2022/11/04
圖文引用自:ithome
近幾年企業積極展開數位轉型,邁向智慧工廠、IT與OT加速匯流下,伴隨而來的資安議題持續受到關注,為了提升保護力,網路安全零信任概念成為了有效防護的新對策之一,因此已有不少資安業者,將此概念用在智慧製造領域,在今年臺灣資安大會上,工業技術研究院資訊與通訊研究所經理陳伯榆介紹這個資安議題,他不僅解析智慧工廠面臨的威脅面,並描繪零信任資安用於智慧工廠的完整面貌,並提出多層次防護構想。
智慧工廠面臨4大資安威脅,內外均可能遭到攻擊
談到智慧工廠面臨的威脅, 陳伯榆指出,首先我們要將智慧工廠及資安威脅這兩者,進行完整剖析與解構,目的是,知道智慧工廠每個成分與位置範圍,也就能盤點相應威脅。
從智慧工廠與資安威脅來看, 陳伯榆分為4大結構,如實體層安全、網路層安全、資料層安全,以及應用層安全。特別的是,在5G專網加入企業環境之後,其新興資安要素也需將之納入考量。
以實體層安全而言,涵蓋大家對OT工控環境看重的PLC、RTU等部分,以及與後端相應的設備,不過,這裡有一項關鍵挑戰必須當心,那就是:智慧工廠的資安防護,對環境干擾必須是最小的,也就是資安不能影響營運效能以致中斷。
而在實體層的上一層:網路層方面,長久以來,製造業的資訊安全,側重在嚴密、封閉式的實體與網路環境管制,可是,隨著物聯網的普及、5G專網的導入,原有封閉結構逐漸開放,連接網路的型態也變得更多樣,連接的設備越來越細小、複雜,使得網路層安全面臨很大的顛覆。
此外,資料層、應用層的安全,也都同樣是智慧工廠必須考量的資安議題。
除了探討上述資安議題,陳伯榆指出,我們也要從駭客角度思維,設想智慧工廠結構上可能遭遇的攻擊模式。例如,因此他列出了20個攻擊設想,包括:惡意軟體或是惡意程式、利用智慧工廠網路設計與配置的缺陷、DDoS、應用層資訊外洩、利用遠程存取、軟體或硬體漏洞、攻擊身份驗證機制、資料外洩、盜竊(入侵系統後)、未經授權存取操作、駭客利用供應鏈、供應商與服務提供商突破、竊聽/攔截/劫持、駭客勒索加密攻擊(內部威脅)、操作意外損壞、社交工程與釣魚、針對網站型態系統的攻擊、API攻擊、雲端服務系統的脆弱點、因資安機制而導致營運中斷或系統故障、實體層攻擊,以及攻擊AI演算法。
在這些可能攻擊的情境當中,他特別強調,關於攻擊AI演算法的狀況,亦是未來智慧工廠非常重要、需多加保護的部分。
同時,面對各種滲透與侵入手法,他也以常見駭客入侵攻擊的角度來拆解。可看出關鍵的風險因素,包括:角色、攻擊路徑、攻擊方式,以及造成的危害。舉例來說,若以人的角度來拆解,可分為外部而來的駭客,以及來自工廠內部的員工,有可能發生遭遇網路釣魚導致惡意入侵,或是新進員工對操作不熟悉等狀況。
