智慧工廠,資安

智慧大工廠時代來了,當工廠機台可以連網,資安問題隨之而來。日本車廠豐田(TOYOTA)在短短兩周內有兩家重要供應商接連遭到駭客攻擊,問題之嚴重甚至造成豐田全國工廠必須停工,造成巨大損失,這除了彰顯日本製造業的防禦意識與現場資安漏洞有待加強,也是台灣製造業的一大借鏡。

缺乏 OT 資安解決方案,超過六成製造業者曾遭網路攻擊!

趨勢科技一份 2020 年的報告指出,製造業是全球排到前三名,2021 相關資安事件每個月都在發生,像是去年 12 月超大資安漏洞 Log4j,就造成全球許多工廠供應鏈與產線出現極大風險。

去(2021)年趨勢科技一份針對美國、德國、日本 500 家製造業者做的調查顯示,有高達 61% 業者表示在工控場域都發生過資安事件,其中有 3/4 資安事件直接或間接造成生產線停擺,工廠停擺超過 4 天的比例超過四成,高達 59% 受訪者表示在 OT 場域缺乏有效解決方案。

睿控網安解決方案架構師徐肇陽今(13)在《TechOrange》2022 智慧大工廠論壇上給出睿控網安歸納建置智慧工廠應該要有的 5 項關鍵思維,包括網路區隔、修補管理(Patch Management)、白名單機制、強化關鍵資產以及安全檢測。

徐肇陽指出,工廠連網後,IT/OT 兩大系統的網路有了更多的互動與整合,間接讓邊界有模糊化問題,IT 常遭受的資安攻擊有機會滲透到 OT 網路環境之中,缺乏適當的網路區隔也是工控系統環境的控制網路曾最常見的問題與現實挑戰。

適當且細緻的網路區隔可避免工廠在遭受攻擊時,所有產線環境都受到影響,因此建議企業應將網路做區隔,不宜連接過廣。

在 5G、Wi-Fi 6、智慧邊緣運算等新技術加入智慧製造,工廠網路基礎架構已越來越複雜,修補管理的工作也變得更加耗時費事並消耗企業資源。然根據統計,2019 年有高達 60% 的資料外洩都是因為未套用修補更新所造成,而資料外洩可能導致數百萬美元的財務損失。

因此在修補管理方面,睿控網安建議製造業者,在重要系統、高風險資產方面,都應縮短上 Patch 的時程,或者使用虛擬修補(Virtual Patching)功能,為防火牆之後的機台弱點做掩護。

第三,工廠應分別為機台控制器和網路平台設置白名單防護機制,只允許信任廠商的程式運作,以正向列表方式執行限制,可大幅降低爆發資安事故的風險;第四,在端點防護上應強化關鍵資產設備保護,防止其設定檔被惡意竄改。

最後在安全檢測方面,應確保所有進廠設備執行基本檢測,出廠時亦然,尤其部分系統及設備可能無法安裝端點防護,企業應定期查驗蒐集健康狀況。

徐肇陽也強調建立 OT 零信任(Zero Trust)環境的重要性,藉由零信任機制嚴格驗證端點之間、伺服器之間是否合乎生產線安全基準再予以執行,全面加強產線、工廠、資產、OT 場域的資安防護。

(本文提供合作夥伴轉載。)