2023-08-21
溫溫
280
✅穩定規格多、資訊多的換線節奏 ✅掌握模具損耗、把關品質符合車廠要求 ✅讓計畫趕上車廠的滾動式需求變化 ✅即時獲取現場資訊不斷鏈
第7彎:趨勢篇 — 導入機聯網前該知道的風險!?|當網絡連上了,資安問題便出現了
https://www.digiknow.com.tw/knowledge/64dd8f35cfe4f?dga=61c959e4f2876
---
在汽車零件製造業工廠生產中,因具有少量多樣特性以及製程複雜性,現場使用了很多的半自動或全自動生產機台,我們在前面幾集有討論到在生產製造方面很多的管理面向,探討這些議題的目標不外乎就是如何提高生產效率、降低營運成本等等,為了這些目的,iOT、工業4.0、智慧製造等更是成為如今的顯學,為了實現生產現場智能監控和數據收集,與之關聯的機聯網系統、MES系統也是成為生產管理標配,而為了這些系統的應用,必須收集生產狀態、品質狀況、設備參數等資訊,上傳到這些營運管理系統,如MES再搭配可視化,接著執行大數據分析,進而達到我們最終想要的智能化,但在達成這些目的的過程中,OT環境的變更是必然的,那在OT環境變更的同時,如何保證我們的資安,就是本次章節想要討論的主題
在早期的OT製造場域,幾乎全部都是封閉式環境,因為可能僅需幾台機台,就可以是一整個產線,甚至有可能在這類的OT場域根本沒有網路的概念,因為根本不需要連到外部網路,有的僅是內部幾台設備的對接而已,這種全封閉式環境,看似相當安全,就好像是古代歐洲城堡,又或是動漫進擊的巨人那樣,四面環繞高聳堅實的城牆,能夠完美抵禦外敵入侵。但這情境下,外敵還是有辦法入侵,歷史與動畫也都已經告訴我們了致命風險,就是外敵偽裝自己人,再從內部進行破壞,例如知名的木馬屠城記,或者動畫火影忍者大蛇丸偽裝成風影入侵木葉村,最終殺害第三代火影。而更貼近台灣人的例子應該就是台積電在2018年的WannaCry勒索病毒攻擊事件,起因即是內部機台的病毒感染,而後造成了數十億元的損失,這些血淋淋的例子都在告訴我們不可輕忽OT場域的資訊安全。
有了這些即使是在封閉式環境仍遭受攻擊的著名的案例,很多OT人員依舊不這麼重視資安,這一部分原因也因為OT所使用的一些協定,或是OT的所使用的系統,與容易遭受攻擊的IT環境是完全不同的生態環境,大多的OT人員普遍的認為,沒有病毒會攻擊PLC、SCADA系統或是HMI系統,即使是早在2010年,就出現了第一隻會攻擊PLC & SCADA系統的震網病毒,但大多數的人依舊會認為那是國家級層面的攻擊,離我太過遙遠。
----------------
1.資料採集與監視系統 (supervisory control and data acquisition,縮寫為SCADA)
2.可程式化邏輯控制器(programmable logic controller,簡稱PLC)
3.HMI是Human Machine Interface 的縮寫,人機接口,也叫人機界面
4.2012年,《紐約時報》報導,美國官員承認這個病毒是由美國國家安全局在以色列協助下研發,以奧林匹克網路攻擊行動(英語:Operation Olympic Games)為計劃代號,目的在於阻止伊朗發展核武
------------------
【↓↓↓立即報名↓↓↓】
在過去相較IT的病毒威脅、駭客攻擊等,OT場域確實較少遇到。比較少的原因我認為就是一個CP值問題。在IT環境下,網路通達,Windows又占大宗,只要寫一隻for Windows環境的病毒,就可以攻擊到很多地方,只要廣撒下去,100間裡面有一間成功勒索到,駭客可能就回本了,OT環境則相反,環境封閉,使用的系統又相對小眾,攻擊難度增大,對駭客來說CP就低了,所以攻擊事件偏少,就像到現在很多人還是認為MAC不會中毒一樣。
但由於現在我們目標是提高產能、降低成本,要導入智慧工廠、機聯網等,甚至可能要跟ERP做整合,而在這些動機的背後,OT環境連上網路,與大宗的系統,比如說windows或Linux等做相關整合,已是無可避免,對駭客來說,這代表了攻擊更加容易,而單價十分高昂的機台設備,不輕易允許停工的產線,都是提高勒索成功的可能性,也提高了駭客攻擊的動機。特別是這系列的決戰氣零終點線,我們著最多的重點就是「如期達交」,如果有停工的狀況,想必不只影響交期,更是有損企業信用及商譽。
為了因應機聯網的來臨,很多客戶開始會遵循法規來建立自己的環境,可能會有人提說OT工控製造現場會遵循的IEC 62443,也有人會提汽車產業鏈遵循的ISO 21434,還有2021年上路的聯合國法規R155,要求車廠建置網路安全管理系統,這些法規涵蓋的面向十分廣泛,就像ISO 21434的管理面相跟精神,就引用了資訊安全管理系統 ISO 27001、風險管理系統ISO 31000、品質管理系統 ISO 9001 和道路車輛功能安全 ISO 26262 等之相關要求,由此可見汽零產業要遵循的法規真的太多,這時候有的客戶就會問,導入這麼多的法規,既費時又費力,到底在機聯網導入的同時,要如何做才能提高我們的資訊安全? 這時候我會建議可以引用NIST CSF的資安框架,簡單來說,這個資安框架其實就是一個5乘5的矩陣,橫軸分別是NIST CSF的五大類別,項目包括:識別、保護、偵測、回應、復原,並且加入了以資產類別畫分的縱軸,項目分別是:設備(Devices)、應用程式(Application)、網路(Network),資料(Data)與人員(User)。
-------------------
NIST Cybersecurity Framework ( CSF )於 2013 年美國國家標準技術研究院( NIST )根據現有的標準與指南,訂立一套可供相關單位採用的資安框架,藉此強化網路安全。主要強化身分驗證與識別、資安風險的自我評估、管控供應鏈的網路安全與弱點察覺的部分。
-------------------
透過這個框架,我們可以把現在公司內部有甚麼,一個一個填上去,這樣一來,我們就可以清楚直觀的看到,企業內部那邊防禦是有缺漏的,當把自己有的填進去之後,空白的部分就是企業需要補強的部份,那我們現在可以協助將這些空格先填入一些常見的方案,供客戶來做一個比對,首先我們從最簡單的開始填空,也就是Protect (保護)這一列,這一列是最多客戶有買相關的產品,比如說對橫軸的設備,這邊就要針對終端的設備比如說製造現場的電腦,或是盤點用的PDA做行動裝置保護,常見的應用就比如說防毒(Antivirus),APP層的保護常見的則是WAF(網頁過濾),或是SPAM(郵件過濾),網路的保護會應用到的就是常聽到的防火牆(FW)、或是IDS(入侵偵測)跟IPS(入侵防禦),數據的部分會做就是資料加密(Encryption),或是DLP(資料外洩防護Data Loss Prevention),最後針對使用者的部分,就會做進出管理(可以講台積電進廠手續),或是多因素驗證(MFA),又或是基礎的資安意識提升訓練。看到這邊,如果空格幾乎都有填上,那屬於事前防毒的LV1已經成功升級了。
再來要填的是屬於事前防護的Identify (識別),這部分據統計,做的人比LV1少了一點,屬於識別常見的有偏向設備的弱點掃瞄、滲透測試、偏向APP的源碼檢測、偏向網路的網路識別、威脅情資、身分驗證等,這些都是算相對常見會做的措施,比如很多上市櫃公司,就都會被要求定時要做弱點掃描,再來數據的部分,資產盤點跟分類也是常被稽核要求的一環,最後要提的是社交攻擊,屬於台灣名產的詐騙,從古早的電話詐騙,到現在的網路詐騙,各種型態的詐騙應該在華人圈都會是先發生的地方,所以社交攻擊演練應運而生,我們公司內部之前也針對某些部門做過幾次社交攻擊演練,現在想想簡直不寒而慄,我就不多提了,總之,如果這邊也都有把空格填滿,那恭喜成功進階到LV2
再來要回來看的是同屬於比較多人會做的LV1,但屬於事後的範疇,就是橫軸上的Recover (恢復)
,這個講白了就是備份,有沒有做好完善的備份,且要符合備份三二一的原則,甚至要做到備援,以防產線系統被攻擊了,如果沒有備援,這時候產線可能會停擺,導致莫大的損失,這就好像你被攻擊了之後,有沒有辦法把血補回來,沒有做好備份,是沒辦法回血的!
最後我們最後要填的是屬於事中的空格,也是我認為的LV3,這裡偵測跟回應我們會一起填入,首先我們可以填入這兩年開始熱門的EDR(端點偵測與回應)、NDR(網路偵測與回應)以及SOC(資安戰情中心),這幾個是涵蓋了偵測與回應的兩個面向,這裡面EDR的普及率在這兩年更是急速上升,EDR有些人會誤會跟防毒是相似的東西,但其實不然,簡單來說,防毒的主要原理是病毒資料庫,端點的檔案在經過病毒資料庫的比對後,符合資料庫內容的檔案資料庫內容的檔案就會做出相對應的處理,但EDR則是行為模式分析,如果偵測到你的行為是惡意的,就會做出相對應的處理,打個比方,現在很多上網行為都會被記錄並回傳,被用於做大數據分析,以便做精準投放廣告,這類紀錄並回傳的資料的行為,並不會被認為是惡意行為,但如果是側錄了鍵盤key的密碼,並回傳到某些國家去,那就會被偵測為惡意行為,再來要填的是屬於偵測的漏洞修補與管理,這屬於前面弱點掃描的延伸,還有相對基礎的機房環境管控,至於回應的部分可以填入SOC的核心-資安事件管理平台(SIEM),以及資安事件自動回復(SOAR),這兩個在越來越看重資安的現在,也是開始有越來越多的人討論,至於螢幕前的各位,不知道是否有將這資安矩陣填滿了嗎? 填完之後應該也可以看出,到底公司內是只有做到基礎的資安防護,還是也開始思考了企業的資安防護策略,但不得不說,資安是一條很長的路,資安防護也不是 0 或 1 ,而是0~100%的過程及完成性,企業應針對現況思考資安策略,現在做了哪些? 作為一個資訊人員,也由衷的希望,企業在擁抱機聯網,工業製造4.0等新技術的同時,也要一併考量資訊安全的重要性。
行業開麥拉
544 Followers
延伸閱讀
行業開麥拉
544 Followers
我們使用本身的Cookie和第三方的Cookie進行分析,並根據您的瀏覽習慣和個人資料向您展示與您的偏好相關的廣告。如欲瞭解更多資訊,您可以查閱我們的隱私權政策。