5 個提昇 SCADA 資安的方法，讓你面對威脅不再只是拜乖乖 !

克里斯 | Chris Chen

·

Follow

Published in

科勝科技 | UTITECH 官方部落格

·

10 min read

·

Mar 23, 2022

--

Share

近年來，駭客發現 SCADA 與工業控制系統 ( ICS；Industrial Control System )的資安相當脆弱，並多次利用勒索病毒或是虛擬加密貨幣挖礦程式入侵賺得金盆缽滿。對於 ICS 的攻擊次數也是逐年升高。

根據趨勢科技在 2020 年的統計數據，台灣擁有工業控制系統的企業機構，ICS 被勒索病毒攻擊，以及被挖礦程式 MALXMR 感染的案例數量，雙雙排名全球第2。

我們與 AVEVA 都希望能倡導一些應該實施的措施，讓控制重要基礎設施的 SCADA 系統和工業控制系統 ( ICS ) 從本質上更加安全。以下方法為參考當前 NIST ICS/SCADA 安全指南與相關資安機構之研究資料進行建議。

1. 不過度依賴氣隙 (Air-Gap) 系統

從經驗中我們可以得知，無論該系統是否使用在關鍵基礎設施中，都不可能簡單地為大多數 SCADA 系統進行實體隔離。從 ICS/SCADA 安全指南中也可以了解到，實體隔離不一定是一種安全可靠的方法。除非工廠是一個完全沒有自動化、並且沒有連接到外圍的廠區。

隨著工業物聯網 ( IIoT )的發展，以及多數企業都會將 OT 系統透過SCADA整合後，再與上層的 MES、ERP 系統整合。在這種情況下，SCADA 系統可以通過無線方式使用，或者透過互聯網不小心將威脅帶入設施。

而 ”真正的實體隔離” 也會遭受其他方式的入侵，例如社交工程、USB、受感染的 CD 或 DVD；如果控制設備是以PC 為基礎的，且機器沒有得到足夠的保護和鎖定，這類資安攻擊足以引入改寫 SCADA 和 PLC / RTU程式的機器人，並存在於未受保護的系統中。

這就是在 2010 年大名鼎鼎，專門攻擊工業設施中西門子 WinCC、PCS 7 系統的「Stuxnet 蠕蟲惡意程式 」所使用的滲透方式 (當時還偽裝成 Realtek 與 JMicron 兩家竹科公司的數位簽章，繞過安全產品的檢測並在短期內不被發現) 。

一旦被滲透，就可以利用中間人攻擊( Man-in-the-middle attack；MITM ) 提供假的PLC 和設備的實際狀態，欺騙 HMI與操作站。嚴重的話更會導致公安危機。

2. 不能只是用系統預設的安全措施

軟體及操作系統的預設配置並沒有涵蓋基礎的資訊安全。當前最佳實務方法包括為工業控制系統創建子網路，並使用 “DMZ” ( Demilitarized zone；非軍事區 ) 將歷史資料庫與公司營運網路隔離。

在企業營運網路中將數據傳遞給視覺化分析和 ERP 系統，而在 SCADA 系統解決方案（例如 AVEVA Edge、InTouch HMI、System Platform）中，SCADA 系統應設計為數據「守門人」，這意味著 SCADA 是數據輸入（例如，操作員輸入）或輸出（製程視覺化與分析）唯一的方式，並在必要的地方使用適當的防火牆和保護措施。

3. 做好實體設備的安全措施

USB 與攜帶式設備（例如插入控制系統的筆記本電腦）仍然是最大的惡意軟體及駭客威脅的載體。

根據趨勢科技統計，雖然已經存在 10 多年但對 ICS 依舊有著嚴重威脅的Conficker 蠕蟲病毒，有高達 85 %來自於 USB。

因此USB應受到控制和隔離，並且在允許進入 DMZ 區之前，務必接受反惡意軟體或設備的掃描。

4. 進行差異分析，防範進階持續性威脅 (APT)

控制系統的安全性必須分層。 由於 APT 只能被引入可以容納它們的系統中，而且在正式開始活動前，它們可以潛伏很長的時間。 因此對您的ICS配置進行差異分析，或是透過設計 APT 的行為模式，都可以讓隱藏的 APT 被檢測出來。

揭發 APT 的方法有很多，當開始計劃掃描和防範時，最好與非常熟悉你正在使用的 SCADA 系統，並且知道如何刪除或保護的專家及合作廠家一起進行計劃。在不中斷控制系統操作的情況下對抗它們。

5. 可考慮進行滲透測試 / 紅隊攻防

系統肯定是需要定期進行差異分析和風險評估的。尤其是當 SCADA 的配置隨著時間產生變化時。透過美國 CISA 機構提供的 US-CERT CSET ( Cyber Security Evaluation Tool；資安評估工具)，可根據 NIST、ISA / IEC、ANSI 、ISO 等，甚至您自己的標準，詢問有關您的系統、產業或特定地區的問題。可以大大地幫助您了解 SCADA 系統的安全需求。

若是有規畫進行滲透測試，則保持謹慎小心。僱用的人員與廠商必須確切地知道他們在做什麼。在 2019 年的美國 NIST 大會期間，對滲透測試最大的反對意見是測試時，工業控制系統的中斷以及生產的損失。

此外，一些在其設施中進行過滲透測試的公司指出，在某些情況下設備損壞會導致數據丟失、服務器損壞和流程控制丟失。因此，滲透測試應在顯示需求後進行，並由知識淵博的安全公司進行，這些公司對您的 SCADA 系統非常熟悉。

看到這裡，您說不定有個疑問 : 「那麼既然有這些風險，為何還建議這麼做呢 ?」

這裡引用 CIO Taiwan 針對 OT 資安議題的其中一段報導 :

戴夫寇爾執行長翁浩正說，從攻擊方角度來看，他偏好一種論述。假使你們是攻擊者、是駭客，或技術高超的網軍，要攻進一個企業，會想從哪邊著手？

很多人選擇 IT，因 IT 裡面有許多系統、網站，就有漏洞可利用來做攻擊；但不少企業 IT 環境相對成熟，內部防禦機制相對齊全，也定期做滲透測試、紅隊演練，甚至採購 EDR 方案，要對他做攻擊，要嘛失敗、要嘛容易被抓到。

於是轉而從 OT 做嘗試，因 OT 攻擊事件相對難以被識破，而 OT 裡面的資安設備、監控設備比 IT少，因此在發生攻擊行動時，反應速度較慢，甚至渾然不知。

OT 場域若實施自動化，一定會有主機與 IT 介接，而 IT 也可能因為要銜接 OT 通訊，被迫把原本加密等級 Downgrade、變成沒有加密的狀態，隨著防講力減少，駭客就能從 OT 輾轉攻進 IT 環境。

考量現今鮮少企業敢對 OT 環境或整個企業實施大型紅隊演練，因他們難以承受網路及系統不慎停擺，翁浩正提出一個不錯的權宜之計，可建立一些與Production 環境一致的模擬場域，可容許檢測、掃描，即使中斷也無所謂，藉此驗證我這些系統配置存在哪些缺口，以補強 OT 環境的防護力。

完整報導 :

https://www.cio.com.tw/ot-towards-intelligentization-leads-to-increased-exposure

我們與 AVEVA 都非常重視您正在使用的產品，資安是否足夠安全。AVEVA 也會針對任何已知漏洞提供更新。透過了解安全風險，企業可以更好地保護自己和事業。

點這裡可以讓您清楚了解 AVEVA 修補了哪些漏洞~

有任何關於 SCADA / ICS 系統上的疑問，歡迎隨時跟我們聯絡 !

我們的專家很樂意為您解決工控系統上的疑難雜症 😎

我們的部落格搬家囉，未來更新都會在這裡。官方網站 / FB紛絲專頁 / YouTube / 官方LINE帳號 / 
科勝科技 Utitech 是您在系統整合與工廠數位轉型的專業夥伴 !
立即諮詢，若有任何問題，歡迎隨時來信至 ContactPerson@utitech.com.tw

本次文章參考資料 :

NIST Special Publication 800–82 : Revision 2 Guide to Industrial Control Systems (ICS) Security

趨勢科技 2020 年 ICS 端點威脅報告

108 年經濟部工控物聯網共通性安全指南