盤點產線工控IT/OT風險環節
多管齊下保障製造現場資訊安全

文/洪羿漣

把駭客攻擊活動狙殺鏈(Cyber Kill Chain)拆解為戰術、技術、流程而制定出的MITRE ATT&CK框架,現今已成為評估資安風險與偵測攻擊活動的準則,此外,針對工控環境的ICS框架,亦可輔助企業持續不斷地改善防護力。

隨著資訊科技(IT)與營運科技(OT)逐漸融合,過往封閉的工業場域開始大量部署聯網裝置或感測器,蒐集生產線每個工作流程產生的數據,進而引進人工智慧(AI)演算模型輔助分析,來提升故障預測、優化資源調度與製程等能力,以突破生產力與產品良率瓶頸,創造經濟效益。

然而物聯網的普及也讓各式聯網裝置成為攻擊者覬覦的標的。西門子(Siemens)製程工業自動化副協理范栩指出,西門子可說是實踐工業4.0的先驅,憑藉在全球眾多事業群的經驗,西門子參與了多種垂直領域的自動化基礎架構專案計畫。范栩發現,將OT與IT完整的融合,讓資料隨時隨處可取得以便輔助商業決策,已是當前製造業數位化轉型發展趨勢。問題是OT現場工程師、廠務等工作原本並不熟悉IT維運管理與資安意識,工作流程中可能會忽略必要的安全措施,或是沿用原廠早已不再修復安全漏洞的老舊系統設備與應用軟體,這無疑增加了資安風險。

欲將資安落實到OT場域,也就是製造現場層級,范栩認為,難度相當高。他說明,首要因素是工廠的機台設備生命週期過長。製造業的設備機台價格相當昂貴,部署完成後往往須服役20年以上,早年設計時難以預知日後的安全威脅,還須持續地修補更新漏洞,若不尋求專業協助,很難有效維持產線設備的安全性。

西門子致力於基於IEC 62443標準實踐縱深
防禦策略。

范栩

西門子製程工業自動化副協理

AI驅動的安全運營對抗攻擊威脅

   回顧近幾年全球最關注的資安事件,Fortinet資深技術顧問冼柏齡認為,美國輸油管業者Colonial Pipeline遭受的勒索軟體攻擊最具標誌性。該事件不僅造成重大經濟損失,更是首次使美國政府因資安事件宣布進入緊急狀態。雖然這已是三年前的事件,但美國關鍵基礎設施至今仍持續面臨類似威脅,突顯出資安問題的嚴峻程度。

在Fortinet每年發布的資安調查報告中,顯示台灣製造業是勒索軟體攻擊的主要受害行業。而其中,LockBit勒索軟體即服務(RaaS)對企業造成的危害最為嚴重。這些攻擊大多起因於用戶不慎點擊釣魚郵件或釣魚網站。冼柏齡指出,隨著生成式AI應用日趨廣泛,釣魚手法也變得越來越難以識別。他說明,運用生成式AI產生的圖片與郵件內文幾可亂真,即使提高警覺也難以完全避免上當,對OT運營構成嚴重威脅。

「面對這些新型態的資安威脅,Fortinet提倡不應僅依靠人力對抗,而是應該讓機器處理適合它們的工作,將人力資源保留給更關鍵的任務。」冼柏齡說,Fortinet在OT領域提出AI驅動的安全運營解決方案,包括基於網路資訊流、日誌記錄、端點行為模式和資安情資服務的四大AI與機器學習應用面向,以對抗新型和未知的資安威脅。

實現身分驗證和授權的概念,
可說是有效的安全基石。

邱志成

全景軟體總經理室資深顧問

企業應從攻擊者的角度評估自家工廠環境中的資產暴露與風險環節。

冼柏齡

Fortinet資深技術顧問

機器的身分認證 物聯網資安扮要角

在聯網裝置日益增長的應用場景中,機器的身分認證已經成為確保資安的關鍵。全景軟體總經理室資深顧問邱志成觀察,眾多國際資安標準,例如車聯網的ISO 21434、智慧電網的IEC 62351、半導體產線設備的SEMI E187等,都強調了為機器賦予身分認證的重要性。這不僅是未來的趨勢,更是即刻必備的機制。

實現機器身分認證的過程主要涉及兩大方面。邱志成說明,首先須為機器配發憑證,以便於管理。這包括憑證的申請、撤銷、更新、查詢、下載、同步等功能,有效確保設備的合法性。其次,機器必須建立信任根(RoT),作為信任的基礎。邱志成表示,「全景軟體與英飛凌合作,利用OPTIGA TPM、OPTIGA Trust M安全晶片和PUF技術,根據獨特的物理特徵生成機器的唯一身分識別碼。」

此外,針對機器的生命週期管理,從晶片的生產製造到組裝、銷售、使用,乃至於最終的報廢,都必須受到嚴格的資安管控。在工廠生產階段,全景軟體的程式碼簽署系統和金鑰硬體安全模組(HSM)扮演著關鍵角色。產品到達客戶端後,則可提供再次驗證、自動更新、安全啟動進行管控,以免遭偽冒。

針對IT與OT融合環境,仍存在運行數十年且不易更換的設備,資策會資安科技研究所(資安所)組長黃鼎傑指出,資安所提供ICTD資安監控服務,可讓工控設備運用AI模型輔助異常偵測。主要是基於非監督式學習演算法及特徵共享機制,建立工控設備端點的正常行為模型,增加工控設備端點的防護能力並強化廠區運作的安全性。此外,2023年資安所也提供工控資安賦能解決方案ICSentry平台。藉由ICSentry平台,可提供工控資產的健診服務,協助企業快速了解整體工控網路的狀況,同時執行監控維運。甚至亦提供紅隊演練,以及改善的建議,強化落實工控安全防護。 

AI在工控資安領域的應用,不僅提高了威脅偵測的準確性,還增強了系統的整體安全性。

黃鼎傑

資策會資安科技研究所組長

Check Point研究部門於2023年11月發布的報告預測了2024年的網路安全趨勢。該報告指出,AI時代的網路攻擊將呈現上升趨勢,並強調「以AI來對抗AI」的必要性。AI的應用將加劇資安防禦的難度,加速已知漏洞的武器化和概念驗證。Check Point資安傳教士楊敦凱強調,未採用AI技術的資安解決方案,未來將難以獲得市場青睞。技術供應商需要積極開發運用AI對抗AI的技術,同時也需深入探討用以訓練AI模型的資料、 專業領域知識以及AI的誤判率與攔截率之間的平衡。

伊諾瓦科技總經理萬述寧亦強調,面對AI或AIoT應用場域的資安疑慮,建立縱深防禦可說是有效的策略,不僅須涵蓋對關鍵資產存取的控管,也要增進對員工、資訊系統和應用場域的保護。透過釐清可能造成營運威脅的環節,選用合適的防護機制,並根據資產的重要性調整 防護措施的嚴謹程度,可以有效防止單一控制點被繞過。

人工智慧科技基金會技術長張嘉哲具有協助企業導入AI應用的豐富經驗,他提醒,企業須留意到,AI模型也可能遭受惡意攻擊,攻擊者的目的可能是為了逆向工程抄襲AI模型,或是欺騙AI模型使其做出錯誤判斷。因此他認為,了解AI模型的訓練過程和潛在漏洞是資安領域中的重要部分,藉由訓練課程可幫助學員加強對AI安 全性的理解和應對能力,以促進產業運用新興科技達到商業目標。

© Copyright 2024 城邦媒體控股集團 All Rights Reserved
為達最佳瀏覽效果,本站建議使用Chrome瀏覽器,畫面解析度1024X768以上,若以舊版本或IE瀏覽器可能發生效果無法正確顯示之問題。