第7彎：趨勢篇 — 導入機聯網前該知道的風險!?｜當網絡連上了，資安問題便出現了

↓↓↓【1頁式簡報下載】↓↓↓

第7彎：趨勢篇 — 導入機聯網前該知道的風險!?｜當網絡連上了，資安問題便出現了

https://www.digiknow.com.tw/knowledge/64dd8f35cfe4f?dga=61c959e4f2876

---

在汽車零件製造業工廠生產中，因具有少量多樣特性以及製程複雜性，現場使用了很多的半自動或全自動生產機台，我們在前面幾集有討論到在生產製造方面很多的管理面向，探討這些議題的目標不外乎就是如何提高生產效率、降低營運成本等等，為了這些目的，iOT、工業4.0、智慧製造等更是成為如今的顯學，為了實現生產現場智能監控和數據收集，與之關聯的機聯網系統、MES系統也是成為生產管理標配，而為了這些系統的應用，必須收集生產狀態、品質狀況、設備參數等資訊，上傳到這些營運管理系統，如MES再搭配可視化，接著執行大數據分析，進而達到我們最終想要的智能化，但在達成這些目的的過程中，OT環境的變更是必然的，那在OT環境變更的同時，如何保證我們的資安，就是本次章節想要討論的主題

在早期的OT製造場域，幾乎全部都是封閉式環境，因為可能僅需幾台機台，就可以是一整個產線，甚至有可能在這類的OT場域根本沒有網路的概念，因為根本不需要連到外部網路，有的僅是內部幾台設備的對接而已，這種全封閉式環境，看似相當安全，就好像是古代歐洲城堡，又或是動漫進擊的巨人那樣，四面環繞高聳堅實的城牆，能夠完美抵禦外敵入侵。但這情境下，外敵還是有辦法入侵，歷史與動畫也都已經告訴我們了致命風險，就是外敵偽裝自己人，再從內部進行破壞，例如知名的木馬屠城記，或者動畫火影忍者大蛇丸偽裝成風影入侵木葉村，最終殺害第三代火影。而更貼近台灣人的例子應該就是台積電在2018年的WannaCry勒索病毒攻擊事件，起因即是內部機台的病毒感染，而後造成了數十億元的損失，這些血淋淋的例子都在告訴我們不可輕忽OT場域的資訊安全。

有了這些即使是在封閉式環境仍遭受攻擊的著名的案例，很多OT人員依舊不這麼重視資安，這一部分原因也因為OT所使用的一些協定，或是OT的所使用的系統，與容易遭受攻擊的IT環境是完全不同的生態環境，大多的OT人員普遍的認為，沒有病毒會攻擊PLC、SCADA系統或是HMI系統，即使是早在2010年，就出現了第一隻會攻擊PLC & SCADA系統的震網病毒，但大多數的人依舊會認為那是國家級層面的攻擊，離我太過遙遠。

----------------

1.資料採集與監視系統 (supervisory control and data acquisition，縮寫為SCADA)

2.可程式化邏輯控制器（programmable logic controller，簡稱PLC）

3.HMI是Human Machine Interface 的縮寫，人機接口，也叫人機界面

4.2012年，《紐約時報》報導，美國官員承認這個病毒是由美國國家安全局在以色列協助下研發，以奧林匹克網路攻擊行動（英語：Operation Olympic Games）為計劃代號，目的在於阻止伊朗發展核武

------------------

【↓↓↓立即報名↓↓↓】

        在過去相較IT的病毒威脅、駭客攻擊等，OT場域確實較少遇到。比較少的原因我認為就是一個CP值問題。在IT環境下，網路通達，Windows又占大宗，只要寫一隻for Windows環境的病毒，就可以攻擊到很多地方，只要廣撒下去，100間裡面有一間成功勒索到，駭客可能就回本了，OT環境則相反，環境封閉，使用的系統又相對小眾，攻擊難度增大，對駭客來說CP就低了，所以攻擊事件偏少，就像到現在很多人還是認為MAC不會中毒一樣。

       但由於現在我們目標是提高產能、降低成本，要導入智慧工廠、機聯網等，甚至可能要跟ERP做整合，而在這些動機的背後，OT環境連上網路，與大宗的系統，比如說windows或Linux等做相關整合，已是無可避免，對駭客來說，這代表了攻擊更加容易，而單價十分高昂的機台設備，不輕易允許停工的產線，都是提高勒索成功的可能性，也提高了駭客攻擊的動機。特別是這系列的決戰氣零終點線，我們著最多的重點就是「如期達交」，如果有停工的狀況，想必不只影響交期，更是有損企業信用及商譽。

       為了因應機聯網的來臨，很多客戶開始會遵循法規來建立自己的環境，可能會有人提說OT工控製造現場會遵循的IEC 62443，也有人會提汽車產業鏈遵循的ISO 21434，還有2021年上路的聯合國法規R155，要求車廠建置網路安全管理系統，這些法規涵蓋的面向十分廣泛，就像ISO 21434的管理面相跟精神，就引用了資訊安全管理系統 ISO 27001、風險管理系統ISO 31000、品質管理系統 ISO 9001 和道路車輛功能安全 ISO 26262 等之相關要求，由此可見汽零產業要遵循的法規真的太多，這時候有的客戶就會問，導入這麼多的法規，既費時又費力，到底在機聯網導入的同時，要如何做才能提高我們的資訊安全?  這時候我會建議可以引用NIST CSF的資安框架，簡單來說，這個資安框架其實就是一個5乘5的矩陣，橫軸分別是NIST CSF的五大類別，項目包括：識別、保護、偵測、回應、復原，並且加入了以資產類別畫分的縱軸，項目分別是：設備（Devices）、應用程式（Application）、網路（Network），資料（Data）與人員（User）。

-------------------

NIST Cybersecurity Framework ( CSF )於 2013 年美國國家標準技術研究院( NIST )根據現有的標準與指南，訂立一套可供相關單位採用的資安框架，藉此強化網路安全。主要強化身分驗證與識別、資安風險的自我評估、管控供應鏈的網路安全與弱點察覺的部分。

-------------------

透過這個框架，我們可以把現在公司內部有甚麼，一個一個填上去，這樣一來，我們就可以清楚直觀的看到，企業內部那邊防禦是有缺漏的，當把自己有的填進去之後，空白的部分就是企業需要補強的部份，那我們現在可以協助將這些空格先填入一些常見的方案，供客戶來做一個比對，首先我們從最簡單的開始填空，也就是Protect (保護)這一列，這一列是最多客戶有買相關的產品，比如說對橫軸的設備，這邊就要針對終端的設備比如說製造現場的電腦，或是盤點用的PDA做行動裝置保護，常見的應用就比如說防毒(Antivirus)，APP層的保護常見的則是WAF(網頁過濾)，或是SPAM(郵件過濾)，網路的保護會應用到的就是常聽到的防火牆(FW)、或是IDS(入侵偵測)跟IPS(入侵防禦)，數據的部分會做就是資料加密(Encryption)，或是DLP(資料外洩防護Data Loss Prevention)，最後針對使用者的部分，就會做進出管理(可以講台積電進廠手續)，或是多因素驗證(MFA)，又或是基礎的資安意識提升訓練。看到這邊，如果空格幾乎都有填上，那屬於事前防毒的LV1已經成功升級了。

再來要填的是屬於事前防護的Identify (識別)，這部分據統計，做的人比LV1少了一點，屬於識別常見的有偏向設備的弱點掃瞄、滲透測試、偏向APP的源碼檢測、偏向網路的網路識別、威脅情資、身分驗證等，這些都是算相對常見會做的措施，比如很多上市櫃公司，就都會被要求定時要做弱點掃描，再來數據的部分，資產盤點跟分類也是常被稽核要求的一環，最後要提的是社交攻擊，屬於台灣名產的詐騙，從古早的電話詐騙，到現在的網路詐騙，各種型態的詐騙應該在華人圈都會是先發生的地方，所以社交攻擊演練應運而生，我們公司內部之前也針對某些部門做過幾次社交攻擊演練，現在想想簡直不寒而慄，我就不多提了，總之，如果這邊也都有把空格填滿，那恭喜成功進階到LV2

再來要回來看的是同屬於比較多人會做的LV1，但屬於事後的範疇，就是橫軸上的Recover (恢復)

，這個講白了就是備份，有沒有做好完善的備份，且要符合備份三二一的原則，甚至要做到備援，以防產線系統被攻擊了，如果沒有備援，這時候產線可能會停擺，導致莫大的損失，這就好像你被攻擊了之後，有沒有辦法把血補回來，沒有做好備份，是沒辦法回血的!

最後我們最後要填的是屬於事中的空格，也是我認為的LV3，這裡偵測跟回應我們會一起填入，首先我們可以填入這兩年開始熱門的EDR(端點偵測與回應)、NDR(網路偵測與回應)以及SOC(資安戰情中心)，這幾個是涵蓋了偵測與回應的兩個面向，這裡面EDR的普及率在這兩年更是急速上升，EDR有些人會誤會跟防毒是相似的東西，但其實不然，簡單來說，防毒的主要原理是病毒資料庫，端點的檔案在經過病毒資料庫的比對後，符合資料庫內容的檔案資料庫內容的檔案就會做出相對應的處理，但EDR則是行為模式分析，如果偵測到你的行為是惡意的，就會做出相對應的處理，打個比方，現在很多上網行為都會被記錄並回傳，被用於做大數據分析，以便做精準投放廣告，這類紀錄並回傳的資料的行為，並不會被認為是惡意行為，但如果是側錄了鍵盤key的密碼，並回傳到某些國家去，那就會被偵測為惡意行為，再來要填的是屬於偵測的漏洞修補與管理，這屬於前面弱點掃描的延伸，還有相對基礎的機房環境管控，至於回應的部分可以填入SOC的核心-資安事件管理平台(SIEM)，以及資安事件自動回復(SOAR)，這兩個在越來越看重資安的現在，也是開始有越來越多的人討論，至於螢幕前的各位，不知道是否有將這資安矩陣填滿了嗎?   填完之後應該也可以看出，到底公司內是只有做到基礎的資安防護，還是也開始思考了企業的資安防護策略，但不得不說，資安是一條很長的路，資安防護也不是 0 或 1 ，而是0～100%的過程及完成性，企業應針對現況思考資安策略，現在做了哪些?  作為一個資訊人員，也由衷的希望，企業在擁抱機聯網，工業製造4.0等新技術的同時，也要一併考量資訊安全的重要性。