應用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點新聞
企業(yè)注冊個人注冊登錄

萬物聯(lián)網(wǎng)時代來臨 打破封閉內(nèi)網(wǎng)提升網(wǎng)絡安全

2020-09-01 13:40 與非網(wǎng)

導讀:過去多數(shù)工廠因設備老舊、缺乏專業(yè)整合人才,或因其為封閉系統(tǒng)而缺乏資安防護觀念。

智慧工廠(Smart Factories)是工業(yè)物聯(lián)網(wǎng)(IIoT) 改造傳統(tǒng)制造業(yè)的最佳展現(xiàn),在萬物聯(lián)網(wǎng)(圖 1)、大數(shù)據(jù)與 AI 等技術(shù)的結(jié)合下,智能制造、智能醫(yī)療、智能交通已成為臺灣轉(zhuǎn)型升級目標。然而,所面對的操作科技(OT)資安威脅會更嚴苛,只要遭遇一次重大網(wǎng)絡攻擊,原本物聯(lián)裝置所帶來的效益,恐怕瞬間就會化為烏有,例如:機密資料外泄、營運生產(chǎn)停頓、供應鏈斷炊。近年來鎖定智能工廠的病毒越來越多,全球都有受害的災情不斷傳出,不只影響生產(chǎn)線運作,更甚者會危及國家基礎設施,并要當心成為勒索軟件目標。

圖 1:物聯(lián)網(wǎng)運用遍及各種產(chǎn)業(yè)

打破封閉內(nèi)網(wǎng)是安全的觀念

過去多數(shù)工廠因設備老舊、缺乏專業(yè)整合人才,或因其為封閉系統(tǒng)而缺乏資安防護觀念。在工業(yè)物聯(lián)網(wǎng)的建置下,企業(yè) IT 與廠房 OT 系統(tǒng)相互串連,使長久以來一直是被認為封閉網(wǎng)絡的 OT 環(huán)境,暴露在可能遭受網(wǎng)絡攻擊風險下,包括商業(yè)機密遭竊取、惡意中斷營運、攻擊基礎設施造成生產(chǎn)損失、甚至造成工安事件危害人員健康與安全等。

有些工廠開放機臺可以透過防火墻直接對外,任何人皆可以對機臺進行聯(lián)機管理,甚至從外部亦可以透過 IE 聯(lián)機,進行管制。由于機臺物聯(lián)網(wǎng)化后加速生產(chǎn)力,但是對于網(wǎng)絡的管理并沒有嚴格要求與落實,容易造成后續(xù)資安維護管理上漏洞。因此在導入裝置物聯(lián)網(wǎng)后,聯(lián)網(wǎng)的機具、人員管理識別、網(wǎng)絡流量檢測、LOG 紀錄追蹤都是需改善的要點,所以需要在原來的系統(tǒng)上加入信息安全的防護,除了原本防火墻基礎網(wǎng)絡防護外,建議區(qū)隔 IT 與 OT 的網(wǎng)絡架構(gòu)(圖 2)、做好定期弱點掃描及人員資安教育訓練課程等,除了保護企業(yè)的信息外也保護自己的網(wǎng)絡財產(chǎn),萬一真的不幸發(fā)生攻擊事件,可以將損害降到最低。

圖 2:強化 OT 內(nèi)網(wǎng)安全

智能工廠(OT 廠域)存在的資安威脅

攻擊的來源來自幾個地方,每個方向的目的并不一樣,整個系統(tǒng)的問題分析如下:

(1) 來自網(wǎng)絡黑客的攻擊:

可能帶有炫耀或是威脅意圖,例如:黑客發(fā)出勒索郵件,要求交付比特幣當贖金,如果不從就不定期發(fā)出癱瘓攻擊,癱瘓戰(zhàn)情中心或是阻斷客戶端的網(wǎng)絡。勒索金額相對于工作上的損失,通常小很多,所以企業(yè)都會付贖金息事寧人,這樣更助長這類的惡意行為。

(2) 惡意人士攻擊:

客戶端的現(xiàn)場通常是無人的環(huán)境,有心人士進入專屬的內(nèi)部網(wǎng)絡根本不費吹灰之力,在這個狀況下,要竊取、偽造數(shù)據(jù)或是癱瘓網(wǎng)絡運作,就像開了一道任意門暢通無阻。

(3) 人員疏忽:

因為內(nèi)部計算機跟廠房機臺網(wǎng)絡是沒有任何管制,萬一有人被引誘點了釣魚郵件后,裝入后門程序,讓惡意攻擊者有竊取機密數(shù)據(jù)與發(fā)動勒索攻擊的機會,例如,把服務器的數(shù)據(jù)加密藉以勒索。

(4) 不安全的身分認證:

在 IT 的網(wǎng)絡環(huán)境中,對身分的權(quán)限管理是相當重視的,常見以相當多的認證機制嚴謹管控身分權(quán)限。不過,傳統(tǒng)的 OT 環(huán)境架構(gòu),注重系統(tǒng)的運行與穩(wěn)定度,面對資安的風險問題相對較低。因此在認證權(quán)限方面就容易忽略,產(chǎn)生許多不安全的聯(lián)機,讓廠內(nèi)的人員或是設備的技術(shù)人員,只要利用計算機,就能輕松登入生產(chǎn)設備。

(5) 不安全的協(xié)議:

一般生產(chǎn)設備之間的工業(yè)通訊協(xié)議,因發(fā)展的比較早,并未考慮與設計網(wǎng)絡安全的相關功能。例如只要持有內(nèi)建 Modbus 通訊協(xié)議的計算機,就能透過 Modbus 對生產(chǎn)設備發(fā)出任何指令并執(zhí)行。

(6) 事件紀錄跟搜尋:

現(xiàn)況,每一個設備都是獨立運作,并各自保留記錄,能記錄的項目及時間就看設備本身的儲存裝置,當需要事后查詢時,就需要進入每一個設備中,用他的方式去查詢,費時耗力。

(7) 過期設備系統(tǒng)安全更新:

設備廠商會對設備的操作系統(tǒng)進行例行的安全性更新,當設備廠商宣布設備停產(chǎn)或是倒閉后,就不會對設備進行安全性更新,例如,Microsoft 對 Windows 7 就不會進行任何安全性更新,此時 Windows 7 的漏洞就暴露出來,讓有心人士有機可趁。

但是在工業(yè)環(huán)境中,因為整體系統(tǒng)軟硬件一起運作的因素,設備更替的速度跟 IT 環(huán)境是不一樣,往往 10-20 年的設備依舊在運作,沒連網(wǎng)前沒問題,一旦上因特網(wǎng)就有潛在的威脅。

(8) 無專業(yè)維護人員:

多數(shù) OT 管理者對 IT 維護不熟悉,很擔心設備發(fā)生故障或出現(xiàn)問題時,無法實時處理而影響產(chǎn)線的運作。

區(qū)隔 IT 與 OT 網(wǎng)絡架構(gòu),保護 OT 內(nèi)網(wǎng)安全脅

攻擊的來源來自四面八方,在信息跟網(wǎng)絡安全的考慮下,眾至建議導入智慧聯(lián)網(wǎng)工廠將目前的網(wǎng)絡架構(gòu)進行調(diào)整,每一個不同目的的網(wǎng)絡區(qū)塊,執(zhí)行不同安全等級的信息安全防護,例如,OT 網(wǎng)絡聯(lián)機的對象都是固定,所以在防火墻上就可以執(zhí)行嚴格的白名單策略,非允許的 IP 地址都會被拒絕聯(lián)機。將對外供應鏈的服務器、OT 網(wǎng)絡跟內(nèi)部網(wǎng)絡進行實體網(wǎng)絡的區(qū)隔,新的網(wǎng)絡架構(gòu)示意圖(圖 3)如下:

圖 3:區(qū)隔 IT 與 OT 網(wǎng)絡環(huán)境

面對傳統(tǒng)制造業(yè)的升級轉(zhuǎn)型,智能工廠中的 IT 與 OT 的整合也擴大了企業(yè)的攻擊面,傳統(tǒng)安全措施不太會充分考慮這些,例如,可能不適用于 OT 的區(qū)隔安全解決方案。正因如此,智慧工廠不僅容易受操作問題影響,也易受到 DDoS、勒索軟件、網(wǎng)絡釣魚、系統(tǒng)漏洞、惡意軟件、裝置遭害等影響。

IT 與 OT 的思維不同,IT 要的是創(chuàng)新,OT 要的是穩(wěn)定。為了有效讓 OT 環(huán)境維持穩(wěn)定運作,除了區(qū)隔 IT 與 OT 網(wǎng)絡環(huán)境外,建議在強化威脅情報信息通知,以達到【事前防范】、【事中阻擋】及【事后追蹤】運作目標(圖 4),減少被黑客、病毒入侵及攻擊的機會讓整個網(wǎng)絡達到可控、可管的目標,就算被癱瘓,也能把損失控制在一個小區(qū)域,不會外散到整個網(wǎng)絡環(huán)境。

圖 4:藉由端點防護設備、縱深防御、全面管控與威脅情報,打造內(nèi)外網(wǎng)安全

ShareTech 智能工廠 OT 架構(gòu)與解決方案

概念是把每一個運作的單元用防火墻區(qū)隔,要進出本區(qū)之外的網(wǎng)絡都需要進行身分識別及留下存取紀錄,并利用 VPN 的加密技術(shù),把原本在網(wǎng)絡上明碼傳遞的信息加密。然后整體的 IT 網(wǎng)絡跟 OT 網(wǎng)絡也是用防火墻做切割,只有被允許的人才能存取另一邊的網(wǎng)絡。在這個架構(gòu)下,OT 層的網(wǎng)絡防護的機制說明如下:

網(wǎng)關安全防護

具備防火墻的防護機制(圖 5),能夠阻擋黑客的惡意掃描及碎片攻擊等,能夠阻擋的項目包含封鎖 IP、封鎖 Land 攻擊、封鎖Smurf、封鎖 Trace Route、封鎖 Fraggle、封鎖 Tear Drop 攻擊、封鎖 ICMP / SYN / PIN of Death 等攻擊。

保護后端的服務器或是 PLC 等工業(yè)連網(wǎng)設備,避免 ICMP / SYN(TCP) / UDP 等通訊協(xié)議的洪水攻擊(DOS)跟分布式洪水攻擊(DDOS),導致服務被中斷或式癱瘓,針對每一個通訊協(xié)議可以設定保護的力道。

圖 5:檢視網(wǎng)絡流量,降低內(nèi)網(wǎng)惡意攻擊行為

提高網(wǎng)絡威脅能見度(圖 6)

主要有三點:

(1) 揭露隱藏的風險

加強對高風險活動、可疑流量和進階型威脅的可見度。

(2) 阻止未知威脅

透過大數(shù)據(jù)分析、學習和系統(tǒng)漏洞補防,保護企業(yè)組織網(wǎng)絡安全。

(3) 隔離受感染的系統(tǒng)

自動隔離網(wǎng)絡中已經(jīng)遭駭?shù)南到y(tǒng),并阻止威脅擴散。

圖 6:檢測加密、非加密網(wǎng)絡聯(lián)機是否有惡意行為

管制 port 的建立聯(lián)機機制

開越多的對外服務 Port,代表把自己暴露在外的風險因素增加,所以對于已知的聯(lián)機對象,不管對方是使用動態(tài)或是固定 IP 地址,都可以利用防火墻普遍有的 IPSec VPN,建立安全的 VPN 信道傳遞信息(圖 7),而不需要開 Port 的方式達成聯(lián)機的需求。

圖 7:透由 VPN 強化安全聯(lián)機

建立白名單管理機制

由于惡意軟件的變種速度太快,如果靠黑名單來做把關可能沒那么可靠,所以對 IOT 設備的軟件管理權(quán)限,應該都用白名單機制來進行控管。在 IOT 場域里具有極少變動的特性,通常系統(tǒng)在安裝后,應用程序即維持不變。管理者可以決定哪些程序是允許被執(zhí)行,其余的程序?qū)⒈蛔钃?。當所有程序被允許執(zhí)行時,應用程序白名單可以過濾內(nèi)容或限定其帶寬使用量。

圖 8:ShareTech OTS 提供白名單防護機制

只允許特定的協(xié)議通過,避免非必要的數(shù)據(jù)泄出

在工控環(huán)境系統(tǒng),有些單位為了遠程管理的便利性,使用 SSH、Telnet、網(wǎng)頁登入聯(lián)機模式,如果沒有采取任何安全管理措施,例如:只限定某些特定 IP 才能存取,或者必須經(jīng)過身分認證后才能使用服務(圖 9),否則讓黑客輕易入侵系統(tǒng)管控設備,容易引起大災難。SharTech OTS 防護設備可以與 AD/POP3/Radius 做認證授權(quán)機制,可協(xié)助管理人員與監(jiān)控企業(yè)內(nèi)部所有使用者賬號,在確認使用者的 ID 的有效授權(quán)之后,才能允許其使用網(wǎng)絡,讓企業(yè)可以有效管理網(wǎng)絡使用資源。

圖 9 ShareTech OTS 防護設備提供身分識別機制

支持工業(yè)網(wǎng)絡協(xié)議

ShareTech OTS 防護的設備要能支持常用的工業(yè)控制協(xié)議(圖 10),例如,EtherCAT 使用 TCP/UDP 34980、EtherNet /IP 使用 TCP 44818 UDP 2222,管理者只要選取這一些協(xié)議名稱,會自動對應出應該開放的 Port 號,至于其他的通訊 PORT 全部被關閉。 以計算機組裝線為例,若封包夾帶可疑的參數(shù),要求機械手臂執(zhí)行標準以外動作,ShareTech OT 防護設備在接獲數(shù)據(jù)封包后,將進行封包分析、阻擋,降低計算機廠商蒙受巨額財物損失。

圖 10:ShareTech OTS 支持工業(yè)協(xié)議埠

專屬OPC入侵防御機制

導入OPC入侵防御機制(圖 11),收集所有 IT、IOT 網(wǎng)絡的封包與訊號,并且采用深度封包檢測(DPI)的方式進行比對,分析通訊協(xié)議當中的每個層級,掌握出現(xiàn)異常數(shù)據(jù)的行為。讓管理者可以在與關鍵工控設備連接的網(wǎng)絡路徑上,及時偵測到攻擊事件的發(fā)生、并依照管理員的設定,中止或阻絕入侵行為,包括自動攔截棄置攻擊封包,并依據(jù)設定,留下攻擊的記錄即通知管理者等連續(xù)的應變措施。

圖 11:首創(chuàng)OPC入侵防御機制

日志

對于進出防火墻的事件有一個獨立的地方可以查詢,例如,何時、從哪里來的管理者,執(zhí)行了哪一個動作,把這一些數(shù)據(jù)記錄下來,方便管理者日后追蹤。

統(tǒng)整成威脅情報 - 戰(zhàn)情室

詳細的網(wǎng)絡通聯(lián)紀錄及訊息通常會有專業(yè)的網(wǎng)絡管理者來判讀,但是為了讓高階的管理者能夠立刻了解整個網(wǎng)絡的安全程度、防護力道等信息,有一個統(tǒng)合的威脅情報信息,以圖表的方式呈現(xiàn),讓高階領導者快速的明了系統(tǒng)的安全度。

設備災難復原機制

當設備因外在事故無法正常運作時,硬件本身要能支持 LAN BYPASS 模式,不影響工廠生產(chǎn)營運,如果是硬件損壞無法運作,最好可以利用 USB 插槽,平時做好配置文件備份動作,當設備真的無法運作,只要立即更換一臺,將原本 USB 換插到新機上開啟電源,就會自動將原本的配置文件數(shù)據(jù)帶入,不用 5 分鐘完成災難救援的服務。