「OT 安全」不是新議題,只是在邁向工業 4.0 過程中,風險變得越來越大。以前 IT 與 OT 各自為政,不過隨著數位轉型趨勢,逼使 OT 逐漸從過去身處獨立且單純的網路環境,逐漸走向整合 IT 的方向。而這樣的轉型,也導致許多 OT 設備必須資安風險與危機中。Forescout 近日發表研究報告,指出 10 家大型 OT 大廠設備,藏有 56 個資安漏洞。
知名 OT 設備大廠被發現 56 個資安漏洞
報告提到的 OT 設備大廠,包括美國空氣清淨機大廠 Honeywell、美國電信商 Motorola、德國 Siemens 等,這些設備大廠的產品總共被發現了 56 個資安漏洞。
報告指出,這 56 個資安漏洞可能讓駭客發動攻擊,最終導致 OT 設備故障且無法使用。如不當獲取各式登入資訊、韌體操弄、遠端執行任意程式碼、組態設定操弄、服務阻斷攻擊(DoS)、跳過驗證流程、檔案操弄、邏輯操弄等。
企業對資安防護需求飆升
不知道從何下手
趕快報名「資安知識快充」
拿「資安快速充電包」,得到最新資安趨勢白皮書。
由此可見即使是 OT 設備大廠,也無法通過資訊安全的考驗。隨著工業 4.0 時代來臨,無論廠商規模大小,數位轉型已經是企業發展必然趨勢,而沒有準備好資安的知識將會成為駭客的目標。
♦ TO 推薦閱讀:盤點工控系統資安最痛點,哪些措施最關鍵?從 IT 到 OT,打造資料防護新戰略
設計的安全度不足將導致資安漏洞
Forescout 在報告中指出,許多常見的的漏洞,可能都是因為設計時安全性考量不足,不過這似乎 OT 設備相當常見的現象之一。
報告舉例指出,許多 OT 設備登入資訊,不但沒有用加密方式儲存或傳送,加密機制中,無論是加密演算法或者各種資安驗證流程都相當薄弱。Frescout 指出,74 %的存有漏洞的 OT 設備,都曾經過各式資安認證,可見認證本身的稽核和審查過程都不夠嚴謹。
OT 設備公司必須進行資安稽核與加強教育
因此,建議各家 OT 設備必須徹底進行資安驗證稽核,排除可能攻擊並且加強保護經常有漏洞的設備,避免曝露在外網,且加強使用者的資安防護教育與意識。
從報告可以看出,邁向工業 4.0 的路程中,製造業者必須改變 OT 管理思維,提高對資安防禦的重視。
透過一個好的平台自動監控 IPC 運作,將風險和威脅限縮在特定範圍內,才能將資安攻擊所造成的損失降到最低,真正享受到工業 4.0 帶來的轉型效益。
本文開放夥伴轉載,資料參考:Forescout,圖片來源:Pixabay
