物聯網時代「資安防禦網」不可少!工控系統不灌防毒軟體怎麼防毒?就讓它來把關

calendar_month 12/19/2018
字級:

在物聯網時代下,互聯網的普及大大提升了資訊的流通性、替我們的生活帶來了諸多便利,而相對於便利的優點,也潛伏著許多資訊安全的危機。近幾年科技發展迅速,資安威脅層出不窮,小至個人的個資外洩,大至危及企業經營甚至國家安全;而在與我們生活息息相關的工業領域中,追求工業4.0與智慧製造是目前全球工業的發展趨勢,在降低成本與提高效率的同時,也開通了許多讓駭客能入侵的「缺口」,這意謂著工業將面臨著不小的資安壓力。

不同於企業資安著重於資料不外洩,工業資安更注重生產系統運作的穩定性,對於有著特定需求的工業資安,在經濟部技術處科技專案支持下,資策會資安所自主研發工業控制系統的資安技術,建立台灣首座工業設施資安攻防系統,並設置「工業控制系統網路入侵偵測設備(Industrial Cyber Threat Detector, ICTD)」,積極發展工控領域中的資安防禦網。

什麼是工業控制系統(Industrial Control System)

在一般傳統的工廠中,會有廠長下指令給工人們去執行生產動作,而工業控制系統就像是虛擬世界中的工廠,其運作是透過控制中心下達指令給遠方的控制設施,執行生產動作,現場透過控制器再回傳資訊給控制中心,這套系統廣泛應用於工業的生產與基礎設施中,像是一般製造業、發電廠、運輸業、石化業、自來水處理等等,都有工控系統的參與。

以往傳統工廠裡,會有警衛在巡邏保護工廠的安全,外部的人要進出則有門禁或機關防護,在虛擬世界的工控系統中,當然也需要防禦措施保護資訊安全,防止生產運作中斷。

工業網路安全有三不原則,需要「保全」來守護

要保護資訊安全,那安裝個防毒軟體不就好了嗎?不不不,工業資安可不是你想的那麼簡單!在工業控制系統網路的運作中,有「三不原則」:不停機、不更新、不介入,比起最重視資料不外洩的企業資安,工業資安講求的是「生產運作不中斷」,防護若沒做好ICS遭受入侵,後果可能導致生產線停擺、設施癱瘓等等慘重損失。

一般來說,資安的威脅來源不是來自外部的針對性攻擊,就是內部惡意員工或人為的操作疏失;今年8月,國內半導體龍頭大廠,就因為內部人員在新機台安裝軟體的過程中操作失誤,而造成大規模的電腦病毒感染事件,最後損失了近新台幣26億元,堪稱是近年國內最大的資安事件,控管嚴謹的龍頭大廠都面臨了如此威脅,更突顯了資安在工業製造中的重要性。

資安如何防護?有請保全!ICTD(工業控制系統網路入侵偵測設備)

工業生產的三不原則下,資安系統必須不影響生產流程,並提供保護作用。資安所研發的「工業控制系統網路入侵偵測設備(ICTD)」提供了強大的防禦網來保護工業網路的資訊安全,維持工廠的正常運作,這項設備有著三項特點:非侵入式、免疫型和自動化。

  1. 非侵入式:
    ICTD不是透過安裝軟體到工控電腦中,也不需資安人員介入,而是將設備接上網路交換器,就像群組通話時,本來有兩人在通話,這時多插了一人進來,他不講話但他都知道兩人講話的內容,知曉卻不影響,這就是非侵入式,ICTD就能從通訊閘道側錄封包的訊息傳遞狀況,並即時分析資料。
  2. 免疫型
    非侵入式的側錄旁聽後,再來就是要比對有無攻擊的存在。免疫型就是學平常機器之間都在談些什麼,從正常的封包訊息中學習生產時通訊的控制行為,知道了標準的正常行為後,只要突然講別的話、發生異常的訊息,就會馬上發出警報,在第一時間通知控制中心處理,把威脅降到最低。
  3. 自動化
    ICTD放到工廠就會自動搜集機器們一般都在談什麼,運用智慧型統計學習機制,自動化產生防禦規則,根據行為基礎建立白名單,監聽所有機器之間的通訊行為有無異常,進入防護監控的階段,扎實地把關各種可能的工業網路攻擊行為。
    目前在一般的工廠中,非侵入式和免疫型就足以解決約80%攻擊樣態,擁有這兩項特點的工控安全偵測技術也已是這1、2年的國際趨勢,而ICTD更為突出的特點是多了操作行為的分析,能夠自動部署防禦。

敵人越來越多!黑名單不管用啦 白名單才是王道

資安大廠Symantec的資深副總裁Brian Dye曾說「防毒軟體已死」,過去的預防方式多是特徵比對,也就是建立黑名單,比對病毒的特徵碼以偵測惡意程式,但這種防禦行為已經越來不管用,目前市面上的防毒軟體能掌握到的病毒其實僅有三、四成,因為現在病毒的攻擊模式、樣態已經超過一般防毒軟體能夠產生防禦的機制,未來若有新型病毒侵入,但防毒軟體還沒定義它的特徵碼無法預防,那要如何去預防或解決未來這種攻擊程式?

路不通就換個方向走,有別於以往的防禦思維,現在的防禦方法多研究正常行為建立白名單 Baseline,ICTD的防護機制就是透過建立「工業系統正常網路操控行為 Baseline」,去對任何未知惡意程式的不正常網路攻擊行為進行防護。在 Baseline 基準的正常行為下,已知、合法的網路操控才被視為安全,防範 Baseline 以外的未知程序去操控工業系統,並持續監控有無異常命令發生,防止系統遭受惡意攻擊。

資安防護很重要,資安意識更重要

目前ICTD有技轉給工業控制相關的廠商,高雄欣雄瓦斯和台水也進行過試驗,未來只要在工業中,有關控制的運作都會需要這種技術,車控可能是下一步可以發展的領域。目前工控是最簡單的,生產線全自動化控制的智慧製造更複雜,只要一連上網路都需要考量安全網如何防護。

ICTD解決威脅的出發點是及早發現有攻擊活動,在病毒有偵查動作的階段時就會發出警示,越早發現異常再阻斷它後續的攻擊動作。在全球都在工業4.0的發展下,資安防禦技術不斷發展成熟,培養、普及人們正確的資安意識才是真正能有效降低資安災害的不二法門啊!