩個領域存在著許多技術上與文化上的差異。

如監控與資料蒐集系統(SCADA)、製造執行系統(MES)和控制器之類的營運用系統,通常會被視為來自不同供應商的獨立設備進行管理,企業組織甚至無法管控更新修正系統的方式,導致IT人員很難維護這些網路的資訊安全要求。

IDC全球IT與OT融合策略研究實作領域研究經理Jonathan Lang表示,IT人員非常關心資訊安全,而OT人員則是更關心設備的可用性。因為生產需求的變化非常快速,往往需要即時調整生產設備,也導致OT人員會更擔心IT人員因為資安問題而插手干預時,導致生產力下降的問題。

任命實質能夠承擔責任的資安長
為了拉近IT與OT之間的資訊安全差距,企業應透過能夠一體管理解決IT與OT問題的高階主管,將雙方工作人員召集起來,宣告共同承擔起資訊安全責任。

目前已有部分企業組織已針對IT與OT資訊安全環境的管理議題,創出一個實質且必須承擔責任的資安長(CISO)職位,並與負責管理工業自動化控制系統(IACS)或SCADA系統營運權限的管理者之間,建立起對應的溝通管道。兩者要經常交換意見,提出網路資訊安全威脅報告,以反應對IT與OT兩種環境的資訊安全威脅及後勢分析。

施耐德電機則是採取了不同的方法。他們在每個工廠中建立起由200名左右網路領導者所組成的人際網路團隊,聯合支援保護、監視與檢測相關技術,並且透過網路專家對營運中心擴大資訊安全措施。美國系統網路安全協會(SANS Institute)也認為,全體OT人員均應被納入所有與資訊安全意識相關活動與教育計畫當中,而不僅僅是被當成一般企業員工對待。

企業必須針對IT+OT融合的環境,重新制定資安策略,而且加大IT與OT融合對風險承受度的重要性,其實現今的技術已可支援到位,只要企業能夠對資訊安全做到應有的重視,IT+OT融合可能遭遇的資安問題,仍然可以避免。

獲取專題報導零時差!立即訂閱電電公會電子報。