文章提供:圖文資通組
文章來源:https://www.ithome.com.tw/news/140100
發佈日期:2020.09.24 消息來源:iThome
在數位轉型的風潮之下,為了因應各種資料交換與分析的需求,IT(資訊科技)與OT(營運科技)環境的融合已成必然的趨勢,但這也打破了過往OT環境的網路實體隔離,減少保護,再加上OT環境的設備往往採用相對老舊的作業系統平臺,不僅存在許多漏洞,也因為需要持續運作,即使有對應的修補程式與軟體、韌體的更新版本,也不易找到合適的空檔來套用,結果導致OT環境面臨極大的資安風險。
而在今年的臺灣資安大會的OT安全論壇當中,資誠(PwC)智能風險管理諮詢公司風險及控制執行董事張晉瑞,也針對上述這樣的防護實作困境,提出建議,他認為,可透過資安認證與框架的導入,持續落實與強化工控系統安全。
工控系統的資安問題,來自外部威脅、政府管制及內部風險
工業控制系統(ICS)或OT相關的網路威脅,已經是真實發生的事件,張晉瑞舉出一些實例來證明。回顧過去這十多年,全球各地已陸續發生相關的重大資安事故,像是:2008年土耳其輸油管線被攻擊,2010年伊朗核電廠遭到Stuxnet惡意程式攻擊,2015年烏克蘭因惡意程式攻擊發電廠的SCADA系統,而發生大停電,以至2018年WannaCry勒索軟體攻擊臺灣半導體公司,到了今年,也出現攻擊廢水處理設施的事件。
而在設備製造商的部份,政府也開始祭出鐵腕,對於沒有做好產品安全的業者提出法律控告,例如,美國聯邦交易委員會就針對網路設備廠商發起訴訟,去年7月達成和解,但條件是導入軟體安全防護計畫,確保他們生產的無線網路路由器和網路攝影機是安全的。
另一個資安風險的議題,是與近期興起的工業4.0、智能製造的風潮有關,企業必須儘快發展,而廠商的解決方案未實現完整的資安風險控管框架。有企業在完成相關的規畫之後找上PwC,請他們幫忙評估安全性,結果發現當中對於這方面並未多做著墨,例如,在設計這類解決方案時,因為想得到效果,對於存取權限提升、變更程序,並無考量安全性的因素。張晉瑞認為,當中可能存在6大風險:未訂定資訊安全政策、未訂定開發及維護管理標準作業規範、產品存取控制技術老舊(明碼處理/未加密)、供應鏈安全交互關係不清(多個供應商各自該負起的責任)、無資訊安全事故管理機制、沒有資安資產盤點管理。
為何工業控制系統安全難管理?張晉瑞認為,可區分為IT和OT,IT是指企業整體資訊治理,而OT是指工業現場資安管理。
對IT而言,會有6大問題,首先,工業控制系統難盤點,因此無法管理(設備位於產線現場,IT人員不知數量、無法即時監控,且正式上線後就未關機,一旦將其關機,後續可能無法重啟);第二,面對智能設備製造現場的網路環境,缺少安全監測防護措施;第三,企業內未設置負責網路安全的專門組織和力量,未制定防護、應急和恢復的預備計畫(可能由IT人員兼任、處於人力與資源不足的狀態,且不像金融業有相關法律遵循要求);第四,普遍處於沒有任何防護手段的空窗狀態;第五,企業不了解的智慧製造系統資產,以及系統如何互聯;第六,對於當前的勒索軟體危害與安全事件發展趨勢和應對策略,缺乏了解。
在OT的部份,也有許多挑戰。例如,本身的資安認知不足(過去並未考慮資安防護需求)、不了解物聯網與雲端資安威脅及需求、內部沒有資安組織及合規知識、欠缺資安人力資源規畫、對自身資安應變措施一無所知,老舊設備無法更新資安修補程式,而在面對資安需求時,往往也需要供應商協助。
資安治理、IT安全、OT安全要均衡發展,可兼容多種框架
若要全面確保IT與OT整體安全防護,我們可透過資安認證與相關管理框架的導入來持續落實。從企業的角度來看,IT安全已投入許多資源來進行,雖然不同公司的成熟度有別,但至少對這個議題有一定程度的了解,然而,若公司的環境同時存在著OT設備與技術,並不希望顧此失彼,仍須關注相關安全議題,因此,要追求的是企業整體資安治理,並且兼顧IT與OT這兩邊的防護。
在IT安全的部份,我們對於應用程式、系統如何設計、修改與管理,都較為熟悉,而從制度面來要求時,會透過ISO27001來推動,當中融合資安管理制度與控制技術,至於OT安全的部份,則是遵循IEC62443,並且融合物聯網與雲端的工業控制系統防護機制。
然而,面對這樣不同的資安需求,只能各行其是?張晉瑞說:「我們難道要左邊穿一件衣服,右邊也穿一件衣服嗎?兩邊的制度還不一樣,這很不合理。」因此,要從整個企業資訊安全的角度來考量,此時,我們可以參考NIST Cybersecurity Framework(CSF),透過識別、保護、偵測、回應、復原等面向,來進行資安管理。
而在IT安全的作法上,我們可以運用ISO 27001的管理制度,來評估風險、重要性,再把資源放在較優先處理的部分,這是風險管理的過程;而OT安全的作法上,目前最熱門的議題就是關於IEC 62443的標準,它就是針對OT、工控系統的安全規範,而我們可以參考當中的要求來強化防護。
不過,這樣的局面可能會讓人感到混亂,因為一邊要做ISO27001,但另一邊要做IEC62443,張晉瑞說,「一家大公司同時穿好幾件衣服,很奇怪」,因此,他呼籲我們該思考的是,如何將這些資安規範融合在一起。
針對這樣的需求,張晉瑞也用他們為一家製造業控股公司的規畫,來說明實際的作法。一般而言,想要實現管理目標,固然有許多面向要考量,但相關的因應作為是可以兼容各種要求,舉例來說,IT的部份,我們可能已經導入ISO 27001,而有144個控制項,而在OT的部份,導入IEC 62443,又有一些必須採用的控制手段,甚至我們還可以將道瓊永續指數(DJSI)整合進去對應。
如果有些企業需要取得這樣的分數,由於DJSI近幾年來也開始針對資安層面提出問題,他們會詢問企業相關的控管防護程度、是否有所作為,然而,企業若被對方要求揭露這樣的資訊,張晉瑞說,難道要為了DJSI重新做一套?事實上,相關作為是一樣的,但提報給DJSI的作法是有對應的,而且是能符合當中的特定條款規範,以及提供回覆方式,因此,只需做一次就能因應多種相關的要求,就像「穿一件衣服,就能因應三種不同的場合需求」早上要開會、中午要與客戶見面、晚上要參加宴會,都只需要穿著同一套服裝,而這也是企業要追求的目標。張晉瑞強調,並不是透過一個個資安框架的導入來達成要求。
了解IEC 62443架構與認證範圍,可用來協助資安策略規畫
而在IT與OT並存的營運架構下,企業該如何檢視與實施資安控管與防護?基本上,我們可區分為5個層級,最頂端是企業管理層,接下來是業務邏輯層,當中有ERP等各種管理系統,也是IT安全過去經常要去強化的部份,再往下是OT的範疇,裡面包含了營運管理層(MES)、流程監控層(SCADA)、自動控制層(PLC)、現場設備層(感測器、致動器),而在後三層當中,就有工業控制系統的設備。面對這些層級,該把風險管理的重點擺在哪裡?我們必須要有制度規範來找出這些關鍵。
以IEC 62443而言,分成4個區塊。
第1部分(IEC 62443-1系列)是這項標準的概論與通用介紹,包含4種規範。
第2部分(IEC 62443-2系列)是「政策」與「執行程序」,主要規範的對象是業主(Asset Owner),例如,高鐵公司想要管理自動控制系統的資安,因此想要推動相關的制度,該公司就是業主,他們就可以選擇IEC 62443-2-1,他們需要導入工業自動化與控制系統(Industrial Automation and Control System,IACS)的安全管理系統,而這系統就像ISO 27001的第二管理系統。
張晉瑞說,在規範當中只要提到「Requirement」的部份,都是可驗證的(Cross-validation,CV)、驗證公司可發證書的;而對於提供解決方案的供應商要求,可參考IEC 62443-2-4的規範。
第3部分(IEC 62443-3系列)是針對「系統」。如果業主需採用監控系統,有廠商想要投標、負責這項建置案,那麼,廠商遵循的標準,就是這邊的規範,因為此部分要求遵循的對象正是系統整合者(System Integrator),該廠商要注意當中的系統安全要求,以及資安等級。張晉瑞也舉例說明這邊的原則,例如,一般人使用的可能是第一級,企業用的是第二級,軍用是第三級,需上到太空的是第四級。而有了這些依據,廠商就可以去規畫承包的監控系統。
第4部分(IEC 62443-4系列)是針對「元件」。一家廠商提供的解決方案,未必全部由他們生產、製造,可能會使用到多個元件,像是監視器、硬碟、路由器,廠商再將這些元件組成一整套系統,而元件的供應商可以考量是否遵循相關的OT安全標準。
以IEC 62443-4-2來看,所規範的就是元件本身的產品安全,是否符合技術規格的需求,不過,產品送驗時通常都是最佳狀態,但驗過之後,還是有可能因為受到修改而未能維持高水準,張晉瑞表示,因此,現在的趨勢是,驗證必須同時涵蓋IEC 62443-4-1(安全的軟體開發生命週期,SSDLC)。
簡而言之,如果你是元件提供商,可考慮IEC 62443-4-1、IEC 62443-4-2;如果你是系統整合廠商,考慮IEC 62443-3-3、IEC 62443-2-4;如果你是業主,要知道如何管理,或要求供應商注意安全,注意IEC 62443-2-1、IEC 62443-2-4;其餘的部份(IEC 62443-1)是這項標準的指南,所有人都可以參考。
建立統一的管理制度,將資源放在重要、高風險的部份
關於IT與OT融合,已是企業須面對的挑戰,然而,在資安防護的工作推動上,我們該思考的是如何提升效率,而不只是扮演救火的角色,疲於奔命。
張晉瑞認為,要做好資安,並不只是區分IT與OT,各行其是,而應該要好好的一起做。
一般而言,我們往往若面臨資安問題、事故,就必須設法修補與善後,但不一定能掌握IT與OT資產的風險,以及重要性的高低,因此出現資源不斷投入,成效卻不彰的狀況。然而,企業的資源(人力、預算)有限,因此,我們還是要思考整體資安的管理,注意哪些組織要對流程進行管控、稽核,並且制定策略、實施正確的處置措施。
此時,若能有一套管理制度,企業就可以知道哪些是重要的、風險較高的部分,再將資源放在這邊,就能有效保護重要資產、大幅降低風險。而在實際營運的過程當中,我們也會面臨種種工作的要求,可參考資安認證的標準來驗證,舉例來說,在弱點更新的管理上,在ISO 27001裡面,我們可參考A.12.6技術脆弱性管理的規範,如果是OT的部份,則可根據IEC 62443-2-3 IACS環境的弱點修補管理來進行控管。
整體而言,張晉瑞建議,上述這些都是該做的項目,但我們應該想的是如何由上而下,而且是橫跨整個企業來施行,以及該把資源放在何處較適當。若能建立一套管理制度,就能夠幫我們找到開始著手的起點,知道從哪裡開始做,而相關規畫,企業可以自己做,或找專業顧問公司來協助。