营运科技成黑客目标 Fortinet堵截网络攻击
2022-05-20 10:00
近年不少基建及工业设施,包括电网甚至输油管受到网络攻击,近期美国网络安全及基建安全局(CISA),联同美国能源部、国家安全局、联邦调查局,罕有发出警告,指黑客以进阶持续性威胁(APT),针对工控系统(ICS)/ 监控和数据采集(SCADA)等营运科技(Operational Technology,OT)系统发动攻击,要求业界警愓安全风险。
传统上,OT科技系统很少关注网络安全,原因是系统往往与世隔绝,不会连接至互联网,但随物联网技术兴起,工厂纷纷引入智能技术和机器人,数据传送分析或机器学习,不少设备须上网,攻击面大增。ICS和SCADA系统几乎无处不在,全球的基础设备;包括核电站、电网、发电设备、运输业、输油、工厂、公共事业,都有不同的控制和数据采集系统,无一不正受威胁。
全方位自动化网络保安服务方案供应商 Fortinet曾公布《2021 OT与网络安全现况调查报告》(2021 State of Operational Technology and Cybersecurity Report),显示有九成的OT营运科技,2020年至少被入侵一次。
Fortinet东南亚及香港地区资讯安全总监邝伟基指,OT设备数量大,加上位置分散,全天候运作,要求快速部署和稳定,保安以往不是优先考虑;传统上认为只要机器不上网,系统与外界隔离接触,即所谓「实体隔离」(Air Gap)部署,就可以安寝无忧。
实体隔离难以实行
较早前,Fortinet举办Fortinet Secure Operational Technology 2022,讨论了OT保安趋势,不少讲者以为传统OT确可与其他系统分开,但随著设备产生大量的数据,加上设备智能化,不少数据须传送IT系统分析,
邝伟基说,例如智能电表等蒐集数据,要送至财务系统处理,OT系统完全可实体隔离的系统,愈来愈少。
「不少工业发现,愈来愈难建立完全与外界隔离的系统,系统有时要远程登入维护,或者进行远程监察,甚至要接入云端。」邝伟基指,即使系统位于封闭的状态,数据还是有可能在边缘位置被窃。以色列有大学证实了能以恶意程式,通过控制记忆体的电流,产生出2.4GHz的WI-Fi频率,毋须管理权限可在附近透过Wi-Fi下载数据,称之为「AIR-FI」攻击。
清晰分界厘清权责
上述听似间谍情节,足以证明即使没有网络,黑客亦可下手。邝伟基说,黑客可从设备的实体连接埠盗取数据或接入,任何边缘设备均须从设计阶段,加入保安设计(Security by design),确保不受干扰。
以往管理OT系统的团队,较少经验处理资讯保安,有时黑客确可长驱直进。邝伟基指,资讯科技(IT)团队一般网络保安经验丰富,有时碍于团队交流不足,导致出现真空,所以清晰理解数据的流向,厘清拥有权谁属,IT和OT有清晰分界后,就能落实保护责任。
其次是企业可建立数据策略,掌握数据分类,尤其OT会产生大量数据,必须权衡数据优次和保留策略,无论储存和传送的阶段,数据应全程加密。
软件漏洞成致命伤
不过软件漏洞始终是OT系统最大弱点;OT采用了大量单板电脑和微处理器(MCU),厂商设计时往往只集中功能,不特别考虑到保安;到了设备上线之后,可能就是全天候操作,甚至24×7,即使发现了漏洞,也再没时间停机更新修补软件。
OT系统经常发现弱点,但修补漏洞速度不如IT系统,即使软件供应链,有时亦被黑客攻击,难确保滴水不漏,留下攻击后门。
邝伟基说,OT产生数据量异常庞大,而IT团队经常可能通过API,以方便与OT交换数据,预计API保安将是重要课题。
长远而言,邝伟基以为OT应建立客观量度标凖和管治机制,长远才可管控风险;IT资讯科技早有国际标准组织定义的管理标准,例如ISO27001标凖持续改善。OT暂没相应工业标凖,业界亦出现针对工控系统IEC 62443保安标凖,而 Fortinet方案亦遵从有关标凖。
无论如何,OT须堵塞软件漏洞,实施专门用于OT的零信任(ZTNA)机制,杜绝连网带来风险,一旦OT环境内有软件漏洞和风险,而作业系统或软件又暂未获原厂修补更新之前, Fortinet防火墙可以采用针对漏洞入侵的虚拟修补(Virtual Patch),以防范入侵,马上堵塞漏洞。
智能化设备和物联网是大势所趋,令基建和工业生产效率大幅跃进,不过OT系统保安无法与时并进,就难以享受带来的好处。
(资料由客户提供)
最新回应