工业防火墙安全方案
针对工业控制系统(ICS)的威胁,以及攻击事件频传,有越演越烈的趋势。现在全球正在迎接5G时代,制造业工厂转型迈向工业4.0脚步又更近了一步,在转型的过程中最让企业担心的就是资安问题,当工厂智能化过程中将通讯技术整合、生产设备联网、企业营运系统整合时,最担心已经不是数据外泄的问题,而是当产线被恶意攻击者劫持、操作与控制时该怎么办?
随着因特网的日新月异,越来越多工业控制系统采用标准化的通讯协议、软硬件,并透过因特网来进行远程操作与控制,让设备维护厂商可以从远程联机至工控环境,让原本封闭的网络环境出现的缺口,让病毒、蠕虫、恶意软件、木马有机会危害厂域的生产运作。从这几年重大资安事件中,发现黑客的攻击手法一直在改变,锁定的攻击目标已经不是一般中小企业,而是智能工厂、能源、水资源、通讯传播、交通、金融、紧急医疗、中央与地方政府机关等重要单位。
资安事件频传的今日,从下图(一)我们可以大略了解黑客从90年代网络蓬勃发展后,攻击的演进。
- 早期90年代(恶意软件):网络初期爆发的殭尸、木马、蠕虫这种攻击不断侵犯我们的网络。早期是以恶意代码的方式进行网络攻击,只要简单通过IP端口、协议、通讯机制等网络要素就可以隔离传播途径。
- Internet(应用层威胁):2000以后,用户对于网络的运用越来越深,因此衍生出很多面向来自于应用层的威胁,例如:文件系统、社交媒体、邮件内容与附文件等带来大量病毒入侵的机会。原本只要透过IP端口和协议封阻的方式已不再适用,如果不能再进一步检查其内容,就会有很多潜藏的病毒或攻击来影响企业营运发展。
- 今日(持续性攻击):利益的驱使让网络威胁攻击不断变化,攻击的方式也从已知的防御,升级到对未知威胁甚至瞄准式攻击的对抗。以APT攻击为例就融合了隐藏潜伏、病毒变种与攻击混淆等技术。
接着看看2021 工控网络会遭遇的问题状况,主要有几个面向:
- 勒索软件攻击风险激增
由乱枪打脑转向特定目标,遭锁定对象包含委外服务商、工厂MES系统、数据库主机,对外服务网站、控制系统、SCADA系统等,藉以瘫痪系统运作,中断其所提供的服务。
- 智能工厂、OT攻击锁定连网设备
锁定厂区连网设备或监视器作为攻击的目标,因为他们暴露易遭攻击的服务、设备使用默认密码、不安全的网络管理接口、使用不安全的工控协议等,易遭受恶意的攻击侦测、入侵与控制。
- APT攻击窃取机密资料
APT攻击最可怕之处在于恶意软件会透过相互掩护的做法躲过资安设备的检查,当顺利入侵之后,便可利用多数工控环境缺乏内部网络监控架构,利用各种应用程序的漏洞,持续将机密数据传送到C&C服务器,藉此得到金钱利益。
- 供应链攻击活动加剧
多数工控厂商在自身网络防护建置越来越严谨,因此攻击的手法转而从维护厂商下手,透由入侵系统委外厂商,以其做为跳板,渗透客户组织,黑客藉由入侵特定软/韧体开发公司或人员计算机,进行窜改程序或下载连 结等行为,造成大范围的感染与扩散。
- 系统软件无法定时更新
工业系统的生命周期高达15~20年或更久,但这些系统设计制造之初,往往并未将信息安全的需求考虑在内,系统资源仅供控制用,机器只要稳定运行就会尽量不更新或延后更新,使得内部系 统充满漏洞,风险极高,以往采用的实体隔离为基本保护策略,使得ICS的韧体与软件难以替换,更新修补程序也很少有机会安装。
- 对于连网流量无法有效辨别
ICS所连接的网络设备,防御能力可能也不足,无法侦测与处理恶意型态的流量,或是大型正常流量。但数据交换区很可能是关键问题,功能越智能就越难进行隔离。
- 远程联机安全疑虑
用户在系统执行工程作业、各种操作、技术支持等工作时,通常是以远程登录的方式进行,这也意味着ICS有可能出现联机不安全,以及非法联机的情况。
智慧工厂(Smart Factories)是工业物联网 (IIoT) 改造传统制造业的最佳展现,虽然所有设备透过联网带来更便利性的运用,但是只要遭遇一次的网络攻击,智能工厂带来的效益,像是设备管理、数据搜集分析、流量监测、供应链管理等,都将瞬间化为乌有。这也是企业在导入智慧工厂时,不能轻忽网络攻击所带来的风险性。
制造业生产线的厂房到处都是机具:传感器、致动器、马达、开关、阀门、接触器、机器手臂、组装设备等。随着科技不断进步,再加上工业4.0的推波助澜,生产系统及流程开始智能化发展,以网络链接生产设施,人机协作、提高效能,仰赖边际运算、人工智能、数据分析、感测系统等技术,例如ERP、MES等系统架构,结合网络链接机械设备与人力,并配合人工智能、边际运算与数据分析辅助,让制造流程最优化,将传统工厂从「自动化」中数字转型。
以下是工业控制系统 (ICS) 的示意图(图二):
Level 0属于机器手臂、自动车、风扇、大型设备等工控设备,他们需要透过一个有组织的控制系统才能运作,这就必须用到第二层(Level 2)上的监控设备,一般来说就是人机接口(Human Machine Interface, HMI)或监控与数据撷取系统(SCADA),可以让操作员监控及使用此设备。在Level 0与Level 2之间是透由许多可程序逻辑控制器(PLC)与远程终端装置(RTU, Remote Terminal Unit)组成,也就是所谓的第一层(Level 1),藉由网络连接传感器、致动器、马达、开关、阀门、接触器传递数据,PLC主要动作包含启动、停止、监控、执行、重启、程序设计与测试。
Level 3则是工厂机房中的核心路由器、工程师工作站(EWS)、历程数据服务器或档案数据大多设置在第三层,以数据服务器来说,里面存放许多机台数据数据,管理者可以利用这些数据分析机台的生产效能、质量状况。Level 4-5则是从远程企业总部连接到工控系统的机器。其中的Level 0-3称之为OT(Operation Technology),Level 4-5一般则称之为IT(Information Technology)
当OT与IT相结合之后,Level 4-5的IT环境中的ERP、SCM、EML、文件服务器等系统若遭受网络攻击,威胁长驱直入也会连带影响到Level 0-3的OT环境,并且在行动装置普及化、无线网络运用进入工控环境之后,让黑客入侵的管道更加多元(图三)。此外,来自操作人员、设备服务商所带进来的资安威胁缺口也不容忽视,OT环境想要降低资安风险,必须更重视SOP的落实,才来确保工控系统的安全性。
如何预防以确保OT的环境不会成为黑客攻击的目标,第一步建议先做好自我检测准备动作。
与IT网段区隔,并搜集工控资产清单,评估亿遭受攻击的风险与具有漏洞的设备。
依据设备行为(连接时间、通讯协议、服务、联机方向、流量、联机封包)检测环境中是否有恶意的活动(中继站、恶意软件、病毒)存在。
定期进行工控设备弱点扫描,并且透过专业工控系统攻击手法检测是否具有版本漏洞、恶意存取与密码被破解的风险。
第二步在ICS场域导入相关防护设备(图四),以ShareTech OTS解决方案来说,可以提高关键基础设施、与威胁侦测的解决方案,用以保护ICS环境中的设备,以及确保设备间的关联性与正常行为,并依此基准执行监控,一旦发现异常,可以在第一时间通知相关人员来执行相关应变程序。
图四:ShareTech OT强化ICS网络安全
ShareTech OTS防护特点
IT与OT边界隔离
透过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全保护,禁止没有防护的工业控制网络与网络相连接。企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,进行安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与网络相连接。
禁止高风险的非加密网络服务
对于高风险非加密的网络服务,如HTTP、FTP、Telnet..等需禁止或限制其使用,因为这些服务易导致工业控制系统被入侵、攻击、利用,企业应原则上禁止工业控制系统开通高风险通用网络服务。
白名单机制
企业可以先在脱机环境中,针对在工业主机进行防病毒软件或应用程序白名单软件验证,只允许经过企业自身授权和安全评估的软件运行。工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在脱机环境中进行测试与验证过,确保营运安全。
异常流量侦测与示警
在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。企业应在工业控制网络部署可对网络攻击和异常行为进行识别、警报、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、异常封包、异常流量、异常指令等网络攻击或异常行为。
专属OPC入侵防御机制
导入OPC入侵防御机制,收集所有IT、IOT网络的封包与讯号,并且采用深度封包检测(DPI)的方式进行比对,分析通讯协议当中的每个层级,掌握出现异常数据的行为。让管理者可以在与关键工控设备连接的网络路径上,及时侦测到攻击事件的发生、并依照管理员的设定,中止或阻绝入侵行为,包括自动拦截弃置攻击封包,并依据设定,留下攻击的记录即通知管理者等连续的应变措施。
VPN安全联机
企业应对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN等方式进行隔离保护,并根据风险评估结果,建立和完善数据信息的分级分类管理制度。
统整成威胁情报
完整的网络通联纪录及讯息通常会有专业的网络管理者来判读,但是为了OT管理者能够立刻了解整个网络的安全程度、防护力道等信息,有一个统合的威胁情报信息,以图表的方式呈现,让高阶领导者快速的明了系统的安全度。