近2年,因病毒感染機臺導致軟體病毒擴散,造成不同廠區機臺連帶受感染的案例不在少數,2020年多達30件,2021年光是上半年已逾60件,其中包含因停工、支付勒索贖金等因素造成損失金額逾50億的案例。
數位時代「瘋云」起,AI、云端與萬物聯網影響的不只是IT資訊技術,在網網相連,內外網互通有無的數位環境下,但凡IT遭駭或中毒,OT(Operational Technology)營運資訊也無法獨善其身,一損俱損。趨勢科技??總經理暨TXOne Networks執行長劉榮太認為,360。保護廠房資安,隔斷與零信任是相對好的防護策略。
天外飛來一只病毒 護國神山也想哭
時間拉回2018年8月3日,護國神山臺積電傳出生產設備遭病毒感染,導致竹科、中科及南科部分產線機臺停擺。臺積電指事發原因為「新機臺在安裝軟體的過程中操作失誤」,病毒透過新機臺連接到內部電腦網路造成病毒擴散。
在太歲頭上動土的病毒是惡名昭彰的「想哭」(WannaCry),是一種將電腦加密的勒索病毒,透過破壞電腦系統檔案要求使用者付出虛擬貨幣(如比特幣)才能解毒。臺積電2天後公布事件影響評估,預計第3季營收減少約3%,相當於76-79億元,報廢晶圓數逾一萬片,受影響客戶包含蘋果、超微、輝達、聯發科、賽靈思等大廠。
臺積電是IT、OT資安觀念相對成熟,防護措施相對完善的領頭雁,仍因此付出不小的代價,反觀國內其他高科技制造業或傳統制造業的資安防護觀念與做法仍存在不小風險。
| 圖1 : 趨勢科技??總經理暨TXOne Networks執行長劉榮太 |
|
劉榮太觀察,近2年,類似臺積電因病毒感染機臺導致軟體病毒擴散,造成不同廠區機臺連帶受感染的案例不在少數,2020年多達30件,2021年光是上半年已逾60件,其中包含因停工、支付勒索贖金等因素造成損失金額逾50億的案例,「尤其高科技晶圓廠、自動車、制藥業等高產值業者更容易成為駭客鎖定的目標。」
除了臺積電,航運龍頭馬士基(Maersk)、默克(Merck)大藥廠、俄羅斯石油巨擘Rosneft、烏克蘭央行等都曾遭殺傷力更勝「想哭」(WannaCry)的新種勒索病毒NotPetya襲擊,造成龐大損失。
目標式勒索成攻擊主流 劍指制造業
如果過去駭客需要耗費8-10個月時間完成「任務」,如今只要花1-2個月時間攻破安全性相對薄弱的制造業工廠便能取得報酬,加上加密貨幣興起大大降低失手風險,害怕停工更勝於中毒的制造業工廠很容易成為砧板上的魚肉,任人宰割。
趨勢臺灣資安應變服務團隊(CSIRT)資料顯示,目標式勒索在2021年逐漸成為攻擊主流(42%),較2020年的35%高出7個百分點(圖二)。攻擊目標以制造業為主,其中以高科技制造業占比最高(61%),傳統制造業(15%)排名第三(圖三),細分之下又以制造業供應鏈為主要被攻擊對象,其中以零組件供應商(48%)占比最高,代工廠(24%)次之,品牌商(14%)排名第三。
| 圖2 : 目標式勒索漸成攻擊主流。(Source:TXOne Networks) |
|
| 圖3 : 制造業成駭客攻擊目標。(Source:TXOne Networks) |
|
蘋果等品牌業者最忌商業機密外泄,因此相當不樂見因為供應鏈制造工廠遭駭導致資料外泄,因此近兩年開始嚴格要求供應鏈相關業者強化資安措施,在品牌客戶施壓下,制造業者不得不全力投入資安防護。
劉榮太指出,注重OT資安的業者有三大族群,一是IT資安布局相對成熟的業者,二是工廠自動化程度高的業者,三是具有資安危機意識者。進一步觀察,臺灣制造業對資安的重視程度不若歐美日等國,資安采購的主要驅動因素有二:一是法規限制,二是災害發生後的應變措施。
仔細觀察,大公司、超大公司或中小企業對資安的處理方式與態度各異,大公司、自動化程度越高、毛利越高的公司越關注,如半導體晶圓廠;不少制造業上市公司正在補IT漏洞,如果出事當然要買好買滿,可惜多數業者只有靠防火墻或防毒軟體「護體」,日常實務中的資安管制則付之闕如,因此很容易被駭客攻陷;中小企業推動資安防護腳步更慢,資安意識相對較薄弱,多數仰賴經銷商維護資安或直接委外。
| 圖4 : 掌控及部署工控環境難度高。(智動化制圖;資料:TXOne Networks) |
|
供應鏈資安布署動起來 SEMI E187正式運作
隨著資安問題受重視,未來勢必有更多國際大廠要求供應鏈業者具備一定程度的資安部署。美國拜登(Joe Biden)政府已於2021年5月簽署改善國家網路安全行政命令(Executive Order 14028),其中包含強化軟體供應鏈安全及軟體弱點如何補強等內容。
環環相扣的關系容易讓駭客鉆漏洞入侵至供應鏈其他業者或用戶內部,因此,未來美國品牌業者極可能反過來要求供應鏈科技公司注意資安布署,包含臺灣各產業供應鏈成員,換言之,未來由品牌端要求廠房落實資安將成「標配」,不想失格就必須積極部署資安。
劉榮太指出,所幸臺灣大型晶圓廠、封測廠等早已積極強化資安架構,努力提升供應鏈的安全性,因此目前臺灣市場因供應鏈緊密連結而導致的連環性攻擊不多見,以單點資安災害居多。
為強化資安及推動供應鏈安全,半導體晶圓產線設備資安標準(SEMI E187 - Specification for Cybersecurity of Fab Equipment)已於2022年1月正式運作,這是第一個由臺灣產業主導制定的半導體國際標準,內容涵蓋四大層面:作業系統規范、網路安全相關、端點保護及資訊安全監控,主要聚焦作業系統的長期支援、網路傳輸安全、網路組態管理、弱點掃描、惡意程式掃描、端點防御機制、存取控制及Log記錄等議題。
落實資安需克服2痛點:設備相容性與人才
在大環境帶動下,過去對於資料外泄較不在意的工廠端也意識到強化廠房資安的重要性。不過,在協助業者擬定資安對策的過程中,TXOne Networks發現仍有需克服之處,「主要是電腦設備IT與OT的相容性問題以及人才不足問題。」劉榮太指出,避免駭客入侵不能只是防堵IT或OT,如今的駭客只要透過IT就可能入侵工控場域的OT,對電腦加密就可能直接打到生產線。
另一方面,不少IT設備雖然使用最新產品,但產線端卻可能沿用老舊設備,或者CPU跑不動防毒軟體,還有一種狀況是新舊設備無法相容,比方電腦作業系統是早已終止支援的Windows XP作業系統,凡此種種都會影響資安防護的執行與成效。
此外,全方位資安人才稀缺也容易拖累資安部署的速度,特別是同時了解IT、OT的資安專才,臺灣這類人才可能只有個位數,「誰來負責梳理企業的資安準則,決定哪些關鍵設施、機臺需要保全,進而找到務實的解決方案,這些都需要投入時間與資源。」劉榮太認為,數位轉型過程中引發的資安風險是很新的課題,資安人才本來就少,加上OT資安需要同時了解資安與OT產線,未來更需要加速培養人才以填補人力空缺,他也不建議工廠資安直接使用IT管理軟體,「由於許多現場人員并不清楚該如何配合與操作,所以安全管理的劃分也要調整,建議以機臺出發。」
目前趨勢科技或TXOne Networks致力於協助客戶一起探索數位化之後的各種資安防護可能性,但他認為,過程中,龍頭企業可以做出良好示范,找出最隹實務(Best Practice),比方SEMI E187即為一例。
沒有墻的世界 資安落實靠零信任
數位化讓世界越來越平,隨著云端服務使用率的提升,未來勢必出現更多云端資安事件。另一方面,加密貨幣興起改變了OT資安威脅模式,而Covid疫情則加速數位化轉型,讓駭客威脅日益擴大。IDC研究指出,高達45%的IIoT資料會透過Edge Computing處理分析,未來多達60億的IIoT裝置將連結Edge Computing,此一趨勢除了帶動資料管理需求,工控資訊安全與維護更成為迫在眉睫的課題。
然而,臺灣制造業仍普遍存在內外網串聯而且完全信任的狀況,以至於一旦遭駭或中毒就很容易全軍覆沒。曾經某上市公司發生整廠病毒流竄事件,因為內外網相連而且完全信任,某個環節中毒後便一路從四川廠打到蘇州廠,再從蘇州廠打到昆山廠,最後從昆山廠打回臺北廠……,對此,劉榮太呼吁,IT與OT隔斷才能相對安全。
IT與OT隔斷會是未來廠房資安運作趨勢之一。產線網路隔斷可以有效將感染或中毒事件縮小到一個機臺,避免產生骨牌效應,部分晶圓廠甚至讓每個機臺都做保全,也有采取一條產線做保全的做法,萬一發生問題只影響一條產線或僅需讓一條產線停工;第二個趨勢是未來業者可能在機臺上安裝防毒軟體;第三個趨勢是未來很可能由供應商出具機臺無毒證明,這些做法都是未來落實廠房資安的可行選項。
以TXOne OT零信任資安解決案為例,就是以零信任資安模式,透過學習運作,打造基準線,進而擬定OT防御政策,也就是在新設備進入廠房時即啟動整體學習機制,同時納入應用軟體服務以及網路溝通等內容,透過全方位點對點及多層次資安保護模式,確保應用軟體、設備、控制及網路安全,從進場檢測、端點保全到公控網路保全提供三階段資安方案,360。保護資安,落實OT零信。
劉榮太進一步說明,以往資安有墻內墻外之別,墻內信任,墻外不信任,但這些「墻」已經逐漸消失,由於云端普及化,很多員工根本不在墻內工作,而是在墻外的星巴克工作,所以OT零信任的精神是,不能因為使用者可以登入或有帳密就代表可信任,跳脫墻的概念檢視及確保資訊安全才能將任何可能的資安意外扼殺在搖籃里。
| 圖5 : 工控資安最隹建議。(智動化制圖;資料:TXOne Networks) |
|
強化廠房資安 落實4件事
趨勢科技資料顯示,可預見的未來,目標式勒索攻擊仍將持續肆虐,可能利用APT手法進行勒索病毒攻擊,以伺服器為主要目標,駭客也會跟著重要資料往云端移動,而供應鏈仍是常見的攻擊管道,透過軟體韌體、硬體植入惡意程式進行大規模攻擊。至於駭客勒索方式也會同步進化,包含單一勒索(檔案加密)、雙重勒索(外泄資料)、三重勒索(威脅發動DDoS攻擊),以及四重勒索(擴大供應鏈上下游的影響)。
不想任駭客魚肉,及早強化廠房資安為上策,劉榮太建議企業在守護廠房資安上宜落實以下四點:
1.強化資安防護基本功,如多層次防護及修補漏洞;
2.強化伺服器防護并落實嚴格的存取控管;
3.建立全方位資安可視性,如端點、伺服器、網路、云端等;
4.遵守零信任原則。
此外,既有的駭客手法對云端威脅仍具有一定程度的破壞性,如不嚴謹的存取管理、網路釣魚、不安全的密碼或未定期變更密碼、已公布的舊漏洞及新發現的漏洞等,仍需小心提防,才能永保安康。
