嘿 ! 這 5 個迷思可能會阻礙你的資安

瞧瞧 AVEVA InTouch HMI 的市場經理 Melinda，分享她對工業自動化領域資安的看法與發現的誤解

克里斯 | Chris Chen

Published in

科勝科技 | UTITECH 官方部落格

6 min readMar 24, 2022

從2018年開始，針對台灣製造業的資安攻擊就不斷傳出 ( 還記得一家知名晶圓代工企業就中招 WannaCry 想哭勒索病毒嗎 )。尤其是近年導入智慧製造的產業比例大增，OT 系統儼然成為有心人士最愛的攻擊目標。

我們特別選出 AVEVA 專家針對資安議題的專欄文章，分享給在製造業界的朋友。

下方是負責 AVEVA 工控產品 AVEVA Edge 與 InTouch HMI 的資深市場經理 Melinda Corley 所分享工業自動化領域的資安觀點 :

Melinda Corley :
在開發安全的 SCADA / HMI 幫助系統連接物聯網和分享數據時，重要的是不僅要看可以做些什麼來更好地保護應用程式，還要看看有哪些迷思會阻礙我們在資安上的努力。我們認為分享我們在工業自動化領域發現的一些誤解應該會有所幫助。

迷思一 : 資安是 IT 部門的工作 ?

注意網路安全是每個人的工作，每個人都有責任盡可能確保應用程式的安全。系統整合商和 OEM 廠商負責在界面中實施安全程序和協定，例如操作員和使用者的名稱、密碼驗證、啟動操作的記錄，以及透過安全連線共享資訊的應用程式。

營運商和管理人員有責確保應用程式內部建構的安全規則能夠被執行，並遵守公司政策進行登錄和登出系統等安全程序。

IT 可能允許或禁止 USB，以及下載測試內容或規範，而設施中的每個人都必須遵守這些限制並防止惡意軟體感染網路。

迷思二 : 攻擊都來自外部 ?

當然，有些是來自外部。但並非所有資安漏洞都是由外部惡意攻擊產生的。

有一些是因為粗心或無意的內部行為，甚至可能是惡意的內部行為所產生的。在很多情況下，可能是心懷不軌的員工故意洩露數據或從內部對系統造成破壞。

保護系統免受內部攻擊的最佳方法，是確保應用程式能夠在事件日誌中記錄操作員的任何活動、進行使用者身份安全驗證，且特定內容或控制權限僅交給該人或設備。

同樣地，確保安全協定就定位非常重要。例如，如果使用者共享密碼，或每個人都登錄到單一個使用者帳戶，那麼如果您是 AVEVA Edge 的使用者，您應該會發現到 AVEVA Edge 內建的 SCADA 安全性認證由於未被實施或啟動，而使這個登入活動無效。

迷思三 : 我們的數據對其他人沒有用處。沒有人願意竊取或操控它 ?

您永遠無法知道應用程式中的數據將會如何被使用。駭客總有無數個攻擊應用程式的理由。數據可能被竊取或記錄，甚至被控制成讓它對工業設備造成損害，例如先前的 Stuxnet 和 Aurora 惡意程式。

一些電網可能成為惡意控制的目標，任何正在使用的“智慧”技術也可能成為目標。即使數據沒有被盜取，開放式或未受保護、不安全的網路仍可能會被利用，並在網路內不相關的電腦上安裝惡意軟體，進行 DOS（拒絕服務）或其他類型的攻擊。

迷思四 : 如果我們有任何惡意軟體，防毒軟體會通知我們 ?

不幸的是，這不是真的。防毒軟體實際上只對已知的惡意程式、簽名檔和攻擊模式（例如特洛伊木馬）有效。甚至現有的惡意軟體也經歷了多代的進化，聰明到會欺騙防毒軟體。

使用防毒保護是一種優良的保全方法，但絕不應該是唯一用來保護系統免受惡意軟體侵害的預防措施。安全性應該分層應用在任何工業控制系統 ( ICS ) 或 SCADA 系統上。

迷思五 : 沒有應用程式是完全安全的，那麼為什麼還要麻煩呢 ?

出於同樣的理由，當您離開家門時您會鎖上門對吧?

雖然僅僅上鎖的門本身並無法阻止侵略性闖入，但它會阻止一些有進入房屋企圖的人。

良好網路安全的關鍵在於「分層」。沒有一個層本身是完全有效的，但是結合起來，就可以幫助建立一個非常安全的系統。一些安全分層可能包括：

1. 使用者名稱管理、強制執行密碼強度/過期的審查

2. 確保製程數據不與其他關鍵的企業數據資料庫在相同的網路或伺服器上

3. 使用有狀態封包檢查（Stateful Packet Inspection；SPI）的防火牆，以及為自動化協定、使用者和設備身份驗證、數據防護、加密和其他安全措施設計的入侵預防系統 ( IPS )。

4. 建立辨識不同使用者以及使用者群組的應用方法，並根據身份驗證和授權，管理對流程功能和數據的存取範圍。

5. 培養認真採取安全措施並遵循既定的安全協議和政策的組織文化。

6. 保護製程設備上的實體埠，例如 USB 埠要滿足系統和網路安全要求。

7. 將連接的電腦、終端機和設備，限制為只供設計用於在其上運行的應用程式。以便機器、程序或數據不會被用在未經授權的社交媒體上、與/或下載其他軟體，又或者連結到未經授權的媒介或網路。

以安全第一的設計而自豪的AVEVA，能為您提供您在為企業建立穩定、安全的 SCADA 和 HMI 應用所需的完整工具。

您可以在這裡看到 AVEVA 最新的軟體資安更新 !

身為 AVEVA 台灣總代理，我們的工程師與業務團隊每年都需要通過嚴格的原廠能力認證考試，才有資格繼續提供服務。

相信我們技術的硬底子可以為您解決工業系統以及工業數位化的疑難雜症，有任何疑問歡迎隨時與我們聯絡 😉

我們的部落格搬家囉，未來更新都會在這裡。官方網站 / FB紛絲專頁 / YouTube / 官方LINE帳號 / 
科勝科技 Utitech 是您在系統整合與工廠數位轉型的專業夥伴 !
立即諮詢，若有任何問題，歡迎隨時來信至 ContactPerson@utitech.com.tw

本篇文章翻譯自 :
https://www.aveva.com/en/perspectives/blog/five-cyber-security-myths-that-may-be-holding-back-your-security/

原文作者介紹 :

Melinda Corley
產品市場經理

Melinda Corley 是 AVEVA InTouch HMI 與 Edge 的產品市場經理。
她在自動化軟體產業有 10 年以上的研究與經驗。