物联网|万物联网时代来临 打破封闭内网提升网络安全
智慧工厂(Smart Factories)是工业物联网 (IIoT) 改造传统制造业的最佳展现 , 在万物联网(图 1)、大数据与 AI 等技术的结合下 , 智能制造、智能医疗、智能交通已成为台湾转型升级目标 。 然而 , 所面对的操作科技(OT)资安威胁会更严苛 , 只要遭遇一次重大网络攻击 , 原本物联装置所带来的效益 , 恐怕瞬间就会化为乌有 , 例如:机密资料外泄、营运生产停顿、供应链断炊 。 近年来锁定智能工厂的病毒越来越多 , 全球都有受害的灾情不断传出 , 不只影响生产线运作 , 更甚者会危及国家基础设施 , 并要当心成为勒索软件目标 。
本文插图
图 1:物联网运用遍及各种产业
打破封闭内网是安全的观念
过去多数工厂因设备老旧、缺乏专业整合人才 , 或因其为封闭系统而缺乏资安防护观念 。 在工业物联网的建置下 , 企业 IT 与厂房 OT 系统相互串连 , 使长久以来一直是被认为封闭网络的 OT 环境 , 暴露在可能遭受网络攻击风险下 , 包括商业机密遭窃取、恶意中断营运、攻击基础设施造成生产损失、甚至造成工安事件危害人员健康与安全等 。
有些工厂开放机台可以透过防火墙直接对外 , 任何人皆可以对机台进行联机管理 , 甚至从外部亦可以透过 IE 联机 , 进行管制 。 由于机台物联网化后加速生产力 , 但是对于网络的管理并没有严格要求与落实 , 容易造成后续资安维护管理上漏洞 。 因此在导入装置物联网后 , 联网的机具、人员管理识别、网络流量检测、LOG 纪录追踪都是需改善的要点 , 所以需要在原来的系统上加入信息安全的防护 , 除了原本防火墙基础网络防护外 , 建议区隔 IT 与 OT 的网络架构(图 2)、做好定期弱点扫描及人员资安教育训练课程等 , 除了保护企业的信息外也保护自己的网络财产 , 万一真的不幸发生攻击事件 , 可以将损害降到最低 。
本文插图
图 2:强化 OT 内网安全
智能工厂(OT 厂域)存在的资安威胁
攻击的来源来自几个地方 , 每个方向的目的并不一样 , 整个系统的问题分析如下:
(1) 来自网络黑客的攻击:
可能带有炫耀或是威胁意图 , 例如:黑客发出勒索邮件 , 要求交付比特币当赎金 , 如果不从就不定期发出瘫痪攻击 , 瘫痪战情中心或是阻断客户端的网络 。 勒索金额相对于工作上的损失 , 通常小很多 , 所以企业都会付赎金息事宁人 , 这样更助长这类的恶意行为 。
(2) 恶意人士攻击:
客户端的现场通常是无人的环境 , 有心人士进入专属的内部网络根本不费吹灰之力 , 在这个状况下 , 要窃取、伪造数据或是瘫痪网络运作 , 就像开了一道任意门畅通无阻 。
(3) 人员疏忽:
因为内部计算机跟厂房机台网络是没有任何管制 , 万一有人被引诱点了钓鱼邮件后 , 装入后门程序 , 让恶意攻击者有窃取机密数据与发动勒索攻击的机会 , 例如 , 把服务器的数据加密藉以勒索 。
(4) 不安全的身分认证:
在 IT 的网络环境中 , 对身分的权限管理是相当重视的 , 常见以相当多的认证机制严谨管控身分权限 。 不过 , 传统的 OT 环境架构 , 注重系统的运行与稳定度 , 面对资安的风险问题相对较低 。 因此在认证权限方面就容易忽略 , 产生许多不安全的联机 , 让厂内的人员或是设备的技术人员 , 只要利用计算机 , 就能轻松登入生产设备 。
(5) 不安全的协议:
一般生产设备之间的工业通讯协议 , 因发展的比较早 , 并未考虑与设计网络安全的相关功能 。 例如只要持有内建 Modbus 通讯协议的计算机 , 就能透过 Modbus 对生产设备发出任何指令并执行 。
(6) 事件纪录跟搜寻:
现况 , 每一个设备都是独立运作 , 并各自保留记录 , 能记录的项目及时间就看设备本身的储存装置 , 当需要事后查询时 , 就需要进入每一个设备中 , 用他的方式去查询 , 费时耗力 。
(7) 过期设备系统安全更新:
设备厂商会对设备的操作系统进行例行的安全性更新 , 当设备厂商宣布设备停产或是倒闭后 , 就不会对设备进行安全性更新 , 例如 , Microsoft 对 Windows 7 就不会进行任何安全性更新 , 此时 Windows 7 的漏洞就暴露出来 , 让有心人士有机可趁 。
但是在工业环境中 , 因为整体系统软硬件一起运作的因素 , 设备更替的速度跟 IT 环境是不一样 , 往往 10-20 年的设备依旧在运作 , 没连网前没问题 , 一旦上因特网就有潜在的威胁 。
(8) 无专业维护人员:
多数 OT 管理者对 IT 维护不熟悉 , 很担心设备发生故障或出现问题时 , 无法实时处理而影响产线的运作 。
区隔 IT 与 OT 网络架构 , 保护 OT 内网安全胁
【物联网|万物联网时代来临 打破封闭内网提升网络安全】攻击的来源来自四面八方 , 在信息跟网络安全的考虑下 , 众至建议导入智慧联网工厂将目前的网络架构进行调整 , 每一个不同目的的网络区块 , 执行不同安全等级的信息安全防护 , 例如 , OT 网络联机的对象都是固定 , 所以在防火墙上就可以执行严格的白名单策略 , 非允许的 IP 地址都会被拒绝联机 。 将对外供应链的服务器、OT 网络跟内部网络进行实体网络的区隔 , 新的网络架构示意图(图 3)如下:
本文插图
图 3:区隔 IT 与 OT 网络环境
面对传统制造业的升级转型 , 智能工厂中的 IT 与 OT 的整合也扩大了企业的攻击面 , 传统安全措施不太会充分考虑这些 , 例如 , 可能不适用于 OT 的区隔安全解决方案 。 正因如此 , 智慧工厂不仅容易受操作问题影响 , 也易受到 DDoS、勒索软件、网络钓鱼、系统漏洞、恶意软件、装置遭害等影响 。
IT 与 OT 的思维不同 , IT 要的是创新 , OT 要的是稳定 。 为了有效让 OT 环境维持稳定运作 , 除了区隔 IT 与 OT 网络环境外 , 建议在强化威胁情报信息通知 , 以达到【事前防范】、【事中阻挡】及【事后追踪】运作目标(图 4) , 减少被黑客、病毒入侵及攻击的机会让整个网络达到可控、可管的目标 , 就算被瘫痪 , 也能把损失控制在一个小区域 , 不会外散到整个网络环境 。
本文插图
图 4:藉由端点防护设备、纵深防御、全面管控与威胁情报 , 打造内外网安全
ShareTech 智能工厂 OT 架构与解决方案
概念是把每一个运作的单元用防火墙区隔 , 要进出本区之外的网络都需要进行身分识别及留下存取纪录 , 并利用 VPN 的加密技术 , 把原本在网络上明码传递的信息加密 。 然后整体的 IT 网络跟 OT 网络也是用防火墙做切割 , 只有被允许的人才能存取另一边的网络 。 在这个架构下 , OT 层的网络防护的机制说明如下:
网关安全防护
具备防火墙的防护机制(图 5) , 能够阻挡黑客的恶意扫描及碎片攻击等 , 能够阻挡的项目包含封锁 IP、封锁 Land 攻击、封锁Smurf、封锁 Trace Route、封锁 Fraggle、封锁 Tear Drop 攻击、封锁 ICMP / SYN / PIN of Death 等攻击 。
保护后端的服务器或是 PLC 等工业连网设备 , 避免 ICMP / SYN(TCP) / UDP 等通讯协议的洪水攻击(DOS)跟分布式洪水攻击(DDOS) , 导致服务被中断或式瘫痪 , 针对每一个通讯协议可以设定保护的力道 。
本文插图
图 5:检视网络流量 , 降低内网恶意攻击行为
提高网络威胁能见度(图 6)
主要有三点:
(1) 揭露隐藏的风险
加强对高风险活动、可疑流量和进阶型威胁的可见度 。
(2) 阻止未知威胁
透过大数据分析、学习和系统漏洞补防 , 保护企业组织网络安全 。
(3) 隔离受感染的系统
自动隔离网络中已经遭骇的系统 , 并阻止威胁扩散 。
本文插图
图 6:检测加密、非加密网络联机是否有恶意行为
管制 port 的建立联机机制
开越多的对外服务 Port , 代表把自己暴露在外的风险因素增加 , 所以对于已知的联机对象 , 不管对方是使用动态或是固定 IP 地址 , 都可以利用防火墙普遍有的 IPSec VPN , 建立安全的 VPN 信道传递信息(图 7) , 而不需要开 Port 的方式达成联机的需求 。
本文插图
图 7:透由 VPN 强化安全联机
建立白名单管理机制
由于恶意软件的变种速度太快 , 如果靠黑名单来做把关可能没那么可靠 , 所以对 IOT 设备的软件管理权限 , 应该都用白名单机制来进行控管 。 在 IOT 场域里具有极少变动的特性 , 通常系统在安装后 , 应用程序即维持不变 。 管理者可以决定哪些程序是允许被执行 , 其余的程序将被阻挡 。 当所有程序被允许执行时 , 应用程序白名单可以过滤内容或限定其带宽使用量 。
本文插图
图 8:ShareTech OTS 提供白名单防护机制
只允许特定的协议通过 , 避免非必要的数据泄出
在工控环境系统 , 有些单位为了远程管理的便利性 , 使用 SSH、Telnet、网页登入联机模式 , 如果没有采取任何安全管理措施 , 例如:只限定某些特定 IP 才能存取 , 或者必须经过身分认证后才能使用服务(图 9) , 否则让黑客轻易入侵系统管控设备 , 容易引起大灾难 。 SharTech OTS 防护设备可以与 AD/POP3/Radius 做认证授权机制 , 可协助管理人员与监控企业内部所有使用者账号 , 在确认使用者的 ID 的有效授权之后 , 才能允许其使用网络 , 让企业可以有效管理网络使用资源 。
本文插图
图 9 ShareTech OTS 防护设备提供身分识别机制
支持工业网络协议
ShareTech OTS 防护的设备要能支持常用的工业控制协议(图 10) , 例如 , EtherCAT 使用 TCP/UDP 34980、EtherNet /IP 使用 TCP 44818 UDP 2222 , 管理者只要选取这一些协议名称 , 会自动对应出应该开放的 Port 号 , 至于其他的通讯 PORT 全部被关闭 。以计算机组装线为例 , 若封包夹带可疑的参数 , 要求机械手臂执行标准以外动作 , ShareTech OT 防护设备在接获数据封包后 , 将进行封包分析、阻挡 , 降低计算机厂商蒙受巨额财物损失 。
本文插图
图 10:ShareTech OTS 支持工业协议埠
专属 OPC 入侵防御机制
导入 OPC 入侵防御机制(图 11) , 收集所有 IT、IOT 网络的封包与讯号 , 并且采用深度封包检测(DPI)的方式进行比对 , 分析通讯协议当中的每个层级 , 掌握出现异常数据的行为 。 让管理者可以在与关键工控设备连接的网络路径上 , 及时侦测到攻击事件的发生、并依照管理员的设定 , 中止或阻绝入侵行为 , 包括自动拦截弃置攻击封包 , 并依据设定 , 留下攻击的记录即通知管理者等连续的应变措施 。
本文插图
图 11:首创 OPC 入侵防御机制
日志
对于进出防火墙的事件有一个独立的地方可以查询 , 例如 , 何时、从哪里来的管理者 , 执行了哪一个动作 , 把这一些数据记录下来 , 方便管理者日后追踪 。
统整成威胁情报 - 战情室
详细的网络通联纪录及讯息通常会有专业的网络管理者来判读 , 但是为了让高阶的管理者能够立刻了解整个网络的安全程度、防护力道等信息 , 有一个统合的威胁情报信息 , 以图表的方式呈现 , 让高阶领导者快速的明了系统的安全度 。
设备灾难复原机制
当设备因外在事故无法正常运作时 , 硬件本身要能支持 LAN BYPASS 模式 , 不影响工厂生产营运 , 如果是硬件损坏无法运作 , 最好可以利用 USB 插槽 , 平时做好配置文件备份动作 , 当设备真的无法运作 , 只要立即更换一台 , 将原本 USB 换插到新机上开启电源 , 就会自动将原本的配置文件数据带入 , 不用 5 分钟完成灾难救援的服务 。
推荐阅读
- 医生|65岁老汉突然昏迷,三小时后离世,医生遗憾:这玩物害了不少老年人
- 初中生物|干货|初中生物:不得不记的50个核心概念,初一初二赶紧收藏!
- 昆虫|近亿年前的虫珀里藏只“小怪兽”!中国科学家发现昆虫新物种
- 冬天就适合用此物烙饼,鲜香营养,孩子爱吃,早餐吃一个暖心暖胃
- 杨振宁|清华大学:“物理学家杨振宁近日逝世”系谣言,先生身体健康
- 七种蔬菜自带“有害物质”,食用前要焯水,为了健康别图省事
- 尿毒症|尿毒症“盯”上年轻人,这些食物千万别贪吃!
- 系统性红斑狼疮|盘点:系统性红斑狼疮治疗药物研发进展
- 杨振宁|网传物理学家杨振宁去世,系谣言!昨夜还与友人回信互动!
- 系统性红斑狼疮|荣昌生物泰它西普获批,60年来第二款系统性红斑狼疮新药