【TechOrange 編輯部導讀】由於產業特性,製造業一直是位在全球統計排行榜上的資安危機「最大受災戶」。尤其製造業為確保客戶訂單和交付不受影響,通常只能承受極短時間的生產線停滯,一旦運營受到擾亂,產線需要承受極長的停機時間,潛在損失自然相當可觀,攻擊者就能藉此逼迫企業支付高額贖金。
製造業該如何應對並提升資安防禦能力,是當前最嚴峻的問題之一,其中,打造出「零信任架構」將是關鍵一步。下文將從百年製造廠的經驗出發,看看他們如何辦到。
製造業是駭客眼中大肥羊,台灣企業更須提高警覺
首先來看看全球製造業面臨的資安危機。IBM《2023 X-Force 威脅情報指數報告》指出,多年來,製造業一直是最容易被攻擊的受災行業。
《趨勢科技》於 2022 年底釋出的資安研究報告則點出,台灣有 72% 企業的供應鏈曾受到勒索病毒襲擊,明顯高於全球平均值 52%,更有 76% 的台灣企業透露,曾遇過發動攻擊的駭客主動告知其客戶或合作夥伴有關他們遭勒索病毒入侵的消息,藉此來逼迫企業支付高額贖金。
由於產業本身的供應鏈關係緊密、繁複的因素,比起一般企業,製造業的運作體系對於資安需求本來就較高,再加上近年興起的智慧製造概念更加強調整合 IT 與 OT 的工業物聯網,造成過去封閉的製造系統現在一不小心就「大門敞開」,讓製造業面臨更多的資安挑戰節節上升。
且當製造業被駭客等惡意來源攻擊,可能會面臨長達數天的系統、產線中斷,導致產能受阻、高昂成本,同時也必然伴隨對客戶和業務合作夥伴造成的負面影響。
面對上述種種威脅趨勢,零信任(Zero Trust)是近來被提出可達到有效防護的新對策,備受各大產業與國家推崇,而製造業經常與外部供應商、承包商和其他第三方進行合作,這些合作關係可能涉及對公司的重要資源和資訊的存取。對於製造業者來說,零信任架構可以有效協助製造企業有效管理並保護這些資源和資訊,並減少可能面臨的安全風險。
零信任架構:絕不相信、一律驗證的「鐵則」,就像過機場安檢
美國成立近百年的門窗產品製造商 Pella Corporation,近日便與《VentureBeat》分享了他們的「零信任心法」。這家成立於 1925 年的老牌門窗製造商,如何務實地實現零信任?
所謂的「零信任安全架構」(ZTA),正如字面上的涵義,打破以往將企業的防火牆視為安全的傳統觀念,這一架構遵循「絕不相信、一律驗證」的鐵則,無論請求來自何方或要存取何種資源,都要進行徹底的驗證、授權、加密等過程。
零信任架構套用的是微區隔方法和最低特殊權限存取原則,把橫向移動(Lateral Movement)最小化,等於把可能的受災範圍縮到最小,此外,也利用豐富的情報和分析功能檢測和應對異常情況,為企業提供更為安全可靠的網路保護。
*橫向移動(Lateral Movement)是指在一個已經被入侵的電腦網絡中,攻擊者繞過了一些安全措施,進入到其他節點或主機,並且在這些節點或主機上繼續搜尋其他價值目標,獲取更多敏感資訊的攻擊方式。這種攻擊方式的目的是要讓攻擊者在整個網絡中自由地移動,並且繞過其他安全措施,進一步擴大其攻擊面積和獲取更多價值資源的機會。
Pella 負責資訊網路安全的經理人 John Baldwin 表示,當大家問他是怎麼理解零信任的,他最喜歡說一個比喻故事來回應:
每次你進入機場時,你其實都會經歷「零信任」的標準化安檢過程,你需要提前提供身份資訊、他們需要了解你為什麼在那裡、你要乘坐哪個航班,並確保你不要帶某些東西去機場、液體只能放 100 ml 瓶子等規則是否遵守 —— 如果你表現得很正常,那就通過,但如果你表現得不好,他們就會介入處理。
首先,更重視身分與存取權管理(IAM)吧!
這家百年製造商已成功運用基於零信任的自動化工作流程,包括使用 CrowdStrike Falcon Complete 的託管檢測和響應(MDR)和 Falcon Identity Threat Protection 等等工具來實現端點安全,提高全公司範圍內 5200 個端點和 800 台服務器的安全性,藉此保護 1 萬名員工、18 個製造地點和展示銷售空間,以降低基於身分攻擊的風險,也釋放了團隊的大把寶貴時間。
♦ 延伸閱讀:資安人才跟日本壓縮機一樣稀少!企業請這樣做:從「內部」養出資安團隊
Baldwin 表示,「身份」在零信任的基礎設施和操作中,是非常重要的一環,因為管理者需要知道「誰在做什麼」、「這個行為是正常的嗎」?因此,身份的「可見性」要素也相當關鍵。
而下一步,則是確保特權帳戶訪問憑證和帳戶安全,「將這兩者(確保帳戶安全和提高可見性)結合在一起,是可以改變遊戲規則的,」他總結,「如果你對於環境中的人員了解不足,(問題會變得)更難診斷、解決」。
以 Pella 實行的經驗看來,零信任的方法策略能夠快速給予實際見解,以利在攻擊開始之前,就可「預測」並「關閉掉」任何類型的攻擊;成效上,Pella 已將過期和過度授權帳戶數量減少 75%,大大縮小了攻擊面,事件解決時間也從幾天縮短到 30 分鐘,還節省需聘用 6 位全職員工來營運 24/7 安全運營中心(SOC)的成本。
Baldwin 也指出,對於 Pella 來說零信任的最主要吸引力在於「自動化」,「以前,我們有很多手動流程,雖然結果也還算不錯,但我們花了很多時間在進行驗證,這導致效率低下。」
零信任最主要的吸引力在於,如果我可以標準化,那就可以實現自動化,一旦實現自動化,那麼很多事情執行起來將更有效率、成本更低,如此一來,我的團隊和其他技術資源就能專注於重要專案,而不僅僅是花時間只為確保過程中不會出事。
Baldwin 也形容,零信任是「一種心態以及一堆重疊的控制」。「 CrowdStrike 不會是 Pella 實現零信任架構的唯一供應商,但我們從端點可見性和保護開始,然後將治理框架建構到下一層,將其融入身分,確保所有 DevOps 都成為 DevSecOps。 」
台灣微軟提 8 大關鍵層面,全面防堵產線資安破口
平均而言,製造業在遭受攻擊後,系統平均需要 5 天才能完全回復,有半數的企業能在 3 天內回復,僅 15% 的企業足以在 1 天或更短的時間內做出反應、恢復正軌。
另也如 Baldwin 所提醒,全球製造業碰上的威脅和風險性質,已從過往「投機性的零散攻擊」,轉向「有組織的犯罪行為」,一定要做足「攻擊會發生」的心理準備和實際對策。
綜合上述攻擊趨勢,企業在資安防護上的需求,必須由過去單一防護手段轉變為更靈活彈性的智能架構。針對內、外部遭受的問題,台灣微軟便提出應從 8 大面向,即:端點裝置、伺服器、OT / IT、電子郵件、雲端、身分保護、資料保護、應用程式等方面,來全面強化資安防護罩,以提升製造業的營運韌性。
為助企業因應現狀,微軟結合雲端技術、AI、資安情報收集與分析,以及災難復原等功能,製造業者其實能在不升級舊型裝置的前提下,大幅提升企業防護力,把零信任架構內建於應用程式、基礎建設及資安防護,以建構堅實的符合時下需求的新世代的防護網。
以微軟提供的零信任執行案例成果而言,為企業帶來了顯著的投資回報率,不但讓資料外洩風險直接減半,在安全性程序上也可實現多項超過 50% 的效率提升。Forrester Consulting 的研究則指出,微軟零信任解決方案可實現 92% 的投資報酬率。台灣微軟客戶成功事業群總經理李乾瑋認為,透過良好導入零信任架構,甚至能擋下約九成以上的攻擊。
台灣微軟也建議,企業還應定期更新員工對資安的認知,培訓員工遵守最新規範,提高整個組織的安全層面素養。
由於許多企業的製造業務在海內外不斷擴展,為了因應業務發展,的確需要越來越多資安面向的協助,以跟上快速增長的端點和身份數量。加上近年來,隨著組織數位轉型的推進加速,混合式工作環境已是趨勢,隨潛在變因增加,零信任資安策略的重要性日益突顯。
迎向當今複雜多變的資安環境,為了保護敏感數據、維護客戶和企業自身營運效益,企業應適時調整或採取新的策略,例如零信任等更全方位、智能化的資安架構,提高安全防禦能力指標,以應對未來變幻莫測的商業環境與挑戰新局。
參考資料:趨勢科技、中央社、Venturebeat、Crowdstrike、IBM、台灣微軟1、台灣微軟2、台灣微軟3、台灣微軟4、天下雜誌,首圖來源:Shutterstock。
(責任編輯:藍立晴)
