IT與OT加速匯流 工業(yè)聯(lián)網(wǎng)資安威脅與日俱增

疫情的肆虐下，全球各企業(yè)紛紛加快數位轉型步伐，并大舉擁抱5G、物聯(lián)網(wǎng)、AI人工智能、邊緣運算等科技，藉此建立更具韌性的營(yíng)運體質(zhì)。只不過(guò)，這也使得過(guò)去封閉的IT與OT環(huán)境更為開(kāi)放，也讓資安問(wèn)題變得更為嚴峻。光是2021年上半年，IoT裝置的資安攻擊事件就比起過(guò)去同期大幅倍增，特別是工業(yè)級別的物聯(lián)網(wǎng)設備，一旦遭受攻擊，企業(yè)往往將遭遇龐大的損失。這使得工業(yè)物聯(lián)網(wǎng)安全威脅已不能再等閑視之。

 
圖1 : 許多IT資安方案無(wú)法滿(mǎn)足工業(yè)市場(chǎng)特殊的OT需求。要確保OT資安的完整性，就必須同時(shí)具備OT的專(zhuān)業(yè)知識及網(wǎng)通能力。

數字化下的攻擊常態(tài)
由于智能制造需求加劇，近年來(lái)，IT與OT在工業(yè)市場(chǎng)正加速融合。根據IDC 2022年全球IT與OT多網(wǎng)融合市場(chǎng)與趨勢預測指出，到了2024年，將有七成五采用邊緣運算的全新OT應用程序，會(huì )透過(guò)作業(yè)程序虛擬化，將所有必要的執行檔、程序代碼及配置文件等，打包為一個(gè)標準軟件套件，讓開(kāi)發(fā)人員能利用該套件順暢地跨環(huán)境部署應用程序，形成一個(gè)更加開(kāi)放與組合式的架構及符合彈性OT維運需求的環(huán)境。

此外，針對今日企業(yè)常遇到的勒索病毒問(wèn)題，也再次顯示了備份及還原對于建立完整數據保護策略的重要性。面對數字化時(shí)代來(lái)臨，勒索病毒攻擊已逐漸成為常態(tài)，全球企業(yè)與工廠(chǎng)經(jīng)常因此備受困擾，并面臨支付昂貴贖金的風(fēng)險。根據Cybersecurity Ventures預測，到了2031年，全球因勒索病毒危害所帶來(lái)的成本將高達2,650億美元。盡管企業(yè)機構與工廠(chǎng)普遍認知到這項風(fēng)險，但對于內部現有的防范措施是否有效、以及未來(lái)應達成的資安程度，仍有一段認知上的差距。

Pure Storage指出，建立一套實(shí)質(zhì)且具意義的數據保護策略，并采取前、中、后期的完整規劃，是今日企業(yè)成功的重要因素之一。雖然適當的防范措施是預防攻擊的必要元素，但妥善的還原規劃對企業(yè)來(lái)說(shuō)也同樣重要。

IT與OT融合趨勢
工業(yè)數字化的轉型，正在快速推動(dòng)運營(yíng)技術(shù)（OT）整體格局的改變，使其與物聯(lián)網(wǎng)、IT 系統與解決方案之間的聯(lián)系更為緊密。運營(yíng)技術(shù)是使用硬件與軟件搭配的系統，來(lái)監控并控制工廠(chǎng)的有形資產(chǎn)和生產(chǎn)運營(yíng)。工業(yè)控制系統（ICS）是OT的一個(gè)重要組成元素，包括用于工業(yè)過(guò)程控制的不同種類(lèi)控制系統和相關(guān)儀器。隨著(zhù)這些環(huán)境的不斷發(fā)展，OT環(huán)境正在利用更多的IT解決方案，來(lái)提高生產(chǎn)運營(yíng)的生產(chǎn)力和效率。IT和OT系統的這種融合，正在創(chuàng )造一種混合技術(shù)，用以適應惡劣的工業(yè)網(wǎng)絡(luò )環(huán)境。

工業(yè)物聯(lián)網(wǎng)（IIoT）正是將工業(yè)控制系統與企業(yè)系統和物聯(lián)網(wǎng)、業(yè)務(wù)流程及分析洞察能力連接與整合的系統，是智能制造和工業(yè)4.0的關(guān)鍵推動(dòng)力。工業(yè)物聯(lián)網(wǎng)可以進(jìn)一步拓展工業(yè)環(huán)境的可應用技術(shù)范圍。當然，OT與IT的融合，也為工業(yè)客戶(hù)帶來(lái)必須妥善管理的全新安全風(fēng)險和挑戰。

IDC研究總監Jonathan Lang長(cháng)期專(zhuān)注于研究并追蹤全球IT與OT的多網(wǎng)融合策略及趨勢，他認為網(wǎng)絡(luò )與信息安全對OT環(huán)境中各種設備和設定具有強大的相乘作用。但前提必須是兩者都是為OT環(huán)境特別設計的，才能發(fā)揮預期的綜效。隨著(zhù)全球工業(yè)環(huán)境數字化程度持續深化，以及OT設備與系統連網(wǎng)的需求日增，將會(huì )有新型態(tài)的產(chǎn)業(yè)要求與標準出現，目的就是要能確保供貨商能與時(shí)俱進(jìn)并符合這些新的要求?，F有的許多IT資安方案，并無(wú)法滿(mǎn)足到工業(yè)市場(chǎng)特殊的OT需求。而更重要的是要能確保OT資安系統的完整性，就必須同時(shí)具備OT的專(zhuān)業(yè)知識及網(wǎng)通能力。

制造業(yè)成為攻擊目標

 
圖2 : 在IT與OT的匯流下，工控環(huán)境已成為黑客熟悉且更容易攻擊的場(chǎng)域。

疫情加速驅動(dòng)了國際供應鏈的變遷，在后疫情狀態(tài)造成的經(jīng)濟變局下，全球制造業(yè)的市場(chǎng)規模都正不斷擴張，以臺灣為例，在2021年中國臺灣的制造業(yè)產(chǎn)值就高達了23.06兆元，為中國臺灣GDP占比最高的產(chǎn)業(yè)。然而，在這樣的產(chǎn)業(yè)榮景下，看準高成長(cháng)的產(chǎn)業(yè)利潤，伴隨而來(lái)的是越來(lái)越多網(wǎng)絡(luò )的攻擊方，將制造業(yè)視為有利可圖的攻擊目標。近年來(lái)不論島內外，皆發(fā)生勒索病毒攻擊的重大工控資安事件，特別是在全球供應鏈扮演要角的中國臺灣智能制造業(yè)，更是屢屢成為黑客攻擊首選。

在IT與OT的匯流下，工控環(huán)境已成為黑客熟悉且更容易攻擊的場(chǎng)域，制造業(yè)者為了追求營(yíng)運效率與更高的生產(chǎn)力，使得OT場(chǎng)域的機臺可停機的時(shí)間極短，且難以定期修補漏洞與系統更新，再加上制造業(yè)供應鏈的上下游關(guān)系緊密，只要其中一個(gè)業(yè)者在某環(huán)節受駭，往往十分容易連帶影響其他供應鏈的大廠(chǎng)，這些狀況再再使得工業(yè)網(wǎng)絡(luò )環(huán)境暴露在巨大風(fēng)險中，使得制造業(yè)的資安管理與維護陷入困境。

企業(yè)專(zhuān)網(wǎng)的資安破口
而由趨勢科技所發(fā)表的一份報告指出了4G與5G企業(yè)專(zhuān)用網(wǎng)絡(luò )所面臨的新興威脅。這份報告藉由一個(gè)模擬智慧工廠(chǎng)企業(yè)專(zhuān)網(wǎng)的測試環(huán)境，深入研究了企業(yè)難以修補OT環(huán)境漏洞遭到利用所產(chǎn)生的困境，并說(shuō)明了多種攻擊情境以及可行的防范措施。

趨勢科技指出，目前制造業(yè)正走在工業(yè)物聯(lián)網(wǎng)（IIoT）潮流的尖端，并利用5G無(wú)遠弗屆的連網(wǎng)能力來(lái)提升其速度、安全與效率。然而，新的威脅正伴隨著(zhù)這些新技術(shù)而來(lái)，而舊的挑戰也需要解決。目前許多企業(yè)都陷入無(wú)法承擔停機修補關(guān)鍵系統漏洞的成本，所以只好冒著(zhù)漏洞遭到攻擊的風(fēng)險。而黑客可能入侵4G/5G核心網(wǎng)絡(luò )的關(guān)鍵點(diǎn)如下：

●執行核心網(wǎng)絡(luò )服務(wù)的服務(wù)器：黑客可攻擊這些標準商用x86服務(wù)器的漏洞和強度不足的密碼。

●虛擬機（VM）或容器：若未套用最新修補更新就可能成為破口。

●網(wǎng)絡(luò )基礎架構：修補更新經(jīng)常忽略了網(wǎng)絡(luò )硬件裝置也需要修補。

●基地臺：這些裝置同樣含有韌體，因此也不時(shí)需要更新。

黑客一旦經(jīng)由上述任一破口進(jìn)入智能工廠(chǎng)核心網(wǎng)絡(luò )，就能在網(wǎng)絡(luò )內橫向移動(dòng)，并試圖攔截或篡改網(wǎng)絡(luò )封包。黑客可經(jīng)由攻擊智能制造環(huán)境中的工業(yè)控制系統（ICS）來(lái)竊取機敏信息、破壞生產(chǎn)線(xiàn)，或者向企業(yè)進(jìn)行勒索。

建置企業(yè)專(zhuān)用的行動(dòng)網(wǎng)絡(luò )，可能牽涉到終端用戶(hù)，以及其他單位，如服務(wù)供貨商與系統整合商。此外，企業(yè)專(zhuān)用4G與5G行動(dòng)網(wǎng)絡(luò )屬于大型基礎架構，而且使用壽命長(cháng)，一旦建置就很難汰換或修改。因此，有必要一開(kāi)始就內建資安防護，并在設計時(shí)間就預先找出并預防可能的資安風(fēng)險。

結語(yǔ)
越來(lái)越多的邊緣設備和越來(lái)越廣的連網(wǎng)范圍代表了不同類(lèi)型OT環(huán)境的擴充。與過(guò)往封閉式自動(dòng)化系統相比，這些快速部署的維運設備和環(huán)境則采用更開(kāi)放的架構和功能。因此，這些設備的軟硬件必須針對其整個(gè)生命周期的安全性進(jìn)行開(kāi)發(fā)和設計，進(jìn)而整合到整個(gè)網(wǎng)絡(luò )系統和安全管理功能中。