近2年，因病毒感染機(jī)臺(tái)導(dǎo)致軟體病毒擴(kuò)散，造成不同廠區(qū)機(jī)臺(tái)連帶受感染的案例不在少數(shù)，2020年多達(dá)30件，2021年光是上半年已逾60件，其中包含因停工、支付勒索贖金等因素造成損失金額逾50億的案例。

數(shù)位時(shí)代「瘋雲(yún)」起，AI、雲(yún)端與萬物聯(lián)網(wǎng)影響的不只是IT資訊技術(shù)，在網(wǎng)網(wǎng)相連，內(nèi)外網(wǎng)互通有無的數(shù)位環(huán)境下，但凡IT遭駭或中毒，OT(Operational Technology)營(yíng)運(yùn)資訊也無法獨(dú)善其身，一損俱損。趨勢(shì)科技副總經(jīng)理暨TXOne Networks執(zhí)行長(zhǎng)劉榮太認(rèn)為，360°保護(hù)廠房資安，隔斷與零信任是相對(duì)好的防護(hù)策略。

天外飛來一隻病毒 護(hù)國(guó)神山也想哭

時(shí)間拉回2018年8月3日，護(hù)國(guó)神山臺(tái)積電傳出生產(chǎn)設(shè)備遭病毒感染，導(dǎo)致竹科、中科及南科部分產(chǎn)線機(jī)臺(tái)停擺。臺(tái)積電指事發(fā)原因?yàn)椤感聶C(jī)臺(tái)在安裝軟體的過程中操作失誤」，病毒透過新機(jī)臺(tái)連接到內(nèi)部電腦網(wǎng)路造成病毒擴(kuò)散。

在太歲頭上動(dòng)土的病毒是惡名昭彰的「想哭」（WannaCry），是一種將電腦加密的勒索病毒，透過破壞電腦系統(tǒng)檔案要求使用者付出虛擬貨幣(如比特幣)才能解毒。臺(tái)積電2天後公佈事件影響評(píng)估，預(yù)計(jì)第3季營(yíng)收減少約3%，相當(dāng)於76-79億元，報(bào)廢晶圓數(shù)逾一萬片，受影響客戶包含蘋果、超微、輝達(dá)、聯(lián)發(fā)科、賽靈思等大廠。

臺(tái)積電是IT、OT資安觀念相對(duì)成熟，防護(hù)措施相對(duì)完善的領(lǐng)頭雁，仍因此付出不小的代價(jià)，反觀國(guó)內(nèi)其他高科技製造業(yè)或傳統(tǒng)製造業(yè)的資安防護(hù)觀念與做法仍存在不小風(fēng)險(xiǎn)。

圖1 : 趨勢(shì)科技副總經(jīng)理暨TXOne Networks執(zhí)行長(zhǎng)劉榮太

劉榮太觀察，近2年，類似臺(tái)積電因病毒感染機(jī)臺(tái)導(dǎo)致軟體病毒擴(kuò)散，造成不同廠區(qū)機(jī)臺(tái)連帶受感染的案例不在少數(shù)，2020年多達(dá)30件，2021年光是上半年已逾60件，其中包含因停工、支付勒索贖金等因素造成損失金額逾50億的案例，「尤其高科技晶圓廠、自動(dòng)車、製藥業(yè)等高產(chǎn)值業(yè)者更容易成為駭客鎖定的目標(biāo)。」

除了臺(tái)積電，航運(yùn)龍頭馬士基（Maersk）、默克（Merck）大藥廠、俄羅斯石油巨擘Rosneft、烏克蘭央行等都曾遭殺傷力更勝「想哭」（WannaCry）的新種勒索病毒NotPetya襲擊，造成龐大損失。

目標(biāo)式勒索成攻擊主流 劍指製造業(yè)

如果過去駭客需要耗費(fèi)8-10個(gè)月時(shí)間完成「任務(wù)」，如今只要花1-2個(gè)月時(shí)間攻破安全性相對(duì)薄弱的製造業(yè)工廠便能取得報(bào)酬，加上加密貨幣興起大大降低失手風(fēng)險(xiǎn)，害怕停工更勝於中毒的製造業(yè)工廠很容易成為砧板上的魚肉，任人宰割。

趨勢(shì)臺(tái)灣資安應(yīng)變服務(wù)團(tuán)隊(duì)(CSIRT)資料顯示，目標(biāo)式勒索在2021年逐漸成為攻擊主流(42%)，較2020年的35%高出7個(gè)百分點(diǎn)(圖二)。攻擊目標(biāo)以製造業(yè)為主，其中以高科技製造業(yè)佔(zhàn)比最高(61%)，傳統(tǒng)製造業(yè)(15%)排名第三(圖三)，細(xì)分之下又以製造業(yè)供應(yīng)鏈為主要被攻擊對(duì)象，其中以零組件供應(yīng)商(48%)佔(zhàn)比最高，代工廠(24%)次之，品牌商(14%)排名第三。

圖2 : 目標(biāo)式勒索漸成攻擊主流。(Source：TXOne Networks)

圖3 : 製造業(yè)成駭客攻擊目標(biāo)。(Source：TXOne Networks)

蘋果等品牌業(yè)者最忌商業(yè)機(jī)密外洩，因此相當(dāng)不樂見因?yàn)楣?yīng)鏈製造工廠遭駭導(dǎo)致資料外洩，因此近兩年開始嚴(yán)格要求供應(yīng)鏈相關(guān)業(yè)者強(qiáng)化資安措施，在品牌客戶施壓下，製造業(yè)者不得不全力投入資安防護(hù)。

劉榮太指出，注重OT資安的業(yè)者有三大族群，一是IT資安布局相對(duì)成熟的業(yè)者，二是工廠自動(dòng)化程度高的業(yè)者，三是具有資安危機(jī)意識(shí)者。進(jìn)一步觀察，臺(tái)灣製造業(yè)對(duì)資安的重視程度不若歐美日等國(guó)，資安採購的主要驅(qū)動(dòng)因素有二：一是法規(guī)限制，二是災(zāi)害發(fā)生後的應(yīng)變措施。

仔細(xì)觀察，大公司、超大公司或中小企業(yè)對(duì)資安的處理方式與態(tài)度各異，大公司、自動(dòng)化程度越高、毛利越高的公司越關(guān)注，如半導(dǎo)體晶圓廠；不少製造業(yè)上市公司正在補(bǔ)IT漏洞，如果出事當(dāng)然要買好買滿，可惜多數(shù)業(yè)者只有靠防火牆或防毒軟體「護(hù)體」，日常實(shí)務(wù)中的資安管制則付之闕如，因此很容易被駭客攻陷；中小企業(yè)推動(dòng)資安防護(hù)腳步更慢，資安意識(shí)相對(duì)較薄弱，多數(shù)仰賴經(jīng)銷商維護(hù)資安或直接委外。

圖4 : 掌控及部署工控環(huán)境難度高。(智動(dòng)化製圖；資料：TXOne Networks)

供應(yīng)鏈資安佈署動(dòng)起來 SEMI E187正式運(yùn)作

隨著資安問題受重視，未來勢(shì)必有更多國(guó)際大廠要求供應(yīng)鏈業(yè)者具備一定程度的資安部署。美國(guó)拜登(Joe Biden)政府已於2021年5月簽署改善國(guó)家網(wǎng)路安全行政命令(Executive Order 14028)，其中包含強(qiáng)化軟體供應(yīng)鏈安全及軟體弱點(diǎn)如何補(bǔ)強(qiáng)等內(nèi)容。

環(huán)環(huán)相扣的關(guān)係容易讓駭客鑽漏洞入侵至供應(yīng)鏈其他業(yè)者或用戶內(nèi)部，因此，未來美國(guó)品牌業(yè)者極可能反過來要求供應(yīng)鏈科技公司注意資安佈署，包含臺(tái)灣各產(chǎn)業(yè)供應(yīng)鏈成員，換言之，未來由品牌端要求廠房落實(shí)資安將成「標(biāo)配」，不想失格就必須積極部署資安。

劉榮太指出，所幸臺(tái)灣大型晶圓廠、封測(cè)廠等早已積極強(qiáng)化資安架構(gòu)，努力提升供應(yīng)鏈的安全性，因此目前臺(tái)灣市場(chǎng)因供應(yīng)鏈緊密連結(jié)而導(dǎo)致的連環(huán)性攻擊不多見，以單點(diǎn)資安災(zāi)害居多。

為強(qiáng)化資安及推動(dòng)供應(yīng)鏈安全，半導(dǎo)體晶圓產(chǎn)線設(shè)備資安標(biāo)準(zhǔn)（SEMI E187 - Specification for Cybersecurity of Fab Equipment）已於2022年1月正式運(yùn)作，這是第一個(gè)由臺(tái)灣產(chǎn)業(yè)主導(dǎo)制定的半導(dǎo)體國(guó)際標(biāo)準(zhǔn)，內(nèi)容涵蓋四大層面：作業(yè)系統(tǒng)規(guī)範(fàn)、網(wǎng)路安全相關(guān)、端點(diǎn)保護(hù)及資訊安全監(jiān)控，主要聚焦作業(yè)系統(tǒng)的長(zhǎng)期支援、網(wǎng)路傳輸安全、網(wǎng)路組態(tài)管理、弱點(diǎn)掃描、惡意程式掃描、端點(diǎn)防禦機(jī)制、存取控制及Log記錄等議題。

落實(shí)資安需克服2痛點(diǎn)：設(shè)備相容性與人才

在大環(huán)境帶動(dòng)下，過去對(duì)於資料外洩較不在意的工廠端也意識(shí)到強(qiáng)化廠房資安的重要性。不過，在協(xié)助業(yè)者擬定資安對(duì)策的過程中，TXOne Networks發(fā)現(xiàn)仍有需克服之處，「主要是電腦設(shè)備IT與OT的相容性問題以及人才不足問題。」劉榮太指出，避免駭客入侵不能只是防堵IT或OT，如今的駭客只要透過IT就可能入侵工控場(chǎng)域的OT，對(duì)電腦加密就可能直接打到生產(chǎn)線。

另一方面，不少IT設(shè)備雖然使用最新產(chǎn)品，但產(chǎn)線端卻可能沿用老舊設(shè)備，或者CPU跑不動(dòng)防毒軟體，還有一種狀況是新舊設(shè)備無法相容，比方電腦作業(yè)系統(tǒng)是早已終止支援的Windows XP作業(yè)系統(tǒng)，凡此種種都會(huì)影響資安防護(hù)的執(zhí)行與成效。

此外，全方位資安人才稀缺也容易拖累資安部署的速度，特別是同時(shí)了解IT、OT的資安專才，臺(tái)灣這類人才可能只有個(gè)位數(shù)，「誰來負(fù)責(zé)梳理企業(yè)的資安準(zhǔn)則，決定哪些關(guān)鍵設(shè)施、機(jī)臺(tái)需要保全，進(jìn)而找到務(wù)實(shí)的解決方案，這些都需要投入時(shí)間與資源。」劉榮太認(rèn)為，數(shù)位轉(zhuǎn)型過程中引發(fā)的資安風(fēng)險(xiǎn)是很新的課題，資安人才本來就少，加上OT資安需要同時(shí)了解資安與OT產(chǎn)線，未來更需要加速培養(yǎng)人才以填補(bǔ)人力空缺，他也不建議工廠資安直接使用IT管理軟體，「由於許多現(xiàn)場(chǎng)人員並不清楚該如何配合與操作，所以安全管理的劃分也要調(diào)整，建議以機(jī)臺(tái)出發(fā)。」

目前趨勢(shì)科技或TXOne Networks致力於協(xié)助客戶一起探索數(shù)位化之後的各種資安防護(hù)可能性，但他認(rèn)為，過程中，龍頭企業(yè)可以做出良好示範(fàn)，找出最佳實(shí)務(wù)(Best Practice)，比方SEMI E187即為一例。

沒有牆的世界 資安落實(shí)靠零信任

數(shù)位化讓世界越來越平，隨著雲(yún)端服務(wù)使用率的提升，未來勢(shì)必出現(xiàn)更多雲(yún)端資安事件。另一方面，加密貨幣興起改變了OT資安威脅模式，而Covid疫情則加速數(shù)位化轉(zhuǎn)型，讓駭客威脅日益擴(kuò)大。IDC研究指出，高達(dá)45%的IIoT資料會(huì)透過Edge Computing處理分析，未來多達(dá)60億的IIoT裝置將連結(jié)Edge Computing，此一趨勢(shì)除了帶動(dòng)資料管理需求，工控資訊安全與維護(hù)更成為迫在眉睫的課題。

然而，臺(tái)灣製造業(yè)仍普遍存在內(nèi)外網(wǎng)串聯(lián)而且完全信任的狀況，以至於一旦遭駭或中毒就很容易全軍覆沒。曾經(jīng)某上市公司發(fā)生整廠病毒流竄事件，因?yàn)閮?nèi)外網(wǎng)相連而且完全信任，某個(gè)環(huán)節(jié)中毒後便一路從四川廠打到蘇州廠，再從蘇州廠打到崑山廠，最後從崑山廠打回臺(tái)北廠……，對(duì)此，劉榮太呼籲，IT與OT隔斷才能相對(duì)安全。

IT與OT隔斷會(huì)是未來廠房資安運(yùn)作趨勢(shì)之一。產(chǎn)線網(wǎng)路隔斷可以有效將感染或中毒事件縮小到一個(gè)機(jī)臺(tái)，避免產(chǎn)生骨牌效應(yīng)，部分晶圓廠甚至讓每個(gè)機(jī)臺(tái)都做保全，也有採取一條產(chǎn)線做保全的做法，萬一發(fā)生問題只影響一條產(chǎn)線或僅需讓一條產(chǎn)線停工；第二個(gè)趨勢(shì)是未來業(yè)者可能在機(jī)臺(tái)上安裝防毒軟體；第三個(gè)趨勢(shì)是未來很可能由供應(yīng)商出具機(jī)臺(tái)無毒證明，這些做法都是未來落實(shí)廠房資安的可行選項(xiàng)。

以TXOne OT零信任資安解決案為例，就是以零信任資安模式，透過學(xué)習(xí)運(yùn)作，打造基準(zhǔn)線，進(jìn)而擬定OT防禦政策，也就是在新設(shè)備進(jìn)入廠房時(shí)即啟動(dòng)整體學(xué)習(xí)機(jī)制，同時(shí)納入應(yīng)用軟體服務(wù)以及網(wǎng)路溝通等內(nèi)容，透過全方位點(diǎn)對(duì)點(diǎn)及多層次資安保護(hù)模式，確保應(yīng)用軟體、設(shè)備、控制及網(wǎng)路安全，從進(jìn)場(chǎng)檢測(cè)、端點(diǎn)保全到公控網(wǎng)路保全提供三階段資安方案，360°保護(hù)資安，落實(shí)OT零信。

劉榮太進(jìn)一步說明，以往資安有牆內(nèi)牆外之別，牆內(nèi)信任，牆外不信任，但這些「牆」已經(jīng)逐漸消失，由於雲(yún)端普及化，很多員工根本不在牆內(nèi)工作，而是在牆外的星巴克工作，所以O(shè)T零信任的精神是，不能因?yàn)槭褂谜呖梢缘侨牖蛴袔っ芫痛砜尚湃?，跳脫牆的概念檢視及確保資訊安全才能將任何可能的資安意外扼殺在搖籃裡。

圖5 : 工控資安最佳建議。(智動(dòng)化製圖；資料：TXOne Networks)

強(qiáng)化廠房資安 落實(shí)4件事

趨勢(shì)科技資料顯示，可預(yù)見的未來，目標(biāo)式勒索攻擊仍將持續(xù)肆虐，可能利用APT手法進(jìn)行勒索病毒攻擊，以伺服器為主要目標(biāo)，駭客也會(huì)跟著重要資料往雲(yún)端移動(dòng)，而供應(yīng)鏈仍是常見的攻擊管道，透過軟體韌體、硬體植入惡意程式進(jìn)行大規(guī)模攻擊。至於駭客勒索方式也會(huì)同步進(jìn)化，包含單一勒索(檔案加密)、雙重勒索(外洩資料)、三重勒索(威脅發(fā)動(dòng)DDoS攻擊)，以及四重勒索(擴(kuò)大供應(yīng)鏈上下游的影響)。

不想任駭客魚肉，及早強(qiáng)化廠房資安為上策，劉榮太建議企業(yè)在守護(hù)廠房資安上宜落實(shí)以下四點(diǎn)：

1.強(qiáng)化資安防護(hù)基本功，如多層次防護(hù)及修補(bǔ)漏洞；

2.強(qiáng)化伺服器防護(hù)並落實(shí)嚴(yán)格的存取控管；

3.建立全方位資安可視性，如端點(diǎn)、伺服器、網(wǎng)路、雲(yún)端等；

4.遵守零信任原則。

此外，既有的駭客手法對(duì)雲(yún)端威脅仍具有一定程度的破壞性，如不嚴(yán)謹(jǐn)?shù)拇嫒」芾怼⒕W(wǎng)路釣魚、不安全的密碼或未定期變更密碼、已公佈的舊漏洞及新發(fā)現(xiàn)的漏洞等，仍需小心提防，才能永保安康。