分類: 工業資安

製造業 5G 專網的資安風險 (第 2 回)

趨勢科技 TrendMicro

我們看到 5G 在全球商用領域的應用越來越活絡,5G 技術不僅將經由智慧型手機帶來許多新的個人服務,同時也將在產業當中扮演重要角色。5G 專網可讓私人機構與政府機關擁有自己的電信基礎架構。但這波「電信平民化」浪潮也暗藏著許多我們未知的風險。為此,趨勢科技架設了一個使用 5G 設備的煉鋼廠模擬實驗環境來試圖發掘這些風險。

鋼鐵業是 5G 專網普及的一個主要領域


5G 專網帶來了所謂的「電信平民化」,這項技術讓私人企業和地方政府能夠自行建置和營運最新的電信系統。不過,並非所有企業機構都擁有駕馭電信技術的知識和能力,所以很可能因而引來一些資安風險。因此我們進行了一項模擬實驗來詳細探討其可能的潛在風險。在這項實驗當中,我們使用了一個模擬鋼鐵業的環境。

由於產業特性使然,鋼鐵業是一個非常適合導入 5G 的領域,而且對資料一致性也相當要求。

鋼鐵業是導入企業 IT 最迅速的工業領域之一,該產業有三項特點 (參見圖 1)。
|
 


鋼鐵業最適合導入 5G 專網的幾個特點。
圖1:鋼鐵業最適合導入 5G 專網的幾個特點。

  • 生產鋼鐵需要大面積的廠房。鋼鐵業是一個典型硬體導向的產業,需要一大片的廠房來設置必要的生產設備。5G 專網可提供比 Wi-Fi 更大的涵蓋範圍,因此業界對它有很高的期待,希望能藉由遠端設備遙控、高畫質 4K 攝影機遠端監控,以及現場工作人員的遠端協助來節省能源。
  • 生產鋼鐵會產生一些化學反應所帶來的危險。因為它必須在高溫下將鐵原料處理成鋼材,這表示人員無法直接檢查原料在生產過程中的狀況,必須借助感測器和電腦來做這件事。因此,資料的一致性與系統可用性非常重要。
  • 鋼鐵業的生產流程分得相當細。它不像汽車製造業那樣,將許多零件組裝成最終產品,鋼鐵業是將單一原料 (鐵) 生產成各種不同的產品。而原料在處理時需要非常精密的溫度、氣壓及原料混合的調控。大型煉鋼廠每年約可接到高達一百萬筆的訂單,所以需要一套 IT 系統來處理這麼大量的資訊。

5G 專網會是該產業達成這些需求並提高生產力的得力助手。

工廠模擬實驗環境:採用 5G 專網的煉鋼廠


為了這項研究,我們打造了一個採用 5G 設備的煉鋼廠模擬實驗環境,包含三大重點。


 


圖 2:工廠模擬實驗環境的三大重點。


  • 我們將核心網路 (CN) 和無線存取網路 (RAN) 建構在廠房內。雖然打造 5G 專網的方式有很多,但我們在這項實驗中假設的情境是企業自行打造及操作其 5G 專網,因此企業擁有一個完全屬於自己的網路。
  • 我們打造的是一個非獨立組網 (Non-Standalone,簡稱 NSA) 的 5G 網路,換句話說,這個 5G 網路架構會盡可能利用原有運作中的 4G 網路設備。如果是獨立組網 (Standalone,簡稱 SA) 的 5G 網路,那就需要將所有的通訊設備換成 5G 設備,因此現階段採用非獨立組網的情況應該占大多數。
  • 我們盡可能模擬工業網路的實際情形,包括:PLC、HMI 及其他裝置,這可幫助我們發掘一些可能發生的實體傷害。

這個實驗環境的網路組態如圖 3 所示。您可以看到網路中包含了資訊技術 (IT)、營運技術 (OT) 以及通訊技術 (CT)。


 


圖 3:實驗環境的網路組態。

圖 3 右側代表現場網路 (field network) 的組態,這個網路連接了 PLC 與其它裝置,代表了煉鋼廠的實際環境。圖中的左下方是控制網路 (control network),該網路與系統管理員所使用的電腦連接,負責控制現場網路。圖的中央部分是核心網路 (CN) 與無線存取網路 (RAN),也就是這項實驗的主要對象,兩者都屬於通訊技術 (CT) 的範疇。核心網路就像通訊系統的控制塔台,因此對於建置行動通訊專網來說是個特別重要的環節。


實際的實驗環境 (左) 與控制層 (control plane) 的邏輯架構圖 (右)。
圖 4:實際的實驗環境 (左) 與控制層 (control plane) 的邏輯架構圖 (右)。

圖 4 的左側是模擬工廠實際的實驗環境。乍看之下或許相當簡單,但其實裡面的軟體架構非常複雜 (如右方區塊圖所示)。值得注意的一點是,核心網路是由負責用戶註冊及管理的控制層 (control plane) 所構成,而用戶層 (user plane) 則是負責資料處理,5G 通訊需要這兩層才能正常運作。一般的企業 IT 人員對核心網路當中的通訊技術並不熟悉,所以這對使用者來說是一個未知的領域。

經過這個環境的實驗之後,我們發現核心網路有四個可能被駭客滲透的路徑,以及三個訊號可能被駭客攔截的點。下一回,我將進一步說明這些實驗結果。
 

YOHEI ISHIHARA

資安傳道師
全球 IoT 行銷辦公室
趨勢科技
 

畢業於美國加州州立大學弗雷斯諾分校 (California State University, Fresno) 犯罪學系。在加入趨勢科技之前曾在台灣的硬體製造商和日本的系統整合商擔任過銷售和行銷職務。目前與全球研究人員合作蒐集並提供威脅相關資訊,專精工廠資安、5G 及連網汽車的議題。目前擔任資安傳道師 (Security Evangelist),負責傳播有關各種社交環境資安風險的觀念,並從地緣政治的角度來提升資安意識。

原文出處:Security Risks with Private 5G in Manufacturing Companies Part. 2 作者:Yohei Ishihara

製造業 5G 專網的資安風險 (第 1 回)

趨勢科技 TrendMicro

我們看到 5G 在全球商用領域的應用越來越活絡,5G 技術不僅將經由智慧型手機帶來許多新的個人服務,同時也將在產業當中扮演重要角色。5G 專網可讓私人機構與政府機關擁有自己的電信基礎架構。但這波「電信平民化」浪潮也暗藏著許多我們未知的風險。為此,趨勢科技架設了一個使用 5G 設備的煉鋼廠模擬實驗環境來試圖發掘這些風險。

在工業環境內建置行動通訊系統

5G 代表第五代行動通訊系統,是今日與人工智慧 (AI) 及物聯網(IoT ,Internet of Thing) 並駕齊驅的尖端技術之一。5G 提供了建構次世代社會的基礎,能使數位轉型大幅躍進。5G 最大的特點就是超大的頻寬、支援大量同時連線的裝置,以及超低延遲。有別於 4G 網路上大多用於以人為導向的服務,5G 的特性讓它很適合用於各種設備之間的通訊。
5G 代表第五代行動通訊系統,是今日與人工智慧 (AI) 及物聯網(IoT ,Internet of Thing) 並駕齊驅的尖端技術之一。5G 提供了建構次世代社會的基礎,能使數位轉型大幅躍進。5G 最大的特點就是超大的頻寬、支援大量同時連線的裝置,以及超低延遲。有別於 4G 網路上大多用於以人為導向的服務,5G 的特性讓它很適合用於各種設備之間的通訊。

繼續閱讀

報告:ICS 端點成為威脅入侵的破口

趨勢科技 TrendMicro

隨著 IT 與 OT 之間的連結越來越緊密,ICS 端點的防護也更加重要。這份研究說明全球工業環境的資安現況以及 ICS 端點已知及最新的威脅。

下載「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints)

工業控制系統(Industrial Control System,ICS)的導入,讓許多產業的營運變得更有效率。這類系統的效益來自於 IT (資訊技術) 與 OT (營運技術) 之間的彼此連結,進而提昇營運的效率和速度。只可惜,這樣的連結卻也意外地讓 ICS 暴露於網路攻擊的威脅。

保護 ICS 系統對企業來說至關重要,而其中一項需要妥善保護的就是 ICS 端點裝置。在這份「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints) 當中,我們整理了各種 2020 年 ICS 端點感染最多的威脅種類,希望能協助產業保護這些系統並防範當前及未來的資安問題。

勒索病毒


ICS 勒索病毒 Ransomware 可能造成企業無法控制或查看其生產流程,因為這類攻擊會將各種檔案加密,其中包括這類系統用來產生操作介面的影像與組態設定檔。這將使得企業營運中斷,造成營業損失。此外,受害企業還可能因為遭到勒索而蒙受財務損失,因為越來越多的勒索病毒集團會威脅要公開他們偷到的企業資料。

2020 年,我們偵測到最多的 ICS 勒索病毒變種為:NefilimRyuk、 LockBitSodinokibi,絕大多數都是來自 9 月至 12 月增加的攻擊案例。

繼續閱讀

ICS端點威脅報告:全球十大惡意程式偵測量排行,台灣榜上有名

趨勢科技 TrendMicro

趨勢科技研究報告「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints) 指出了 ICS 端點當前的資安情勢與相關威脅,我們根據研究資料整理出一份惡意程式與灰色軟體偵測數量十大國家排行榜。

與台灣相關的報告包含:

🔴企業 ICS 感染勒索病毒情況最嚴重的地區是美國,其次是印度、台灣和西班牙。
🔴感染挖礦程式最多的國家是印度,其中數量最多的變種是  MALXMR。這顯示該國的 ICS 系統普遍存在著 EternalBlue(永恆之藍) 漏洞,這一點從該地區感染 WannaCry(想哭)勒索病毒的比例相當高也可獲得印證,因為此勒索病毒也是攻擊 EternalBlue 漏洞。各國企業機構感染 MALXMR 的比例,台灣佔 11.1 %
🔴老舊惡意程式 (尤其是經由隨身碟散布的蠕蟲和專門感染檔案的病毒) 在印度、中國、美國及台灣最為流行。

 

工業控制系統 (ICS) 環境的 IT 和 OT 系統之間正日益緊密連結,這樣雖能提升效率,卻也帶來更多威脅。所以,企業應仔細檢視各種潛在的資安問題以防範駭客入侵。

趨勢科技研究報告「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints) 指出了 ICS 端點當前的資安情勢以及這些端點所面臨的相關威脅,包括:勒索病毒 Ransomware (勒索軟體)、挖礦( coinmining )程式、傳統惡意程式等等。我們根據研究資料整理出一份惡意程式與灰色軟體(Grayware) (可能有害的應用程式、廣告程式、駭客工具等等) 偵測數量最多的十大國家排行榜。

ICS 惡意與灰色程式偵測數量十大國家排行榜,台灣也入榜


圖 1:十大國家的 ICS 偵測到惡意程式與灰色軟體的百分比。

Figure 1. Top 10 countries’ percentage of ICS with malware and grayware detections
除了台灣外,排行榜上的國家有:日本、美國、丹麥、義大利、印度、中國、法國、巴西以及泰國。

以下是各類威脅相關的一些發現:

Figure 2. Breakdown of detected threat types
圖 2:偵測到的各類威脅分布情況 (資料來源:趨勢科技 Smart Protection Network™ 全球威脅情報網。)


  • 美國是感染勒索病毒最嚴重的國家。
  • 印度感染挖礦程式、Equated 惡意程式、WannaCry 勒索病毒的情況最嚴重。
  • 老舊惡意程式 (尤其是經由隨身碟散布的蠕蟲和專門感染檔案的病毒) 在印度、中國、美國及台灣最為流行。
  • 日本是感染 Emotet 最多的國家。不過,我們知道 Emotet 在感染系統之後通常還會再植入 RyukTrickbotQakbot,但我們的研究資料並未看到它安裝了其他惡意程式。
  • 德國的 ICS 被植入灰色軟體的情況最多,最可能的原因是軟體工具內含廣告程式。

勒索病毒


企業 ICS 感染勒索病毒情況最嚴重的地區是美國,其次是印度、台灣和西班牙。

Figure 3. Per country breakdown of organization-related ransomware detections for ICS in 2020
圖 3:2020 年各國偵測到 ICS 勒索病毒的企業機構數量。(資料來源:趨勢科技 Smart Protection Network™ 全球威脅情報網。)

但若以擁有 ICS 的企業機構遭 ICS 勒索病毒攻擊的比例來看,那麼其實排行榜前三名分別是:越南、西班牙和墨西哥。

挖礦程式

2020 年感染挖礦程式最多的國家是印度,其中數量最多的變種是  MALXMR。在 ICS 端點感染 MALXMR 的國家中,印度就占了所有偵測案例的三分之一以上,這顯示該國的 ICS 系統普遍存在著 EternalBlue(永恆之藍) 漏洞,這一點從該地區感染 WannaCry(想哭)勒索病毒的比例相當高也可獲得印證,因為此勒索病毒也是攻擊 EternalBlue 漏洞。


Figure 4. MALXMR distribution per country and organization
圖 4:各國企業機構感染 MALXMR 的比例。台灣佔 11.1 %
(資料來源:趨勢科技 Smart Protection Network™ 全球威脅情報網。)


Figure 5. WannaCry distribution per country and organization
圖 5:各國企業機構感染 WannaCry 的比例。(資料來源:趨勢科技 Smart Protection Network™ 全球威脅情報網。)

如何防範 ICS 相關威脅?


要防範 ICS 相關的威脅,企業應定期修補及更新自己的系統。儘管這是一項相當繁瑣的程序,尤其是老舊系統,但卻是防止威脅入侵造成嚴重損害的必要手段。假使修補系統對企業來說不可行,那麼企業可以改用虛擬修補技術。

除此之外,企業還可將網路細分成不同網段,將網路存取及通訊限制在必要的裝置與通訊協定,進而提升資安。另外,遵守最低授權原則,讓員工僅擁有工作上必要存取權限,其他一概不准,這樣也有助遏止威脅擴散。

同時,也可借助資安解決方案的協助,例如,TXOne StellarProtectTM 是一套應用程式控管資安軟體,可限制端點裝置只能執行一些已知良性的執行檔和處理程序。這套解決方案可提供無病毒碼式防護,結合機器學習與 ICS 信任根 (root of trust,簡稱 RoT) 來防範已知及未知的惡意程式。

如欲了解更多其他建議和研究發現,請參閱我們的完整報告「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints)。

免責聲明:請注意,這些偵測數據是來自我們 Smart Protection Network™ (SPN) 全球威脅情報網的感測器,因此會受限於 SPN 的涵蓋率,而區域排行及各項數字也會受到我們的市占率影響。

◼原文出處:Top Countries With ICS Endpoint Malware Detections 作者:Matsukawa Bakuei、Ryan Flores、 Lord Alfred Remorin 與 Fyodor Yarochkin

完美風暴來襲! 台灣智慧製造面臨資安新挑戰

趨勢科技 TrendMicro

勞動力減少、工資上漲、產品交期短、市場需求變動大等市場變化,製造業正面臨新一波轉型挑戰,智慧工廠成為全球製造業的顯學,以製造業數位轉型浪潮為主要核心的工業4.0趨勢席捲全球,在全球供應鏈扮演要角的台灣製造業更是首當其衝。

全球網路資安解決方案領導廠商趨勢科技執行長暨共同創辦人陳怡樺點出,製造業數位轉型的價值,來自於「資料到決策」的轉移過程;從一開始的資料蒐集,打破公司內各個組織的資料穀倉,將資料串連在一起,再運用深度資料分析,從而制定出最有效的策略。
全球網路資安解決方案領導廠商趨勢科技執行長暨共同創辦人陳怡樺點出,製造業數位轉型的價值,來自於「資料到決策」的轉移過程;從一開始的資料蒐集,打破公司內各個組織的資料穀倉,將資料串連在一起,再運用深度資料分析,從而制定出最有效的策略。

智慧製造價值鏈:「資料到決策」


全球網路資安解決方案領導廠商趨勢科技執行長暨共同創辦人陳怡樺點出,製造業數位轉型的價值,來自於「資料到決策」的轉移過程;從一開始的資料蒐集,打破公司內各個組織的資料穀倉,將資料串連在一起,再運用深度資料分析,從而制定出最有效的策略。

陳怡樺也不諱言,「有資料的地方,就會產生資訊安全的疑慮。」台灣製造業數位轉型加速,連以往覺得很少見的線上會議也成為日常,但不幸的是,駭客勒索行為也出現加倍的成長,根據趨勢統計,過去一年,網路釣魚(Phishing)詐騙式駭客入侵案件,全世界平均增加230%(*1),增幅相當驚人。

駭客攻擊新熱點:製造業、醫療保健業



其中,進一步分析發現,駭客攻擊熱點更從政府銀行,轉往製造業醫療保健業,當製造業的資安防護較居弱勢地位時,嗅覺敏銳的駭客馬上察覺到漏洞,進而加以攻擊。研調機構Gartner預測(*2),企業在2023年因為虛實整合系統遭受攻擊,造成的財務損失將超過500億美元,企業受資安攻擊衍伸的相關賠償、訴訟、保險、監管罰款,以及人為失誤所產生的責任損失將持續擴大。

繼續閱讀