本文即針對(duì)高科技制造業(yè)的OT應(yīng)用環(huán)境及物聯(lián)網(wǎng)裝置,探討工業(yè)環(huán)境下可能面臨的資安威脅與解決之道�。
在國(guó)內(nèi)出現(xiàn)許多跟OT應(yīng)用有關(guān)的資安事件后�����,大家對(duì)于工控設(shè)備與物聯(lián)網(wǎng)裝置的安全性,有了更多的關(guān)心與重視�。本文即針對(duì)高科技制造業(yè)的OT應(yīng)用環(huán)境及物聯(lián)網(wǎng)裝置,探討工業(yè)環(huán)境下可能面臨的資安威脅與解決之道��。
IT(資訊科技)人員對(duì)于IT設(shè)備的資安維護(hù)其實(shí)已相當(dāng)熟悉�,但對(duì)于生產(chǎn)線上的OT(操作科技)設(shè)備則相對(duì)比較陌生,這也給了駭客入侵的可趁之機(jī)����。傳統(tǒng)IT領(lǐng)域重視資料的機(jī)密性與完整性,但OT設(shè)備則更著重于可用性與人員安全����,但為了因應(yīng)遠(yuǎn)端連線的需求,OT設(shè)備從比較封閉的環(huán)境下逐漸打開(kāi)網(wǎng)路大門(mén)����,面臨與IT設(shè)備同樣的安全威脅�。
通過(guò)網(wǎng)路行為特征阻擋異常操作的威脅
想要找出網(wǎng)路環(huán)境中潛在的威脅�����,目前除了防毒軟體外也已有其他的選擇�����,例如:Darktrace的企業(yè)免疫系統(tǒng)�,是一種網(wǎng)路防御機(jī)器學(xué)習(xí)技術(shù),正如人體免疫系統(tǒng)會(huì)了解身體的正常情況��,識(shí)別和消除一些不符合正常發(fā)展模式的異常值�����,其將相同的邏輯應(yīng)用于企業(yè)和工業(yè)環(huán)境�����。在機(jī)器學(xué)習(xí)和人工智慧運(yùn)算法支持下��,企業(yè)免疫系統(tǒng)技術(shù)可替代為網(wǎng)路中的每個(gè)設(shè)備和用戶(hù)學(xué)習(xí)獨(dú)特的「行為模式」����,若發(fā)現(xiàn)異常網(wǎng)路作業(yè)��,便可進(jìn)行隔離以確保系統(tǒng)安全;且可與其他資安系統(tǒng)相輔相成,提供中心監(jiān)控功能�����,防止機(jī)密資料外泄����,能對(duì)異常作業(yè)進(jìn)行虛擬隔離,但又不影響正常工作的運(yùn)行����,相當(dāng)適合IT與OT環(huán)境的運(yùn)作。
監(jiān)控特權(quán)連線避免異常資料存取
從許多企業(yè)實(shí)際案例中��,可以發(fā)現(xiàn)很多機(jī)密資料的外泄�����,通常是透過(guò)合法授權(quán)的帳號(hào)進(jìn)行存取��,一般的資安管理系統(tǒng)并無(wú)法識(shí)別與阻擋這些機(jī)密資料的外流�����。立寶科技產(chǎn)品經(jīng)理汪育慶表示,機(jī)密資料的外泄����,通常是透過(guò)員工有意、無(wú)意的操作����,或經(jīng)由外部承包商授權(quán)帳號(hào)進(jìn)入系統(tǒng),或因帳號(hào)密碼被駭客竊取�,透過(guò)特權(quán)帳號(hào)進(jìn)入系統(tǒng)存取;此外,也有些是經(jīng)由程式之間的資料分享�,導(dǎo)致資料存取過(guò)程中被竊取。他指出��,F(xiàn)UDO
PAM特權(quán)連線監(jiān)控解決方案��,可監(jiān)控伺服器連線��,記錄連線使用者的行為動(dòng)作�,包含滑鼠移動(dòng)軌跡、鍵盤(pán)輸入以及傳輸?shù)臋n案�,不需安裝任何代理程式(Agent)在被監(jiān)控的伺服器上,也不需要在用戶(hù)端安裝任何軟體觀看/稽核記錄下來(lái)的監(jiān)控內(nèi)容�。它可以監(jiān)控內(nèi)部員工、外部承包商或合作伙伴等在伺服器上的動(dòng)作行為�����,管理者亦可即時(shí)監(jiān)看,若發(fā)現(xiàn)異常動(dòng)作便可即時(shí)阻擋�,提供高科技制造業(yè)絕佳的資訊保護(hù)能力����。
要解決物聯(lián)網(wǎng)裝置的安全問(wèn)題,可先從設(shè)備制造的源頭做起���,
例如:對(duì)晶片韌體進(jìn)行加密保護(hù)�。
工控機(jī)與物聯(lián)網(wǎng)裝置的安全挑戰(zhàn)
而針對(duì)更為廣泛的機(jī)臺(tái)聯(lián)網(wǎng)甚至是物聯(lián)網(wǎng)裝置����,又該如何防范資安威脅?互聯(lián)安睿資通技術(shù)長(zhǎng)何宜霖表示,可以有以下作法:
1���、從設(shè)備制造源頭開(kāi)始進(jìn)行安全檢測(cè)
物聯(lián)網(wǎng)裝置為提供操作上的便利��,常提供網(wǎng)頁(yè)介面進(jìn)行操作����,因此駭客可透過(guò)瀏覽器漏洞對(duì)物聯(lián)網(wǎng)裝置進(jìn)行攻擊���。且很多人在安裝了物聯(lián)網(wǎng)裝置后����,幾乎都采用預(yù)設(shè)的帳號(hào)與密碼,使得駭客要掌控這些物聯(lián)網(wǎng)裝置變得易如反掌�。此外,物聯(lián)網(wǎng)裝置大多采用無(wú)線技術(shù)傳輸訊號(hào)����,這也讓駭客可以非接觸式地從空中攔截訊號(hào)來(lái)加以破解,趁機(jī)入侵物聯(lián)網(wǎng)系統(tǒng)�。要解決物聯(lián)網(wǎng)裝置的安全問(wèn)題,可先從設(shè)備制造的源頭做起�,包括:在產(chǎn)品的開(kāi)發(fā)階段便做好設(shè)備安全檢測(cè),對(duì)產(chǎn)品的韌體做好保護(hù)�����,以避免被駭客破解;在網(wǎng)頁(yè)介面�����、應(yīng)用程式的安全性上���,也要將已知的漏洞補(bǔ)上���。另外��,使用者也要有足夠的安全意識(shí)�����,不要使用預(yù)設(shè)的帳號(hào)與密碼�,才不會(huì)給駭客可趁之機(jī)�����。
2���、多層次的應(yīng)用程式白名單技術(shù)
國(guó)際間與臺(tái)灣本地都發(fā)生過(guò)工業(yè)機(jī)臺(tái)(工控機(jī))與物聯(lián)網(wǎng)裝置遭受入侵的事件,導(dǎo)致工廠生產(chǎn)與運(yùn)作都遭受到重大損失����。工業(yè)技術(shù)研究院副組長(zhǎng)卓傳育表示,工控機(jī)器設(shè)備每天進(jìn)行的工作相當(dāng)固定�,物聯(lián)網(wǎng)裝置也幾乎是全天候運(yùn)作,只要設(shè)備運(yùn)作正常����,管理者通常不會(huì)特別注意是否有異?���;蛞驯获斂腿肭?���,因此成為駭客下手攻擊的首要目標(biāo)。傳統(tǒng)防毒軟體采用黑名單概念──即發(fā)現(xiàn)黑名單中的惡意程式被執(zhí)行便加以警示阻擋��,但這種作法難免會(huì)出現(xiàn)漏網(wǎng)之魚(yú)��,導(dǎo)致系統(tǒng)遭受惡意程式感染�。應(yīng)該采用應(yīng)用程式白名單概念,只有列在白名單中的應(yīng)用程式才允許被執(zhí)行��,包括程式所進(jìn)行的系統(tǒng)呼叫���、控制流程等�����,這種多層次的應(yīng)用程式白名單技術(shù)����,才能主動(dòng)做好OT設(shè)備的資安。
3�����、晶片加密技術(shù)的聯(lián)網(wǎng)安全
想要在產(chǎn)品的開(kāi)發(fā)階段做好資訊安全工作��,可以嘗試從晶片加密開(kāi)始做起�����,國(guó)內(nèi)提供晶片加密方案的尚承科技執(zhí)行長(zhǎng)賴(lài)育承表示�����,資訊安全是開(kāi)發(fā)物聯(lián)網(wǎng)裝置的首要工作���,以PiLock晶片加密技術(shù)為例,能在產(chǎn)品開(kāi)發(fā)階段保護(hù)韌體安全���、對(duì)晶片韌體進(jìn)行加密�����,使其在生產(chǎn)制造過(guò)程中不被破解�����,短時(shí)間即可做好韌體加密保護(hù)工作����。其亦可以協(xié)助廠商在物聯(lián)網(wǎng)裝置的生命周期間,無(wú)論是韌體保護(hù)�����、韌體更新����、晶片制造、產(chǎn)品交付的過(guò)程�����,都能夠做好安全防護(hù)工作�,一方面保護(hù)廠家的智慧財(cái)產(chǎn),也可避免產(chǎn)品被駭客破解注入惡意程式�。
想要避免物聯(lián)網(wǎng)裝置被駭客入侵,可以從建立網(wǎng)路安全邊界做起�,做好內(nèi)網(wǎng)隔離的工作。此外�,企業(yè)也應(yīng)該經(jīng)常性地進(jìn)行場(chǎng)域的弱點(diǎn)掃描檢測(cè)�����,發(fā)現(xiàn)裝置與系統(tǒng)的弱點(diǎn)�,以便能及時(shí)地加以補(bǔ)強(qiáng)����,讓駭客無(wú)可趁之機(jī)。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無(wú)意��。如您是字體廠商�、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材���,請(qǐng)聯(lián)系我們�,本站核實(shí)后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的�����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解���!
粵公網(wǎng)安備 44030402000264號(hào)