駭客天堂: 聯網工廠的安全維護代價

作者: ADI 工業解決方案系統經理 Erik Halthen


您會做何抉擇? 付3000萬美元的贖金或讓組織架構毀壞?

想像你是一家製造商的資訊長。公司的生產線一直運行順暢,忽然間廠房燈光熄了,備用發電機隨即啟動,在緊急照明燈開啟後整個廠房變得暗了許多。究竟發生什麼事? 此時IT主管來電告知,剛剛收到駭客發來電郵,信中表明您的工廠已經遭受勒索軟體的攻擊。此時,許多方面的業務就此癱瘓,眼前你有兩個選項 : 其一是向駭客支付贖金,另一個選擇則是嘗試用備份檔案回復系統。隨後你決定要使用備份檔案,但最終付出的代價是損失3000萬美元的營收,以及生產線停擺所衍生的成本。

你是否準備向駭客支付數十萬、甚至數百萬美元的贖金來解鎖自己的檔案?根據Malwarebytes Labs 在2019年1月23日發表的《State of Malware》資安報告:

惡意程式的開發者從2018年下半年已經開始將鎖定的攻擊對象從消費者轉向機關行號,因為從企業收到贖金的機會遠高過個人受害者。企業在過去一年偵測到惡意程式的比率大幅增加 – 達到79%- 而其主要是後門、挖礦程式、間諜程式、以及資訊竊盜等程式增加所致。

為何會出現這樣的情況?數位時代持續開創新的可能性。企業領袖不斷發掘新的創新機會,但這樣的創新也伴隨許多挑戰。企業領袖面臨其中一項最艱鉅挑戰就是網路的安全風險,而這方面需要針對組織架構推動有別於傳統的變革。推動這樣的變革需要對注入新文化以及採行新的商業流程,藉以因應系統以及生命週期方面的複雜難題。

各界正快速採用各種新型邊緣智慧裝置,這些會產生與轉換資料的裝置也促成系統的複雜度急速攀升。這種資料極具價值,因為主管者是根據這些資料做出決策,所以資料越明確與精準其價值就越高。然而要實現這樣的價值,涉及過程極為複雜。需要適合的基礎設施,加上能即時取得與解讀資料,進而讓人員能在時限內做出決策。這樣的需求帶動連網世界的發展,在工業自動化領域的實現成果就是聯網工廠。各種裝置透過分散式網路相互連結,並藉由及時取得與解讀資料來創造價值。

工業4.0的大趨勢為創新打開了許多新機會,而工廠控制系統也變得更敏捷、更精準、且更有效率。因應網路攻擊的風險,確保資料的有效性,以及根據資料做出決策,這些關鍵元素都攸關聯網工廠能否獲得有價值的成果。由於發動網路攻擊的激勵動機和資產的價值成正比,因此因應風險的任務絕非易事。考量到網路維安的複雜性,以及必須從系統層面應付網路安全風險,為此企業主管紛紛尋求參考指南。

各國機關制定的新安全標準都列出這方面的指引,其中包括國際自動化學會(ISA)以及美國國家標準技術局(NIST)在內的主管機關。雖然各地區採行不同版本的標準,但這些標準的規範的方向大致相同。不過它們只能解決一部分的複雜問題,其提供的指南規範了如何評估風險,以及應採行哪些方法來因應風險。不過若想要成功實現安全的聯網工廠,還需要對整個組織進行徹底的整頓。

要建構安全聯網工廠,組織必須有能力解讀技術標準以及建立安全基礎設施。解讀相關安全標準,適切地因應網路安全風險,從而規範出相關的安全要求。發展關鍵的安全基礎設施,藉以在產品生命週期全程管理資產,才足以因應持續變遷的威脅環境。在邁入嶄新的聯網時代之際,組織必須由上至下推動商業流程。而這樣的策略將讓產品開發團隊能做出安全方面的取捨,以及擬定產品安全要求,藉以因應系統以及生命週期方面的複雜難題。

保護聯網工廠的隱藏挑戰

要在複雜營運技術(OT)環境中維護安全已經衍生出許多特殊的挑戰,而這些難題往往無法用標準的資訊科技(IT)解決方案加以解決。環境中現存的OT裝置,其資產價值、優先順序、以及限制,都和IT環境截然不同。在IT環境中,各界關切的重點都是確保信心;然而對於工廠而言,優先順序最高的通常是資料的可用度。此外,這些安全解決方案未來建置的系統中,將會充斥各種高度受限制的產品,其生命週期大多會超過20年。因此對於工廠資產而言,包括優先順序和相關限制,這些因素需要特殊的技能和流程加以因應,以及研擬出適宜的產品安全要求。然而這些技能與流程往往超出傳統IT組織的能力範疇。

要推行諸如保護OT環境這樣的系統性措施,首先須辨識出高價值資產、評估這些資產面臨的風險、以及在營運的範疇內針對安全做出適切的取捨。由於面對高度受限的環境以及特殊的營運設計,因此並不是所有安全風險都能在裝置層面成功克服。定義出的系統層級策略能指引專家做出適合的安全取捨。要執行威脅模型分析有許多途徑,但組織必須針對所有新的發展情勢調適出適合的流程。

圖1. 威脅模型分析流程

威脅模型分析的主要目的,是促使人員針對安全取捨進行討論,最終歸納出安全要求和規範。為此,可以根據營運的概念作為基礎,界定出關鍵資產,以及將系統拆分成較小的單元。之後,團隊可以開始運用成熟的方法來找出安全威脅與防禦弱點,以此作為初期的威脅模型。根據這樣的模型,即可建立安全降險措施(mitigation),以及討論各種取捨作為。由於營運的概念應該考量整體系統設計,因此涉及所有人員都應參與這些取捨的討論。最終,所有在元件層面尚未排除的安全威脅,都必須在較高的層面加以紓解,或視其為可容許的風險。採用標準流程進行威脅模型建構以及風險分析,有助於歸納出適宜的安全要求。

組織著手建構聯網工廠

為因應OT面臨的網路安全威脅,組織必須擬妥策略,從而採取措施建構聯網工廠。想要成功排除網路安全威脅的複雜性,一般都需要進行組織革新。在產品團隊中納編安全專家是邁向正確方向的一步,但光這麼做,組織還不足以掌握下一波工業革命的潮流。組織必須從最高層面著手,在整個企業環境推動與促成文化變革。這意謂著必須由一個中央組織負責網路安全事務,專責執行新流程與程序來因應網路風險、研擬網路安全要求、監視與回應網路安全事件、以及執行產品評估和驗證。

建立產品安全確保計畫,是因應未來網路安全風險的關鍵要務。這樣的計畫可確保開發團隊真正瞭解網路安全風險、必須保護的關鍵資產、以及提升營運績效所需的安全功能。此外還須備妥支援這類計畫的人員與程序,確保產品生命週期全程都能應付網路安全,以及建立有復原能力的基礎設施,從而快速回應新浮現的網路安全威脅與事件。

圖2. 產品安全風險管理框架

組織未來在因應新浮現的網路安全要求之際,必須展現感知能力,以及札根於組織文化,並透過標準流程與程序展現出適當作為。在過渡到聯網工廠的過程中,最困難的部分就是組織因應網路安全風險的工作。所有企業都必須回應這項挑戰,能夠推動文化革新的企業,將能掌握當前最重要的大趨勢。

Analog Devices籌組了一個中央安全小組,負責在整個組織建立安全文化,藉此因應持續的變遷的安全環境。透過公布施行安全程序,並整合到新產品開發流程,這樣的工作是整個組織建立安全文化的關鍵步驟。如此即可確保所有新產品皆針對安全需求進行評估,而且安全方針也納入研發計畫。安全方針旨在確保各項安全要求足以保護關鍵資產,而且納入到完全整合的系統設計之中。此外由於安全向來都是做出適當的取捨,因此Analog Devices的安全作為都經過各大客戶的驗證,而這些客戶廠商經營的業務就是負責維護聯網工廠的安全。和這些客戶聯手驗證我們的安全作為,可確保相關的安全取捨能夠在營運環境中實行。

在運用制度化手法建立安全文化方面,Analog Devices的網路安全事件回應團隊會負責評估新浮現的安全威脅、回應客戶遭遇的網路安全事件、評估產品衝擊、以及執行產品安全更新。要管理數量龐大的產品,長遠下來將涉及極可觀的工作量。因此需要適當規劃以促成永續經營,以及管理我們旗下所有產品線的安全解決方案。系統整合廠商往往會尋求其供應商協助解決各種安全挑戰以及降低生命週期成本,新產品挑選標準有助於促成更緊密的合作關係,協助控管聯網工廠的總成本。Analog Devices致力提供長期解決方案,針對各種新系統設計帶來最佳整體價值。

倘若眼前的抉擇是組織停擺或接受風險,那麼任何時間都應優先選擇讓組織停擺,而支付贖金則將是等而次之的選項。

參考資訊:

Kujawa, Adam, Wendy Zamora, Jovi Umawing, Jerome Segura, William Tsing, Pieter Arntz, and Chris Boyd. “2019 State of Malware”. Malwarebytes, January 2019.