網路資安威脅
工業 4.0:CNC 工具機資安風險 (下篇)
本系列三篇部落格將探討 CNC 工具機相關的資安風險。 在這系列的第 3 篇 (也是最後一篇),我們將提出一些企業可用來保護工具機的防範措施。此外也將說明我們如何負責任地將這些問題通報給相關廠商,以及他們的回應是什麼。
防範措施
我們發現,我們分析的四家廠商當中只有兩家支援安全認證。但這兩家也不會預設啟用安全認證,使得設備很容易遭到駭客攻擊。啟用安全認證對於防止工業 4.0 功能遭到濫用至關重要。
資源存取控管系統對於降低攻擊的衝擊很重要,廠商有許多技術都開放讓所有人可以存取控制器的資源,這樣做很危險。正確的作法是採用一套資源控管系統來有限度開放權限。如此有助於確保唯有經過授權的使用者才能存取控制器的資源,防止未經授權的人員存取這些資源。
針對系統整合商與使用者,我們建議採用以下防範措施:
- 具備環境偵測能力的工業入侵防護及偵測 (IPS/IDS) 系統:最近資安廠商的這類產品突然大受歡迎,它們內建了網路引擎可即時擷取工業流程相關的網路流量來偵測攻擊。
- 網路分割:正確的網路架構非常重要,正如我們的研究顯示,所有受測的工具機都暴露了一些可能遭駭客濫用的介面。
- 正確的系統修補:現代化 CNC 工具機都配備完整的作業系統與複雜的軟體,因此難免
負責任地揭露
我們逐一測試了各家廠商的控制器,並適時通知了相關的廠商,我們第一次通知廠商的時間是在 2021 年 11 月,最後一次是 2022 年 3 月。美國「網路資安與基礎架構安全局」(Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 旗下的「工業控制系統網路緊急應變小組」(Industrial Control Systems Cyber Emergency Response Team,簡稱 ICS-CERT) 在我們研究期間提供了不少寶貴的協助,我們相當感激。
截至本文撰寫為止,所有四家廠商都已回覆了我們提出的疑慮,而且大部分廠商都在合理時間內針對我們發現的問題提出了某種程度的解決方案。更重要的是,所有廠商都對我們的研究感到興趣,並且都決定改善其說明文件或接洽其工具機的製造商,希望能為終端使用者提供更安全的解決方案。
如欲進一步了解 CNC 工具機所面臨的資安風險,請至此處下載完整的報告。