越來越多的製造業成為網路犯罪份子有利可圖的目標。這些網路攻擊者是採用什麼樣的手段?製造業又該如何保護自己呢?
文/Peter Meivers‧譯/Christy Lee
很多容易遭網路駭客攻擊的漏洞通常隱藏在軟體應用程式中的錯誤程式碼裏。至少原則上,很多公司都意識到這些潛在的駭客入侵風險。但是,當公司的網路系統與工廠的各種生產設備連接時,這時情況就會變得更加複雜。
同時,由於使用共同的 IT 環境,機器和生產線在網路中能夠連接到其他電腦的技術已經成為許多製造業的標準模式。這樣的模式通常將不同等級的硬體和軟體混合在一起。因此,若攻擊其中的一個元件可能會迅速將安全可靠的基礎設施置於危險之中。並且可能會導致長時間的生產損失。
生產設備成為攻擊目標
當遭受攻擊時,公司生產不僅會陷入停頓,還因為不能按時交貨,製造業可能會面臨額外的契約處罰。根據 IBM X-Force 網路威脅情報的發現結果,2020 年製造業在受網路攻擊最頻繁的行業中的排名已經上升到第二位(2019 年為第八位)。只有金融和保險業受到的攻擊次數高於製造業。
網路安全服務供應商 Claroty 對在製造業環境中的勒索軟體攻擊進行了一項研究,結果顯示到 2021 年,關鍵基礎設施(KRITIS)領域中 80% 的營運商和公司都是勒索軟體攻擊的受害者。在歐洲,對 OT 系統的攻擊相較於對 IT 系統的攻擊程度甚至高於全球平均值。
企業還沒有做好準備
德國最大,也是歐洲最大的應用科學研究機構弗勞恩霍夫應用研究促進協會(Fraunhofer Instituts)對需要透過網路生產的公司進行了一項資安研究。在接受調查的公司中,沒有一家符合所有必要的網路安全措施要求。員工少於 250 人的中小型公司甚至沒有實施任何必要的安全措施。擁有超過 250 名員工的大公司處境較好,但仍然還有一些防護工作必須加強。
小型和大型企業在身份識別與存取管理(IAM)方面取得了最大的實施進展。位於德國的亞琛研究所(Aachener Instituts)表示,企業在應對網路攻擊的風險時,與其說是主動,不如說是被動的。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
大型公司對網路犯罪份子而言更具吸引力,因為這些犯罪者認定大型公司會願意支付大筆贖金。然而在另一方面,較小的公司被視為是一個相對容易的目標,因為它們的 IT 安全結構不夠健全。
在德國保險業總協會(GDV)的一項調查中,只有 42% 接受調查的中型公司填寫自己的公司遭受網路攻擊的風險選項是高到非常高(high to very high )。而剩下的 63% 則可能誤判形勢。網路攻擊變得越來越頻繁、技術也越來越複雜以及要求支付的贖金也變得更多。網路化的生產環境對於駭客而言是一個很有價值的目標,僅需一次成功的攻擊就意味著在這裡可能會產生重大影響,因此具有很高的勒索潛力。
駭客使用儲存媒體、ATP 和漏洞
雖然許多公司會定期更新常見的 IT 設備和系統,進而使其保持最新狀態,但生產機械的世界卻是完全不同。這裡潛伏著一些不顯眼的危險源。
因為生產工廠的平均使用壽命為 10 到 20 年,所以它們通常使用過時的作業系統。在通常的情況下,工廠裏的這些設備幾十年來都沒有收到任何的安全更新,這通常是因為保修索賠金額會因為安全更新而受到折損。
通常,資安犯罪者會在 OT 環境中使用網路釣魚或是利用未修補的漏洞。另一種流行的攻擊策略是使用儲存媒體的攻擊:在 2020 年,幾乎每三分之一對生產基礎設施的攻擊都是以手動操作的行動資料儲存為主。在分析公司 Techconsult 對營運科技中的網路安全平均值進行的一項調查中,中小型公司面臨的風險主要為 33% 。
生產環境中由惡意軟體觸發的網路安全事件中有 45% 屬於所謂的進階持續性滲透攻擊(APT)。 在 2020 年,這類攻擊主要影響員工人數少於 1,000 人的中型公司(58%)。
駭客透過 IT 或生產網路中的安全漏洞對生產網路進行直接攻擊,對規模較小和較大的公司造成的影響是一樣的。因此,IT 的網路安全事件會導致公司在生產過程中有較高的風險。
深度保護
為了解決這個問題,IT 安全部門和負責生產環境(例如工廠建設和維護)的專家們需要更緊密地合作。深度防禦(Defense in Depth)在這裡發揮著重要作用。雖然關注自己的系統很重要,但它只涵蓋了公司應該致力於的一個部分。因此,以下因素也相當重要:
● 人為因素
除了指導方針和組織角色定義之外,提高生產區域所有員工的 IT 安全意識也很重要。透過 IT 安全指南、員工的持續培訓和檢查工作流程,許多弱點已經可以識別和消除。
● 網路分段
IT 辦公室網路和生產網路的分離有助於在發生攻擊時可以降低損害。建議根據架構將網路劃分為更小的分區。
● 端點防禦
另一個有助於網路安全的因素是基於自動化統一端點管理(UEM)的風險管理。特別是在網路設備數量不斷增加的生產基礎設施中,安全團隊可以全面了解並檢查合規性準則。這裏重要的是,終端設備管理除了可以控制生產機器, 還可以控制和識別行動設備(如條碼或 NFC 掃描器)。
製造業法規
現在有許多法規與公司的物聯網資安直接相關:從 IT 安全法案 2.0、ISO 27001、GDPR 到 BSI 建議,法規來自多個不同的方向。在自動化技術中的 IT 安全方面,IEC 62443 標準提供了方向。在原則上,公司有責任確保自己的終端設備安全。
結論
隨著生產網路的不斷發展,製造業越來越成為網路犯罪分子的目標。這會影響各種規模的公司。因此,負責人不僅需要定期檢查 IT 基礎設施的安全性,還要評量安全風險。他們還需要正確記錄生產設施的狀態,並且實施適當的風險管理。
一個好的深度防禦策略應該包括 IT 和 OT 的專業知識。除了確保端點和網路的安全性,公司也應將人為因素納入考量,如此將有助於使複雜的網路生產環境安全化,並且可以確保所有系統的可用性。
(本文授權非營利轉載,請註明出處:CIO Taiwan)