有別於傳統IT場域起家的資安軟體系統商,近年來積極投入OT資安的業者無不尋求與工控自動化設備系統廠商帶頭聯防,同時也促使部份硬體設備廠商採取由下而上布局的策略,串連起產品全生命週期的資安生態系及防護網。
雖然現今各垂直產業工業控制系統所需的資訊安全佈局各有不同,卻也有共同的趨勢。根據TXOne Networks(睿控網安)調查全球505位資安長的結果指出,工控場域正面臨前3大資安挑戰依序為:
1.聯網設備激增,資安複雜度提升
隨著工業聯網設備激增,企業掌握自身資安現況的複雜度隨之提升。但資安人員往往受限於只能看見自己負責的項目,如機台、網路、終端設備等。因此,企業應在保持高度資訊安全的同時,思考如何兼顧營運效率,以穩定地提升整體資安覆蓋率。
2.需量身定製的資安解決方案
在高度複雜的工控環境中,亟需針對工控環境特殊需求量身定製的資安解決方案,以應對急遽變化的資安威脅型態。
3.老舊的系統不易納入資安守備範圍
當企業導入供應鏈及第三方服務商所提供的軟硬體服務時,須將老舊的系統完整納入資安守備範圍,藉此提升對資安態勢的掌握度,並且防堵攻擊破口。
針對台灣的調查結果也與全球趨勢一致,然而台灣受訪者針對可支用的資安經費,則面臨相較其他地區的更大的壓力。
圖一 : 現今各垂直產業工業控制系統所需的資訊安全佈局各有不同,台灣受訪者針對可支用的資安經費,則面臨相較其他地區的更大的壓力。(攝影:陳念舜) |
|
台達由下而上延展 涵括產品全生命週期資安管理
因此,目前除了已有傳統IT場域的資安軟體、系統服務業者,趁勢積極向下扎根,布局OT資安場域應用;同時也造就部份工控設備大廠由下而上延展,導入產品全生命週期資安應用,更加提升成本效益。
例如台達集團不僅近年來在電源領域成就廣為人知,也在2013年開始陸續從OEM/ODM基礎元件、模組供應商轉型,提供更多產品與技術領域的IoT解決方案服務,聚焦於智慧物聯、節能永續、價值共創。進而協助自家企業旗下8大事業群,包含工業/樓宇自動化AUB、資通訊/能源基礎設施暨工業解決方案IFB、視訊與顯像系統、電源及零組件PEB、交通運輸MOB等部門實現全方位數位轉型。
擴及全球的客戶與研發據點,率先覺察全球通用性需求。基於近年來駭客攻擊越演越烈,造成越來越大損失;且從2010年起世界各地紛紛加嚴資安法規管制,加上產品暴增性成長,各區域客戶反饋資安需求,讓台達必須確保所有OT產品出廠前安全合規。進而推出資安策略,並透過內部資安委員會、台達研究院,聚焦發展產品資安及防禦等下一代關鍵技術、測試工具,落實於提供OT連網產品安全防護。
台達電子產品資安處長田維誠表示,台達電自成立產品資安中心多年來,負責旗下事業群產品資安合規評測服務,並提供資安工具及防護技術,至今已協助包括工業自動化、儲能、ICT 基礎建設、半導體設備等領域的產品資安,逐步帶動上下游形成安全且具韌性的供應鏈。
同時透過台達研究院投入大量資源與學術機構、法人合作,成功開發並實踐產品資安技術及服務於台達產品。除了須符合IEC62443、SEMI E187等國際標準,至今共有超過百件產品通過檢驗之外;還會針對不同場域客戶的屬性及要求,與產品單位密切合作,從設計端開始推動資安服務合規解決方案。
田維誠也強調追求產品資安必須符合成本效益的重要性,尤其是如ODM/OEM中小企業客戶對於資安觀念的理解能力有限,必須耗費大量時間與成本輔導;無論是尋求內部或外部合作夥伴,均須慎選能提供完整資安服務的供應商。台達也充份利用產業優勢,提供由下而上,OT層(Device Network)至IT層(Operation Network/Enterprise Network)可輔助提升資安能力的解決方案。
進而偕同生態系發展,包含:產品資安合規評測服務、管理輔助工具(DAFA)、強化方案(DAWL/RADAR)等,導入產品全生命週期應用。即從產品開發的設計流程,就已導入資安防護與評測服務,在出廠前提供不同等級測試服務,確保能讓台達和客戶產品內運行的軟硬體安全,在出廠前彌補所有資安漏洞;出廠後能抵禦駭客攻擊,待進入不同場域後若發現操作問題,能即時回報並修復,逐步建立完整的產品資安防護網。經由RADAR防治勒索備份解決方案,打造無痛備份,快速還原、抗勒索的關鍵防線。
另有台達推出的「主動式漏洞管理平台」(Cyber Physical System Security Service Cente;CPS3C)則是專業的資安評測服務團隊,從台達集團經驗及國際客戶需求出發,致力於提升整體產品水平,從設計、開發、測試到維運階段,能滿足產品各類資安評測服務(滲透測試、模糊測試、弱點掃描、威脅建模及風險分析)、合規輔導、主動式漏洞管理平台及顧問服務。
其中如「DAFA(Delta Automated Firmware Analysis)」自動化分析技術,係基於台達多年內部產品安全測試所累積經驗,配備了多項自動化資安測項,可用來協助產品製造商或第三方透過這些資訊偵測軟體元件(SBOM),並利用深度特徵擷取和機器學習技術,來準確識別軟體元件正確版本與資訊;進行自動化遞歸分析產品韌體中的所有內容,以識別目標產品中的韌體漏洞(弱點),確保符合國際資安法規/標準。
「DAWL(Delta Application Whtielisting)」產品安全保護套件,則是台達針對產品資安所推出的端點防護解決方案,提供應用程式白名單的防護功能,適用於無線路由器、無人機、自駕車、網路型攝影機等軟體更新頻率較低,用途單一且固定的設備上;重要基礎設施控制伺服器等更新頻率頻繁,但資訊安全要求極高的設備,可針對在OT場域運行的系統、裝置,驗證有效性和正確性,扮演迅捷管理、可靠機敏的資安守門員。
還不像傳統白名單常會發生中斷端點的運作問題,即使能提供比防毒軟體更好的防護,也往往不受使用者青睞。台達針對此痛點設計並獲得了兩項專利,可以保障端點運作不受應用白名單影響,分別著重於Windows設備架構與網路連線的白名單系統、Linux硬體設備的嵌入式白名單系統。
圖二 : 目前除了已有傳統IT場域的資安軟體、系統服務業者,趁勢積極向下扎根;同時也造就部份工控設備大廠由下而上延展,導入產品全生命週期資安應用,更加提升成本效益。 |
|
IEC 62443標準問世 全面影響資安軟硬體生態
值得一提的是,隨著雲端運算、AI 智慧化、遠端運維等技術的蓬勃發展,工業物聯網(IIoT)的概念逐步在各大關鍵基礎設施中落地實施,不僅打破了傳統工業控制環境的局限,帶來前所未有的便利,同時也引入了不少資安風險。如何在IIoT環境下打造一個既安全又可靠的工業控制系統,從雲端系統到端點設備的全面防護,成為了一個急需解決的課題,資產擁有者、服務提供商、系統整合商以及產品製造商在應對工業物聯網資安風險時的不同關鍵策略。
在數位化時代背景下,ISA/IEC 62443 標準,除了一般所認知的工控產業,還在包含保障軌道交通、電力、石油產業、半導體及醫療等數位關鍵基礎設施的網路安全方面發揮關鍵作用。這項標準隨著歐洲新法規如 Radio Equipment Directive和Cybersecurity Resilience Act 的實施,對加強產品網路安全措施的重要性日益增強,將使產品製造商能更有效地實施這些標準,提升產品的安全性能。
國際資安驗證標準制定委員會(ISASecure)也根據風險評估結果,結合 ISA/IEC 62443 標準,開發出適合IIoT 設備和閘道器的全球資安驗證標準。旨在全面提升業者在 AIoT領域的資安防護能力,重點不僅是軟體的安全,也包括硬體的保護措施。得以有效降低 IIoT 環境中的資安風險,確保技術創新與資安防護能夠同步進行,為未來的產業發展打下堅實的基礎。
全景軟體推廣機器身份管理 開啟物聯網資安新時代
圖三 : 全景軟體在IoT設備的整個生命週期中,提供多層次的安全保障。(source:全景軟體) |
|
尤其是在現今AIoT應用場域裡,機器身分管理的有效實施不僅是生產安全和效率的基石,也是應對日益複雜的安全挑戰的必然要求,若能遵從相關標準,善用PKI(Public Key Infrastructure,公開金鑰基礎建設)和密碼學、影像辨識與管理技術,並將機器身分機制融入IEC 62443憑證管理規範。
全景軟體公司物聯網發展部資深顧問邱志成表示,該公司成立26年來以來,專注於推廣資安身份認證等領域,在IoT設備的整個生命週期中,提供多層次的安全保障。從設備設計開始,在物聯網設備建置硬體信任根,搭載安全功能以確保裝置身份認證、完整性和安全連線;到了生產階段,IC燒錄包括金鑰保護、韌體簽章及設備認證發放;以及維運、操作與報廢階段,要求設備連線認證、安全通道、韌體OTA安全更新等層層把關,將有助於建立更為穩固的安全基礎。
並在零信任連網時代也陸續融入IoV車聯網、AMI智慧電表、EVSE充電樁、工業自動化及控制、半導體應用設備等不同場域的資安認證標準。
表一:機器身份認證,開啟物聯網資安新時代。(source:全景軟體)
OT場域
|
IoV 車聯網
|
AMI 智慧電表
|
EVSE 充電樁
|
工業自動化
及控制系統
|
半導體
應用設備
|
資安標準
|
ISO 21434
|
IEC 62056/62351
|
OCP/ISO 15118
|
IEC 62443
|
SEMI E187
|
主要應用
|
使用機器憑證進行雙向認證,確保車輛與後台系統的安全通信。
|
使用身份驗證技術驗證電表和電力公司系統的身份,以預防數據被篡改
|
確認充電樁和電動車的身份,以抵禦非法充電行為,並透過加密技術保護充電樁和電動車之間的通訊資料,以避免竊聽和竄改。
|
為了解決一系列應用上所遇到的資訊安全問題。包括用於製造和加工廠設施、建築環境控制系統、地理位置分散的業務 、石油生產管道和分配設施以及其他行業和應用。
|
確保機器和雲端的身份驗證,以抵禦非法入侵,同?透過加密技術保護機器和雲端之
間的通訊資料,避免竊聽和竄改。
|
邱志成指出,由於人與物的認證機制有很多不同,前者可透過人為干預,證明為本人使用;後者則只能經過密鑰和憑證連線,又必須要存在安全晶片處才有在零信任環境的可信任基礎。尤其是現在資安標準已成必備,並區分為Level 1~4不同等級成熟度,其中IEC62443標準的Level 2即要求須有PKI憑證、Level 3須有安全晶片,所以須將每個晶片皆視為主體之一,並分別應用「身份驗證」和「授權」的概念,依序說明兩大關鍵要素:
1.機器憑證管理:包含憑證申請、撤銷、更新、查詢、下載、同步等功能,有效管理設備的合法性;
2.機器硬體信任根(root of trust,RoT安全晶片):現已引進英飛凌的安全晶片,包含OPTIGA TPM、OPTIGA Trust M。
藉此滿足物聯網安全全方位的獨特需求,不能僅仰賴軟體解決,安全晶片在IEC 62443重視強化身份驗證和數據保護標準下,確保只有受信任的應用程式和機器能夠訪問系統,為工控系統提升可信賴性及整體安全性;並通過Common Criteria EAL6+認證,確保硬體式安全性機制,敏感數據資料免受未授權存取,為系統提供全面性保護;具有獨立的微處理器和儲存區域,內部安全儲存密鑰,加密/解密在晶片內部執行,極難被竊取。
目前還有ARM正推廣機器硬體信任根(MCU Trust Zone + PUF)技術,強調不必安全晶片也能獨立運算,可在任何時間、地點,實現安全信任根、存儲和系統。利用PUF(物理不可複製功能)技術,利用矽晶圓的原生特性,在生產過程中不同電氣特性造就的「天生密碼(晶片指紋)」,以演算法生成機器唯一身份識別碼的能力;或是以PUF中的TRNG為TrustZone提供高品質的熵,以執行各種安全功能。毋須額外整合安全晶片,或在不安全的軟體環境中生成金鑰,用於加密存儲機要資訊,但安全等級相對不如安全晶片,僅相當於IEC62443的Level 2,還不如Level 3。