账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
网路攻击事件频传 资安已成嵌入式系统重大挑战
 

【作者: 王明德】2020年01月07日 星期二

浏览人次:【11194】

在物联网概念的带动下,连网逐渐成为嵌入式系统的重要功能,尤其是制造、交通等过去较为封闭的场域,现在都需要与IT系统整合,让资讯可以被进一步利用,创造出更多价值,不过这也让OT系统产生以往少有的资安问题,因此在智慧化时代,让嵌入式系统的效能与安全得以兼具,就成为系统设计者必须严正面对的问题。



图1 : 网路攻击已成为嵌入式系统业者必须严正面对的问题。(source:DFLabs)
图1 : 网路攻击已成为嵌入式系统业者必须严正面对的问题。(source:DFLabs)

观察这几年的发展,包括工业领域在内的各种制造系统、医疗产业的行动医疗车与电子药柜、金融机构的汇款系统、ATM…等嵌入式设备,都因连网成为必要功能,成为骇客的攻击目标,金融业方面,2016年7月第一银行爆发ATM盗领案后,2017年10月远东银行国际汇款交易系统又遭骇客制造假交易,医疗领域则是最近的事情,2019年9月台湾医疗院所发生勒索软体攻击的情事,共有22家医院受到勒索病毒影响,部分医院主机被骇客当成跳板,经由VPN网路进行攻击。制造业部份,近期最大事件就是2018年8月台积电半导体产线中毒,造成52亿元损失,成为台湾有史以来损失最大的资安事件。


资安防范走向法制化

从架构面来看,全球智慧制造大约从2016年开始落地,导致这几年工业控制系统的资安漏洞数量逐年上升,光是2018年就比2017年增加了30%,其中又以HMI/SCADA与工业网通设备为主,其次则是PLC与远距终端机装置(Remote terminal unit;RTU),这三大项目都是制造业近年来与IT系统整合的OT设备,在多数导入厂商在资安方面的资源投入不足下,让骇客有机可乘,而由于机械产业是台湾第三个年产值破兆的产业,一旦资安事件发生的频率过高,将危及国家经济,因此除了厂商必须努力强化安全机制之外,政府业也积极协助,解决资安问题。


嵌入式联网系统的资安问题不只在导入企业,也包括产品外销至欧美市场的嵌入式设备业者,以美国为例,近年来该国供应链安全环境日益严峻,根据NIST(国家标准暨技术研究院)的报告,有98%的制造商于2016~2018两年间曾有生产中断事件,因此造成经济损失超过2500万美元者高达55%,而生产中断有24%是来自网路攻击,整体而言,2018年来自供应链的攻击事件就成长了78%。因此,NIST在2018年发布了资安框架(Cybersecurity Framework;CSF)1.1版本,此版本是在2014年发布首版,目的是为了协助政府与企业进行资安威胁识别与管理,因应嵌入式系统的资安威胁,2018年首次重大改版。


此版本聚焦在重视能源、银行、通讯和国防等攸关美国国安与经济的关键基础设施产业资安管理,并特别将「供应链风险管理」(Supply Chain Risk;简称SCRM)增列至核心类别,代表供应链风险已有相当的重要性,须全面识别与因应,建议企业将资通安全纳入高风险供应商合约中,定期评估和监控供应商资安状况。


美国总统川普已发布总统令,要求联邦政府与关键基础设施业者强制采用NIST CSF架构管理资安风险,并在2018年8月NIST推出「Small Business Cybersecurity Act」后,将此标准推广至美国3千万家中小企业,作为资安管理之参考依据,除了美国外,其他国家他国家与企业也相继采用,2018年起已扩散至日本、英国、义大利、加拿大、以色列等国政府、能源委员会、国防与企业等全球30个国家。


法制规定带来蓝海市场

除了NIST的新版本资安框架外,由于5G时代来临,ICT供应链技术快速演进 增加资安风险,美国政府表示对手常透过ICT技术漏洞,进行恶意攻击,因此美国政府也从政策面强化嵌入式设备与ICT的供应链风险管理,2018年7月美国国土安全部辖下资安及基础设施安全局,整合联邦机构及科技大厂成立「ICT Supply Chain Risk Management Task Force」,以推动供应链威胁资讯共享、建立供应链安全评估框架与标准、研拟合格制造商清单以防堵有安全风险的ICT产品等三大措施,希望建构美国建构ICT供应链风险管理与因应能力。



图2 : 全球智慧制造从2016年开始落地,导致这几年工业控制系统的资安漏洞数量逐年上升。 (source:Network World.com)
图2 : 全球智慧制造从2016年开始落地,导致这几年工业控制系统的资安漏洞数量逐年上升。 (source:Network World.com)

目前「ICT Supply Chain Risk Management Task Force」的成员包括了20个政府单位、40家 ICT与晶片大厂,有些成员目前正在制定服务投标业者与制造商清单,未来未纳入此名单的业者,可能无法供货给上述机构与业者,在今年,川普更进一步强化相关的作为,川普已签署行政命令,禁止美国机构、企业或个人交易、使用对美国国安造成重大风险的ICT产品或服务。


除了美国之外,欧盟近期也开始加强嵌入式系统的资安法规,因此从过去几年的发展来看,隐私与资安已陆续法制化,对业者来说,这些法规虽对产品研发与制造带来挑战,但也代表另一波蓝海市场的启动。现在全球企业对网络钓鱼,勒索软体等攻击日益重视,OT端点、OT网路与OT监控安全等需求不断增加,加上在政府法规要求下品牌客户开始要求供应链安全,从2010~2018年全球公开上市的资安公司就从12家成长至33家,全球公开上市资安公司市值,更从2010年的718亿美元成长至2018年达到1,597亿美元,而从整体发展来看,目前此市场仍只在初期阶段,后续成长潜力将十分惊人。


不过,相对于国外厂商,台湾企业在资安投资虽已逐渐重视,但仍然不足,2018年有90%的台湾企业在资安方面的投资至少是持平,上市柜公司28%企业会增加资安投资,更有10%的新增资安人力。而在所有产业中,不论是资安投资金额或年成长率,金融业都是首位,其平均资安投资金额达到新台币3,045万元,机电与医疗两大产业则偏低。


至于被认为是非消费性嵌入式架构重点的制造系统,多数厂商尚未全面导入OT资产资讯可视化机制,难以即时监控设备状态,OT应用程式的资安管理也仍有努力空间,至于IT/OT网路与OT内网,台湾则已有近90%的制造业者采用实体隔离,未来将会进一步强化。


在成本与效能的考量下,非消费性领域的嵌入式系统发展已然蓬勃,不过资安挑战也将随之而来,现在欧美市场对资安与隐私的问题向来重视,台湾厂商必须及时了解其法规发展,方能掌握商机,达到企业永续生存的目标。


**刊头图(source:Cognos IT Solutions)


相关文章
采用DSC和MCU确保嵌入式系统安全
全球标准如何促进物联网发展
五大策略 提升企业物联网竞争力
安全需求持续增加 嵌入式系统设计要有新思维
为什麽安全是物联网的关键?
comments powered by Disqus
相关讨论
  相关新闻
» Fortinet 资安嘉年华:人工智慧协作守护未来资安
» 洛克威尔自动化最新工业资安报告 能源业受攻击次数多出3倍以上
» 达梭系统举办数位转型智造论坛 助中小企业提升研发创新力
» 达梭强化疫後供应链复原 助数位转型开辟新市场
» Omdia:生成式AI面临相同挑战 涵括偏见内容与可解释性


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83SAUAN20STACUK8
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw