隨著工業 4.0 為企業帶來了更快、更靈活的製造能力,讓 5G 網路、自動化和雲端數據分析日益普及,製造業也正在經歷網路資安情勢有史以來最劇烈的轉變。
企業每增加一種新的連線方式,就會讓網路資安領導人面臨更大的受攻擊面,再加上全球經濟正面臨衰退,因此他們未來勢必得面對團隊縮編及資源縮減的困境。企業需要一套網路資安計畫來防範這些不確定性,而良好的防禦計畫必須要能防範駭客入侵工業系統的 5 種手段。
駭客的 5 種手段為何?
美國「網路資安與基礎架構安全局」(Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 整理了駭客在攻擊工業控制系統 (ICS) 與營運技術 (OT) 時的 5 種手段,包括:中斷 (Disrupt)、癱瘓 (Disable)、阻絕 (Deny)、欺騙 (Deceive) 及摧毀 (Destroy),簡稱 5D。
儘管每一種手段的結果不同,但其執行方式卻大同小異。首先駭客會先選定目標系統,接著蒐集情報、開發工具、開發技巧、滲透系統,最後執行工具和技巧。
1、中斷 (Disrupt)
此一手段通常會搭配勒索病毒(勒索軟體,Ransomware) ,目的在阻撓使用者或操作者控制目標系統的能力。由於工業技術須仰賴外部連線,因此先天上就容易遭到這類攻擊。操作者或製造商所使用的遠端存取連線,也是另一個駭客癱瘓目標系統的入侵點。
駭客只要挑對目標,那麼即使是停機一小時,也可能造成災難性的後果,這就是為何在攻擊中搭配勒索病毒來勒索贖金會如此有效。您的網路資安計畫應該將 IT 系統漏洞導致 OT 營運中斷的可能性列入考量,並且妥善保護企業重要資源,如:採購文件、工程規格、組態設定等等,這有助於遏止潛在的駭客。
2、癱瘓 (Disable)
駭客一旦進入您的 OT 網路,他們只須簡單修改您系統的一些間隔數值或控制點,就能造成嚴重的癱瘓。有時製造商本身的品管標準甚至可能被駭客用來對付企業,因為有些設備可從遠端停止,或者在偵測到設定值到達危險門檻時自動停止。
如同前面的中斷技巧一樣,狡猾的駭客甚至會向受害者提議使用勒索病毒來幫忙恢復被癱瘓的系統,幫受害者省下自行復原的時間和成本。但這兩者方式都是無法接受的選項,因此您的網路資安計畫必須要能防範 OT 網路遭到這類癱瘓式攻擊。盤點您網路上絕對必要的服務,將其他不必要的服務關閉來減少可能導致關鍵系統遭入侵的漏洞。
3、阻絕 (Deny)
不是只有駭客和進階持續性滲透攻擊 (APT) 集團會攻擊工業系統。國家駭客也會攻擊關鍵基礎設施,由於監控與資料擷取 (SCADA) 系統的應用很廣,使得它們成為駭客用來切斷或控制工業設備的主要目標。
有多起相當知名的攻擊專門停止、中斷或破壞 SCADA 系統的軟體,例如 2010 年的 Stuxnet 蠕蟲。2017 年的 Triton 木馬程式甚至藉由攻擊工業保全系同來造成營運停擺。還有一種常見的手法是阻斷服務 (DDoS) 攻擊,這類攻擊會灌爆或癱瘓對外連線的網路。近年來這類攻擊越來越常見,而其造成的中斷通常都伴隨著勒贖,或是用來掩護更具破壞性的攻擊。
停機與生產延遲並非連網系統遭到攻擊時的最壞情況,有時甚至會對供應鏈造成嚴重的骨牌效益,甚至危及生命安全。保護 SCADA 系統意味著要保護其受攻擊面上的大量感測器與裝置。此外,在您擬定網路資安計畫時,也別忽略了人機介面 (HMI)、行動應用程式以及通訊設定。
4、欺騙 (Deceive)
駭客可能讓操作者無法監控目標系統,不論是為了在工業流程當中製造更多錯誤和延遲,或是為了掩蓋 OT 網路內的其他惡意活動。實際的作法有很多,從阻礙更新到停用 HMI 等等。2015 年發生了一起針對烏克蘭電網的網路攻擊,一般認為是親俄羅斯的駭客利用惡意程式篡改了 HMI 上的顯示內容。
欺騙攻擊的後續效應難以預料,尤其如果這項技巧是用來掩護其它破壞或間諜行動的話。要消除這項威脅,您網路資安計畫當中的一項關鍵要素就是要打造一個讓威脅無法擴散的網路架構。虛擬區域網路 (VLAN) 與防火牆可盡量限縮介面之間的開口,防止駭客癱瘓您的系統。
5、摧毀 (Destroy)
這是所有攻擊 OT 系統的 5 種手段當中最具破壞力、也最直接的一種。假使駭客能夠從遠端遙控您的工業設備 (或者單純滲透您的網路),那麼他們要破壞該設備比您想像的還要容易。即使是稍微調整了一下 CNC 工具機轉軸的幾何參數,就可能損壞工具機並造成附近人員傷亡。
駭客攻擊對於 OT 網路的破壞力顯而易見,但可供這類攻擊利用的漏洞卻比您想的還要普遍。具備遠端遙控能力的駭客可關閉某個斷路器、提高渦輪轉速,或者操控某個節流閥,就能立即對關鍵設備造成損壞。您的網路資安計畫應包含入侵防護 (IPS) 與入侵偵測 (IDS) 系統來攔截任何惡意活動,不讓它們有機會傷害您的人員和設備。
下一步
在 OT 網路的安全、效能及易用性之間求取平衡,只不過是資安長 (CISO) 和資安營運中心 (SOC) 團隊在擬定未來網路資安計畫時所面臨的眾多挑戰之一。然而千萬別存有幻想:駭客一定會攻擊您的工業系統。這不是會不會發生,而是遲早的問題。
一套能與 ICS 和 OT 工具整合的網路資安平台 (如 Trend One) 可改善您對這類複雜環境的情境掌握,讓您更快偵測及回應威脅。
採用 OT 原生解決方案來保護您的工業環境,就能在您資產的整個生命週期當中給予保護。TXOne 能滿足人員、工作負載以及工作環境的三重需求,提供跨產業的安全防護。
請參閱以下文章來進一步了解您該如何保護 OT 網路: