隨著工業物聯網(IIoT)持續擴展,有越來越多的設備均已聯網。這股風潮讓人們見證了網路是如何從封閉式架構,轉型為可透過公共網路進行存取的企業IT網路。雖然這樣有助於提高營運效率,但資產擁有者卻為網路安全威脅所帶來的風險感到憂心忡忡(圖1)。
他們的憂慮不難理解—工控系統資安事件應變小組(ICS-CERT)近期發表的報告指出,2016年他們在美國處理了392件資安事件,反觀2015年,全美只有295件基礎設施遭受網路攻擊的事件。而產品安全漏洞所引發的事件,2016年則較2015年成長了32.88%,難怪資產擁有者無不積極尋覓網路安全解決方案,以便建立可保護產業應用的安全系統。
圖1 影響重要製造部門網路攻擊概觀
資料來源:工控系統資安事件應變小組(ICS-CERT)
網路安全標準演變流程
國際自動化學會(ISA)在2002年發布的ISA-99文件中,針對從事自動化營運的企業,提出一套防堵網路安全威脅的指導原則。15年前,網路安全的議題並不像現在這麼熱門。ISA的文件與國際電工委員會(IEC)常用的文件交相呼應,因為在ISA標準確立之後,大家對網路安全的擔憂與日俱增。目前IEC 62443標準包含一系列的標準、報告和其他相關文件,以便明確定義透過電子方式保護工業自動化控制系統(IACS)的程序。藉由遵循IEC 62443標準制定的準則,企業可大幅降低網路遭受攻擊的機會。
IEC 62443標準概覽
IEC 62443標準針對網路的各個部分,以及在網路中各司其職的人員,提供完整的指導方針。過去,資產擁有者極度仰賴西門子(Siemens)、Honeywell和ABB等系統整合商(SI)所提供的網路安全解決方案。然而,現在系統整合商普遍要求元件供應商的產品,必須符合與其相關的IEC 62443標準細則。圖2為負責確保網路安全的人員,概述此標準每個部分的範圍和重要性。
圖2 工業自動化與控制系統概述
IEC 62443準則定義了4個安全威脅等級。第二級是自動化產業的基本規範,特別是駭客所帶來的網路威脅。
這是系統整合商捍衛工業網路時,最常面臨的網路攻擊經驗。第一級是防堵意外的未授權存取;第三級和第四級則是防堵駭客透過特殊手法和工具,意圖不軌地存取網路。
IEC 62443-4-2層級2:自動化產業基本需求
IEC 62443標準有針對不同對象的多個分項。由於SI要求遵循作為元件供應商準則的IEC 62443-4-2分項,因此分項愈來愈重要。元件需求源自於基礎需求,包括識別和驗證控制、使用控制、資料完整性機密性,以及資源備份的可用性。由於元件供應商在IIoT網路扮演愈來愈重要的角色,因此本文的其他部分將著重於詳細說明元件供應商設計IIoT網路部署的裝置時必須達到的安全需求。
・基礎架構
如果網路元件允許使用者存取裝置或應用程式,網路元件必須能夠個別識別和驗證所有使用者,包括人、程序和裝置。這能夠區分職責並確立最低權限的原則,以確保每位使用者只能存取使用者在網路中履行指定角色所需的資訊和裝置。同時,必須避免不必要的安全風險,避免授予使用者比履行其角色所需的存取權更大的網路存取權。若避免這種不必要的安全風險,將防止惡意的使用者對網路造成更大的破壞。因此,遵循此準則將有助於保護網路的基礎架構,並提供發展網路的穩固基礎,使網路能夠因應目前和未來的安全挑戰。
・帳戶管理
必須在整個網路支援帳戶管理的功能,包括建立、啟動、修改、停用和移除帳戶。這可確保經過授權才能建立、修改或刪除帳戶,並禁止嵌入式裝置進行任何未經授權的連線。帳戶管理功能有幾種可能的情況,如果不採取動作將為資產擁有者造成麻煩。例如網路作業人員獲得晉升,因此現在需要裝置和應用程式的更多存取權,而且其權限層級也必須相對調整。另外常見的情況是員工離職。員工離職時,必須限制其不得存取網路,且必須被撤銷網路權限。因此,以下情況將有可能發生—員工被解僱後若心生不滿,便可能在離職後惡意存取網路。
・識別碼管理
包含直接使用者介面的任何網路元件,都必須直接整合於可按照使用者、群組、角色或系統介面進行身分識別的系統中。這將讓使用者無法在未獲授權情況下存取與網路連線的裝置。在網路上具有不同角色的人有不同的權限,網路管理員的帳戶通常可以管理網路的裝置配置,但是具有訪客層級存取權的人只能檢視裝置,而無法變更配置。
此外,如果長達一段時間未存取帳戶,應該有安全程序可以將帳戶停用。識別碼管理功能可控制網路上的每個使用者帳戶,確保使用者局限於網路管理員指派的角色,因此使用者不會無意或有意存取不需存取的網路部分。
・驗證者管理
網路上的所有裝置必須能夠確定任何系統/韌體升級要求的有效性,並確認來源並未嘗試上傳任何病毒或惡意軟體。若要求使用者使用權杖、金鑰、憑證或密碼即可辦到;如果沒有驗證者管理系統,任何想要攻擊網路的人將能輕易上傳惡意軟體,進而變更設定或控制網路。
・密碼型驗證
對於使用密碼型驗證的網路元件而言,網路元件必須整合強制執行下列措施的密碼原則:
A)密碼組成須說明允許的字元類型,以及成為有效密碼前所需的字元數
B)必須變更密碼頻率
使用密碼的優點是網路管理員很容易就能夠保護網路,不需要造成系統工程師的任何額外工作負擔。運用有效的密碼原則將可阻止大部分的駭客使用破解弱式密碼的方式進入網路。不支援密碼原則的網路或允許使用弱式密碼的網路便很可能遭受駭客入侵。
・公開金鑰驗證
應使用公開金鑰驗證來建立伺服器與裝置之間的安全連線,或裝置之間的連線。若要啟用此功能,每個網路元件都必須能夠檢查簽章的有效性來驗證憑證,以及憑證的撤銷狀態。此外,它應該建構合格憑證授權單位的認證途徑,對於自我簽署的憑證,則向為了發給憑證而進行通訊的所有主機部署憑證。公開金鑰驗證相當重要,因為它會阻止資訊傳送到錯誤的地方,也會阻止不應該從網路外洩的機密資訊傳輸到無法驗證的外部位置。
・存取控制
網路上出現的所有裝置都必須支援登入驗證。若要限制不必要的使用者存取裝置或網路,應用程式或裝置必須限制使用者在遭鎖定前可錯誤輸入密碼的次數。由於對於工業網路發動的大多數攻擊都是由駭客使用暴力密碼破解攻擊進行的,因此登入驗證能夠有效阻止駭客存取網路。此外,系統或裝置也必須能夠通知使用者登入嘗試是否成功。通知使用者已登入網路也可讓使用者確定其目前狀態,並有意識地對於網路設定或裝置所作的變更或改變是否獲得驗證。
・資料完整性
在所有IIoT網路上,資料完整性扮演重要的角色。它可確保資料正確,並確保能夠以可靠的方式處理和擷取資料。有幾種安全措施可用來保護資料,其中的SSL能夠進行網頁瀏覽器與伺服器之間的加密。由於資料不斷在網路之間移動,因此網路營運商需要確保資料以安全、可靠且有效的方式移動。如果資料傳送到非預期的接收者,網路營運商不僅無法控制資料,而且會造成網路受到駭客入侵。
・資源備份可用性
在網路上找到的所有應用程式和裝置都必須能夠在不干擾網路運作的情況下備份資料。進行定期備份的主要優點是確保資料不遺失,而且,如果網路出現問題,網路可以利用備份的資料恢復正常運作。此外,備份程序必須確保網路上的任何私人資訊均按照資料保護原則予以儲存,而且不應該存取這些資訊的任何人都無法存取。在某些情況下,這表示無法在網路之外儲存資料。包含使用者個人資訊的任何外洩對於網路營運商而言相當危險,資料受到不應存取的人存取。
今日有越來越多設備均已聯網,它們的安全性,逐漸成為資產擁有者的心頭大患。現在業界普遍認知,唯有採取最佳安全防禦準則,資產擁有者才有機會全面防堵網路可能遭到的惡意攻擊。一套完整的系統級安全保護方案,應奠基於每個不同網路部分的安全功能之上。
(本文作者為Moxa產品經理)