相關連結:https://www.ithome.com.tw/news/127996

  隨著去年台積電晶圓廠區發生機臺中毒事件,讓產線資安問題浮上檯面,近年OT網路隨數位化轉型而打破封閉性,使暴露在網際網路等問題更要被正視。

07321670f942df87f97520875373acc3.png

  資安的威脅近年正衝擊工業控制系統(ICS)所屬的OT領域,不僅是數位化轉型時所需面對的網路威脅,工控系統暴露在網際網路的問題,也都成為2019要正視的焦點。在2018年8月,台積電遭遇的資安威脅事件,更是敲響了高科技製造業的警鐘,僅僅因為新機臺上線時疏於防範,導致惡意軟體感染造成生產線停擺3天,讓全臺民眾都關注到產線資安問題的影響。

  這起重大事故,突顯出管理結構面的問題,像是產線機臺設備、主控電腦與網路設備等,並未掌握在IT部門管控範圍,且工業領域存在很多老舊Windows電腦未更新。更關鍵的是,由於網際網路與IT通用系統架構的盛行與普及,以及工業控制系統面臨數位轉型的應用需求,雖帶來管理維運的便利,但也打破了原本的封閉性,讓IT世界的網路威脅,成為工控領域同樣要面對的挑戰。



SCADA的資安漏洞揭露數量,在2018年已經開始大幅增加
  從工控系統相關漏洞揭露的趨勢來看,安全的問題確實備受各界關注,因為2018年漏洞數量已經大幅增加。

  2018年8月,趨勢科技旗下Zero Day Initiative(ZDI)漏洞懸賞計畫也來臺揭露全球資安漏洞新趨勢,當中提到,工業控制系統中的資料採集與監控系統SCADA(Supervisory Control And Data Acquisition)的漏洞數量持續飆升。

  ZDI表示,隨著物聯網的應用,工控安全受到關注的比例也因此提高。不過,ZDI也認為,參與漏洞懸賞計畫的供應商,可以先知道問題進而修補,能避免形成大規模損害。

  根據該組織的2018年中報告指出,2018年上半年發現的SCADA漏洞達202個,是2017年上半年的兩倍,當中以研華WebAccess軟體最多,其他包括台達工業自動化與Omron。

  而在下半年,ZDI研究人員公開揭露的漏洞更多,透過他們的公開揭露漏洞頁面,我們可以看出,Wecon也被發現大量漏洞,ABB、Crestron、Fuji Electric、LAquis與Omron的漏洞數量也不少,其他還有像是施耐德電機、INVT等。而此漏洞激增現象,也突顯工控安全在2019年將持續為關注焦點。



工控設備暴露於網際網路的問題,且無驗證機制保護,需及早因應
  再從另一個面向來看,關於工業控制與環境控制設備本身,沒有身分驗證機制,或使用預設密碼的狀況,也相當普遍,若直接或間接暴露在網際網路上,等於根本沒有防護可言。對此,在2017年2月,行政院國家資通安全會報技術服務中心曾經發出公告提醒。

  事實上,網際網路具有高危險性,這樣的問題不可忽視。在卡巴斯基實驗室發布的「2018 上半年工業自動化系統威脅現況」研究報告中,關於主要威脅來源的統計,以網際網路最高(27.3%),可攜式媒體次之(8.4%),電子郵件社交工程第三(3.8%),其中,來自網際網路的攻擊比前一年同期增加7%。

  2018年10月,根據國內資安服務業者安碁資訊的研究,臺灣暴露在網際網路的工控設備有5千多個,其中包括攸關民生的發電廠,安碁也因此向政府通報,而在他們12月提出的完整報告中,更是揭露最新調查結果,表示暴露於外的設備已高達10,546個。

  整體而言,有高達5成的工控設備啟用網站服務,採用未加密的HTTP 傳輸,也有許多設備使用弱密碼或預設密碼,有心人士只要網路上取得設備操作手冊就可得知,更麻煩的是,許多設備的預設密碼是寫入韌體之中,用戶無法修改。此外,新版OWASP十大網站安全風險,也普遍存在於工業控制網路中。而在啟用遠端連線的設備中,使用未加密Telnet連線,要比使用加密的SSH數量略多。因此,臺灣企業需及早改善這部分,採用最小權限原則來減少攻擊面。

  綜觀上述這些OT領域所面臨風險,還要注意的部分是,近年臺灣政府為協助產業轉型,智慧製造也是重點發展的議題,還有全球關注的工業物聯網(Industrial Internet of Things,IIOT)等議題,也因此,相關的資安環節需要更加重視。

上一個 回列表 下一個