被盯上了嗎?企業必須知道的四大資安議題

企業該如何築起安全的資安防護牆是日益重要的課題。

從過去製造業被攻擊的資安事件可發現,攻擊者有不同的動機,包括:商業競爭、勒索財務,或只是想造成大規模破壞的火力展示,也可能只是為了好玩、沒有特別目的的攻擊。

然而,對於高科技製造業而言,不管是產品或研發中的生產配方、製程、研發進度等,均是營業機密,一旦資料外洩,後果不只是影響訂單,甚至平白多出競爭對手,過去有不少前例,這也是防止資料外洩的資安解決方案,在這幾年熱賣的原因。

此外,2017年WannyCry蠕蟲攻擊事件,搭配新興匿名化的加密貨幣,不僅具快速的病毒式傳播,更加密被攻擊者資料、要求比特幣贖金,而造成全球不少的經濟損失。

製造業面臨四大新興資安議題

過去製造業所用的系統(特別是管理和監控生產設備的工業控制系統ICS),生產設備一般置於與外部網路實體隔離的「生產內網」,不容易遭受網路資安威脅。然而,隨著網路智慧化生產管理、設備即時監測管理需求,製造業者也將生產系統連上公司網路以增加效率,同時也增加了被攻擊的機會,而且,以往的舊系統保護機制也可能在連網後,無法防禦層出不窮的新興攻擊方式。

進而引發以下四項影響製造業安全防護的關鍵議題:

第一、智慧製造生產系統企業掌握度低:企業引入新的生產設備時,往往是軟體、硬體、作業系統整套購買,為避免影響功能,供應商不會開放最高層級的作業系統權限,並禁止企業資安/資訊人員安裝任何軟體或工具,除非供應商自行釋出更新,否則資安及資訊管理部門很難對這類機台的資安漏洞,進行修補、檢查。此外,上游供應鏈廠商負責的新機台,是否能在安裝前保證不會夾帶病毒?在廠安裝的客製化預載軟體以及安裝程序是否會引入惡意程式?上述都是需留意的重點。

第二、工業控制系統缺乏資安考量:由於許多工業生產設備原本在獨立的系統與隔離的環境操作,在初期設計缺乏身份驗證和基本加密等防護功能。

這意味著,若內部網路遭入侵,常缺乏有效阻擋的機制,攻擊者在一點突破之後,可以輕易地進入生產製造系統的不同部分,如監視和管理生產程序的控制器,進而可能導致作業停擺、設備損害、財務損失、智慧產權被竊,以及大量影響人員健康和安全的風險。

第三、製造生產系統更新速度緩慢:工廠生產設備端採用的作業系統,因為常有特殊的硬體驅動需求或客製化的應用程式要求,而非市面上的標準作業系統,必須由上游廠商提供客製化版本,也因此,作業系統版本的漏洞修補及更新,會與標準版作業系統有極大的時間落差。如此一來,容易造成早已公佈的系統漏洞及修補程式在這些生產機台主機上無法即時更新,增加暴露在遭受入侵感染的危險期。

第四、製造業以生產維持穩定為原則:製造業主要目標是保持生產設備穩定運行,任何環境的改變(如加入增強的安全解決方案)都可能會影響製程,製造業管理者偏好只進行微小的改變,期望在加入新的安全解決方案時,保持正常運行以及可靠性,在可能需要進行工業控制系統(ICS)檢修和測試時,需要更多的時間進行評估與實驗。

面臨上述關鍵議題,製造業可以參考美國國家標準暨技術研究院NIST的資安風險管理架構來防護。首先需確認資產,如製造設備所含硬體和作業系統的版本、客製化範圍,確實掌握這些系統的版本、已知的弱點等。

其次,新機台入場前測試,上線之後再進行「漏洞掃描、滲透測試」等資安稽查,確實管理已知漏洞,降低由外部引入惡意程式的可能。第三,在網路架構上,安排更完整的網路資安防護設備或解決方案,不應認為生產內網為實體隔離而掉以輕心。

最後,新設備持續運作後,仍需定期稽核、更新生產機台的作業系統、修補漏洞、檢查網路架構是否修改等。

台灣高科技製造業引進智慧製造時,所導入的智慧化網路管理、即時感知系統、資通訊管理服務平台,而新增的系統設備以及委外的次系統,都將為製造業帶來資安風險的疑慮。因此,風險管理需要供應鏈中的上、中、下游生產設備原廠通力合作,提供透明的設備資訊、資安事件訊息,才能共同面對資安威脅,資安防護不再是企業獨善其身,完整的供應鏈資安防護體系才是萬全之道。

(本文由工研院產業科技國際策略發展所分析師徐富桂授權轉載)

  • 如需轉載、引用本篇文章,請先與我們連絡!
  • 每一個分享都是支持「工業技術研究院」持續創作的能量!感謝您!
  • 文章內容為作者個人觀點,不代表本站立場。
發表意見
延伸閱讀
觀看更多