文章提供:图文资通组
文章来源:https://www.ithome.com.tw/news/140100
发佈日期:2020.09.24 消息来源:iThome
在数位转型的风潮之下,为了因应各种资料交换与分析的需求,IT(资讯科技)与OT(营运科技)环境的融合已成必然的趋势,但这也打破了过往OT环境的网路实体隔离,减少保护,再加上OT环境的设备往往採用相对老旧的作业系统平臺,不仅存在许多漏洞,也因为需要持续运作,即使有对应的修补程式与软体、韧体的更新版本,也不易找到合适的空档来套用,结果导致OT环境面临极大的资安风险。
而在今年的臺湾资安大会的OT安全论坛当中,资诚(PwC)智能风险管理谘询公司风险及控制执行董事张晋瑞,也针对上述这样的防护实作困境,提出建议,他认为,可透过资安认证与框架的导入,持续落实与强化工控系统安全。
工控系统的资安问题,来自外部威胁、政府管制及内部风险
工业控制系统(ICS)或OT相关的网路威胁,已经是真实发生的事件,张晋瑞举出一些实例来证明。回顾过去这十多年,全球各地已陆续发生相关的重大资安事故,像是:2008年土耳其输油管线被攻击,2010年伊朗核电厂遭到Stuxnet恶意程式攻击,2015年乌克兰因恶意程式攻击发电厂的SCADA系统,而发生大停电,以至2018年WannaCry勒索软体攻击臺湾半导体公司,到了今年,也出现攻击废水处理设施的事件。
而在设备制造商的部份,政府也开始祭出铁腕,对于没有做好产品安全的业者提出法律控告,例如,美国联邦交易委员会就针对网路设备厂商发起诉讼,去年7月达成和解,但条件是导入软体安全防护计画,确保他们生产的无线网路路由器和网路摄影机是安全的。
另一个资安风险的议题,是与近期兴起的工业4.0、智能制造的风潮有关,企业必须尽快发展,而厂商的解决方案未实现完整的资安风险控管框架。有企业在完成相关的规画之后找上PwC,请他们帮忙评估安全性,结果发现当中对于这方面并未多做着墨,例如,在设计这类解决方案时,因为想得到效果,对于存取权限提升、变更程序,并无考量安全性的因素。张晋瑞认为,当中可能存在6大风险:未订定资讯安全政策、未订定开发及维护管理标准作业规范、产品存取控制技术老旧(明码处理/未加密)、供应链安全交互关系不清(多个供应商各自该负起的责任)、无资讯安全事故管理机制、没有资安资产盘点管理。
为何工业控制系统安全难管理?张晋瑞认为,可区分为IT和OT,IT是指企业整体资讯治理,而OT是指工业现场资安管理。
对IT而言,会有6大问题,首先,工业控制系统难盘点,因此无法管理(设备位于产线现场,IT人员不知数量、无法即时监控,且正式上线后就未关机,一旦将其关机,后续可能无法重启);第二,面对智能设备制造现场的网路环境,缺少安全监测防护措施;第三,企业内未设置负责网路安全的专门组织和力量,未制定防护、应急和恢復的预备计画(可能由IT人员兼任、处于人力与资源不足的状态,且不像金融业有相关法律遵循要求);第四,普遍处于没有任何防护手段的空窗状态;第五,企业不了解的智慧制造系统资产,以及系统如何互联;第六,对于当前的勒索软体危害与安全事件发展趋势和应对策略,缺乏了解。
在OT的部份,也有许多挑战。例如,本身的资安认知不足(过去并未考虑资安防护需求)、不了解物联网与云端资安威胁及需求、内部没有资安组织及合规知识、欠缺资安人力资源规画、对自身资安应变措施一无所知,老旧设备无法更新资安修补程式,而在面对资安需求时,往往也需要供应商协助。
资安治理、IT安全、OT安全要均衡发展,可兼容多种框架
若要全面确保IT与OT整体安全防护,我们可透过资安认证与相关管理框架的导入来持续落实。从企业的角度来看,IT安全已投入许多资源来进行,虽然不同公司的成熟度有别,但至少对这个议题有一定程度的了解,然而,若公司的环境同时存在着OT设备与技术,并不希望顾此失彼,仍须关注相关安全议题,因此,要追求的是企业整体资安治理,并且兼顾IT与OT这两边的防护。
在IT安全的部份,我们对于应用程式、系统如何设计、修改与管理,都较为熟悉,而从制度面来要求时,会透过ISO27001来推动,当中融合资安管理制度与控制技术,至于OT安全的部份,则是遵循IEC62443,并且融合物联网与云端的工业控制系统防护机制。
然而,面对这样不同的资安需求,只能各行其是?张晋瑞说:「我们难道要左边穿一件衣服,右边也穿一件衣服吗?两边的制度还不一样,这很不合理。」因此,要从整个企业资讯安全的角度来考量,此时,我们可以参考NIST Cybersecurity Framework(CSF),透过识别、保护、侦测、回应、復原等面向,来进行资安管理。
而在IT安全的作法上,我们可以运用ISO 27001的管理制度,来评估风险、重要性,再把资源放在较优先处理的部分,这是风险管理的过程;而OT安全的作法上,目前最热门的议题就是关于IEC 62443的标准,它就是针对OT、工控系统的安全规范,而我们可以参考当中的要求来强化防护。
不过,这样的局面可能会让人感到混乱,因为一边要做ISO27001,但另一边要做IEC62443,张晋瑞说,「一家大公司同时穿好几件衣服,很奇怪」,因此,他唿吁我们该思考的是,如何将这些资安规范融合在一起。
针对这样的需求,张晋瑞也用他们为一家制造业控股公司的规画,来说明实际的作法。一般而言,想要实现管理目标,固然有许多面向要考量,但相关的因应作为是可以兼容各种要求,举例来说,IT的部份,我们可能已经导入ISO 27001,而有144个控制项,而在OT的部份,导入IEC 62443,又有一些必须採用的控制手段,甚至我们还可以将道琼永续指数(DJSI)整合进去对应。
如果有些企业需要取得这样的分数,由于DJSI近几年来也开始针对资安层面提出问题,他们会询问企业相关的控管防护程度、是否有所作为,然而,企业若被对方要求揭露这样的资讯,张晋瑞说,难道要为了DJSI重新做一套?事实上,相关作为是一样的,但提报给DJSI的作法是有对应的,而且是能符合当中的特定条款规范,以及提供回覆方式,因此,只需做一次就能因应多种相关的要求,就像「穿一件衣服,就能因应三种不同的场合需求」早上要开会、中午要与客户见面、晚上要参加宴会,都只需要穿着同一套服装,而这也是企业要追求的目标。张晋瑞强调,并不是透过一个个资安框架的导入来达成要求。
了解IEC 62443架构与认证范围,可用来协助资安策略规画
而在IT与OT并存的营运架构下,企业该如何检视与实施资安控管与防护?基本上,我们可区分为5个层级,最顶端是企业管理层,接下来是业务逻辑层,当中有ERP等各种管理系统,也是IT安全过去经常要去强化的部份,再往下是OT的范畴,里面包含了营运管理层(MES)、流程监控层(SCADA)、自动控制层(PLC)、现场设备层(感测器、致动器),而在后三层当中,就有工业控制系统的设备。面对这些层级,该把风险管理的重点摆在哪里?我们必须要有制度规范来找出这些关键。
以IEC 62443而言,分成4个区块。
第1部分(IEC 62443-1系列)是这项标准的概论与通用介绍,包含4种规范。
第2部分(IEC 62443-2系列)是「政策」与「执行程序」,主要规范的对象是业主(Asset Owner),例如,高铁公司想要管理自动控制系统的资安,因此想要推动相关的制度,该公司就是业主,他们就可以选择IEC 62443-2-1,他们需要导入工业自动化与控制系统(Industrial Automation and Control System,IACS)的安全管理系统,而这系统就像ISO 27001的第二管理系统。
张晋瑞说,在规范当中只要提到「Requirement」的部份,都是可验证的(Cross-validation,CV)、验证公司可发证书的;而对于提供解决方案的供应商要求,可参考IEC 62443-2-4的规范。
第3部分(IEC 62443-3系列)是针对「系统」。如果业主需採用监控系统,有厂商想要投标、负责这项建置案,那么,厂商遵循的标准,就是这边的规范,因为此部分要求遵循的对象正是系统整合者(System Integrator),该厂商要注意当中的系统安全要求,以及资安等级。张晋瑞也举例说明这边的原则,例如,一般人使用的可能是第一级,企业用的是第二级,军用是第三级,需上到太空的是第四级。而有了这些依据,厂商就可以去规画承包的监控系统。
第4部分(IEC 62443-4系列)是针对「元件」。一家厂商提供的解决方案,未必全部由他们生产、制造,可能会使用到多个元件,像是监视器、硬碟、路由器,厂商再将这些元件组成一整套系统,而元件的供应商可以考量是否遵循相关的OT安全标准。
以IEC 62443-4-2来看,所规范的就是元件本身的产品安全,是否符合技术规格的需求,不过,产品送验时通常都是最佳状态,但验过之后,还是有可能因为受到修改而未能维持高水准,张晋瑞表示,因此,现在的趋势是,验证必须同时涵盖IEC 62443-4-1(安全的软体开发生命週期,SSDLC)。
简而言之,如果你是元件提供商,可考虑IEC 62443-4-1、IEC 62443-4-2;如果你是系统整合厂商,考虑IEC 62443-3-3、IEC 62443-2-4;如果你是业主,要知道如何管理,或要求供应商注意安全,注意IEC 62443-2-1、IEC 62443-2-4;其余的部份(IEC 62443-1)是这项标准的指南,所有人都可以参考。
建立统一的管理制度,将资源放在重要、高风险的部份
关于IT与OT融合,已是企业须面对的挑战,然而,在资安防护的工作推动上,我们该思考的是如何提升效率,而不只是扮演救火的角色,疲于奔命。
张晋瑞认为,要做好资安,并不只是区分IT与OT,各行其是,而应该要好好的一起做。
一般而言,我们往往若面临资安问题、事故,就必须设法修补与善后,但不一定能掌握IT与OT资产的风险,以及重要性的高低,因此出现资源不断投入,成效却不彰的状况。然而,企业的资源(人力、预算)有限,因此,我们还是要思考整体资安的管理,注意哪些组织要对流程进行管控、稽核,并且制定策略、实施正确的处置措施。
此时,若能有一套管理制度,企业就可以知道哪些是重要的、风险较高的部分,再将资源放在这边,就能有效保护重要资产、大幅降低风险。而在实际营运的过程当中,我们也会面临种种工作的要求,可参考资安认证的标准来验证,举例来说,在弱点更新的管理上,在ISO 27001里面,我们可参考A.12.6技术脆弱性管理的规范,如果是OT的部份,则可根据IEC 62443-2-3 IACS环境的弱点修补管理来进行控管。
整体而言,张晋瑞建议,上述这些都是该做的项目,但我们应该想的是如何由上而下,而且是横跨整个企业来施行,以及该把资源放在何处较适当。若能建立一套管理制度,就能够帮我们找到开始着手的起点,知道从哪里开始做,而相关规画,企业可以自己做,或找专业顾问公司来协助。