感受到背後的涼意了嗎 ? 那是駭客正在虎視眈眈你在 OT 系統的資安漏洞 !
5 個提昇 SCADA 資安的方法,讓你面對威脅不再只是拜乖乖 !
近年來,駭客發現 SCADA 與工業控制系統 ( ICS;Industrial Control System )的資安相當脆弱,並多次利用勒索病毒或是虛擬加密貨幣挖礦程式入侵賺得金盆缽滿。對於 ICS 的攻擊次數也是逐年升高。
根據趨勢科技在 2020 年的統計數據,台灣擁有工業控制系統的企業機構,ICS 被勒索病毒攻擊,以及被挖礦程式 MALXMR 感染的案例數量,雙雙排名全球第2。
我們與 AVEVA 都希望能倡導一些應該實施的措施,讓控制重要基礎設施的 SCADA 系統和工業控制系統 ( ICS ) 從本質上更加安全。以下方法為參考當前 NIST ICS/SCADA 安全指南與相關資安機構之研究資料進行建議。
1. 不過度依賴氣隙 (Air-Gap) 系統
從經驗中我們可以得知,無論該系統是否使用在關鍵基礎設施中,都不可能簡單地為大多數 SCADA 系統進行實體隔離。從 ICS/SCADA 安全指南中也可以了解到,實體隔離不一定是一種安全可靠的方法。除非工廠是一個完全沒有自動化、並且沒有連接到外圍的廠區。
隨著工業物聯網 ( IIoT )的發展,以及多數企業都會將 OT 系統透過SCADA整合後,再與上層的 MES、ERP 系統整合。在這種情況下,SCADA 系統可以通過無線方式使用,或者透過互聯網不小心將威脅帶入設施。
而 ”真正的實體隔離” 也會遭受其他方式的入侵,例如社交工程、USB、受感染的 CD 或 DVD;如果控制設備是以PC 為基礎的,且機器沒有得到足夠的保護和鎖定,這類資安攻擊足以引入改寫 SCADA 和 PLC / RTU程式的機器人,並存在於未受保護的系統中。
這就是在 2010 年大名鼎鼎,專門攻擊工業設施中西門子 WinCC、PCS 7 系統的「Stuxnet 蠕蟲惡意程式 」所使用的滲透方式 (當時還偽裝成 Realtek 與 JMicron 兩家竹科公司的數位簽章,繞過安全產品的檢測並在短期內不被發現) 。
一旦被滲透,就可以利用中間人攻擊( Man-in-the-middle attack;MITM ) 提供假的PLC 和設備的實際狀態,欺騙 HMI與操作站。嚴重的話更會導致公安危機。
2. 不能只是用系統預設的安全措施
軟體及操作系統的預設配置並沒有涵蓋基礎的資訊安全。當前最佳實務方法包括為工業控制系統創建子網路,並使用 “DMZ” ( Demilitarized zone;非軍事區 ) 將歷史資料庫與公司營運網路隔離。
在企業營運網路中將數據傳遞給視覺化分析和 ERP 系統,而在 SCADA 系統解決方案(例如 AVEVA Edge、InTouch HMI、System Platform)中,SCADA 系統應設計為數據「守門人」,這意味著 SCADA 是數據輸入(例如,操作員輸入)或輸出(製程視覺化與分析)唯一的方式,並在必要的地方使用適當的防火牆和保護措施。
3. 做好實體設備的安全措施
USB 與攜帶式設備(例如插入控制系統的筆記本電腦)仍然是最大的惡意軟體及駭客威脅的載體。
根據趨勢科技統計,雖然已經存在 10 多年但對 ICS 依舊有著嚴重威脅的Conficker 蠕蟲病毒,有高達 85 %來自於 USB。
因此USB應受到控制和隔離,並且在允許進入 DMZ 區之前,務必接受反惡意軟體或設備的掃描。
4. 進行差異分析,防範進階持續性威脅 (APT)
控制系統的安全性必須分層。 由於 APT 只能被引入可以容納它們的系統中,而且在正式開始活動前,它們可以潛伏很長的時間。 因此對您的ICS配置進行差異分析,或是透過設計 APT 的行為模式,都可以讓隱藏的 APT 被檢測出來。
揭發 APT 的方法有很多,當開始計劃掃描和防範時,最好與非常熟悉你正在使用的 SCADA 系統,並且知道如何刪除或保護的專家及合作廠家一起進行計劃。在不中斷控制系統操作的情況下對抗它們。
5. 可考慮進行滲透測試 / 紅隊攻防
系統肯定是需要定期進行差異分析和風險評估的。尤其是當 SCADA 的配置隨著時間產生變化時。透過美國 CISA 機構提供的 US-CERT CSET ( Cyber Security Evaluation Tool;資安評估工具),可根據 NIST、ISA / IEC、ANSI 、ISO 等,甚至您自己的標準,詢問有關您的系統、產業或特定地區的問題。可以大大地幫助您了解 SCADA 系統的安全需求。
若是有規畫進行滲透測試,則保持謹慎小心。僱用的人員與廠商必須確切地知道他們在做什麼。在 2019 年的美國 NIST 大會期間,對滲透測試最大的反對意見是測試時,工業控制系統的中斷以及生產的損失。
此外,一些在其設施中進行過滲透測試的公司指出,在某些情況下設備損壞會導致數據丟失、服務器損壞和流程控制丟失。因此,滲透測試應在顯示需求後進行,並由知識淵博的安全公司進行,這些公司對您的 SCADA 系統非常熟悉。
看到這裡,您說不定有個疑問 : 「那麼既然有這些風險,為何還建議這麼做呢 ?」
這裡引用 CIO Taiwan 針對 OT 資安議題的其中一段報導 :
戴夫寇爾執行長翁浩正說,從攻擊方角度來看,他偏好一種論述。假使你們是攻擊者、是駭客,或技術高超的網軍,要攻進一個企業,會想從哪邊著手?
很多人選擇 IT,因 IT 裡面有許多系統、網站,就有漏洞可利用來做攻擊;但不少企業 IT 環境相對成熟,內部防禦機制相對齊全,也定期做滲透測試、紅隊演練,甚至採購 EDR 方案,要對他做攻擊,要嘛失敗、要嘛容易被抓到。
於是轉而從 OT 做嘗試,因 OT 攻擊事件相對難以被識破,而 OT 裡面的資安設備、監控設備比 IT少,因此在發生攻擊行動時,反應速度較慢,甚至渾然不知。
OT 場域若實施自動化,一定會有主機與 IT 介接,而 IT 也可能因為要銜接 OT 通訊,被迫把原本加密等級 Downgrade、變成沒有加密的狀態,隨著防講力減少,駭客就能從 OT 輾轉攻進 IT 環境。
考量現今鮮少企業敢對 OT 環境或整個企業實施大型紅隊演練,因他們難以承受網路及系統不慎停擺,翁浩正提出一個不錯的權宜之計,可建立一些與Production 環境一致的模擬場域,可容許檢測、掃描,即使中斷也無所謂,藉此驗證我這些系統配置存在哪些缺口,以補強 OT 環境的防護力。
完整報導 :
https://www.cio.com.tw/ot-towards-intelligentization-leads-to-increased-exposure
我們與 AVEVA 都非常重視您正在使用的產品,資安是否足夠安全。AVEVA 也會針對任何已知漏洞提供更新。透過了解安全風險,企業可以更好地保護自己和事業。
點這裡可以讓您清楚了解 AVEVA 修補了哪些漏洞~
有任何關於 SCADA / ICS 系統上的疑問,歡迎隨時跟我們聯絡 !
我們的專家很樂意為您解決工控系統上的疑難雜症 😎
我們的部落格搬家囉,未來更新都會在這裡。官方網站 / FB紛絲專頁 / YouTube / 官方LINE帳號 /
科勝科技 Utitech 是您在系統整合與工廠數位轉型的專業夥伴 !
立即諮詢,若有任何問題,歡迎隨時來信至 ContactPerson@utitech.com.tw
本次文章參考資料 :
NIST Special Publication 800–82 : Revision 2 Guide to Industrial Control Systems (ICS) Security
趨勢科技 2020 年 ICS 端點威脅報告
108 年經濟部工控物聯網共通性安全指南