趨勢科技呼籲企業擴大資安戰備範圍 方能在轉型中安穩前行
【2021年5月3日,台北訊】新冠肺炎疫情徹底改變組織的運作模式,全球企業數位轉型的進程正以前所未見的高速向前奔馳,資安威脅情勢更加變化難測。對此,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 在今年共同主辦的CYBERSEC 2021台灣資安大會中發表前瞻性的觀察,呼籲企業正視數位轉型所帶來的必要挑戰,隨著大量關鍵設備連網,IT與OT之間的界線勢必愈趨模糊,加上伴隨5G應用興起的CT (Communication Technology),更迫使企業不得不擴大資安戰線,特別是在全球供應鏈扮演要角的台灣智慧製造業,更應重新審視資安政策,依據轉型階段目標部署完善的資安防護。
借鏡防疫 趨勢科技提出資安轉型三步驟:採取隔離、減少重症、積極預防!
趨勢科技執行長暨共同創辦人陳怡樺表示 : 「數位轉型的價值,可說是來自於『資料到決策』的轉換過程,從最初的資料採集,到打破穀倉進行資料整合,並透過深度資料分析擬定有效策略,才能進一步創造出商業價值。」然而,在數位轉型及工業4.0的推波助瀾之下,應用系統與基礎架構發生徹底改變,企業連網設備增加,IT與OT之間界線的模糊,大大提高駭客攻擊面,讓企業所面臨的資安管理議題加倍複雜。
對此,陳怡樺以採取防疫措施做為比喻:「企業做數位轉型,資安的腳步也要跟上。第一步要思考如何做好隔離,降低內部系統遭感染機率;第二步要防護重要資產,善用緊急修補 (如虛擬補丁) 以減少重症發生機率;第三步要積極預防,例如更換新機台時,優先選用有良好資安防護系統的設備。除此之外,資安的轉型也需要配合企業數位轉型不同階段的目標,進行完善的資安防護部署,才能在企業營運效率與數位化間取得平衡,即使面對駭客掀起的巨浪,也能充滿信心繼續穩妥前行。」
勒索病毒鎖定工業物聯網 全球製造業面臨嚴峻威脅情勢
疫情下全球企業邁入新秩序挑戰,台灣更在全球製造業供應鏈扮演要角。不可忽視的是鎖定OT環境進行攻擊的勒索病毒卻日漸增多,趨勢科技研究觀察2020年10大勒索病毒家族皆以鎖定感染OT、工業控制系統 (ICS) 為攻擊目標註1,台灣科技製造業也成為駭客發動勒索病毒攻擊的受駭者。如今,OT環境所承受的企業責任損失已不只是單一產線停工的營運損失,Gartner預測企業在2023年因為CPS (Cyber-Physical Systems) 遭受攻擊造成的財務損失將超過500億美元註2,企業受資安攻擊衍伸的相關賠償、訴訟、保險、監管罰款,以及人為失誤所產生的責任損失將持續擴大,顯示OT安全性勢必成為製造業營運的一大挑戰。
而趨勢科技最新針對日本、德國及美國的工業網路資安調查中,更顯示高達61%的受訪製造業者都經歷過資安事件,其中43%造成產線停擺四天以上,針對工業物聯網環境所遭遇的艱鉅資安挑戰,趨勢科技副總經理暨TXOne Networks 執行長劉榮太博士提出觀察:「企業唯有正視弱點,才能突破。製造業供應鏈上下游關係緊密,OT場域的機台運作可謂牽一髮動全身,系統可停機的時間極短,在廠房內有數以百計的設備裝置,大多數情況下是相當難以進行漏洞修補與系統更新。然而廠房中眾多老舊且未更新的裝置,如加上人員操作不當疏失,以及未採取適當的網路隔離與不安全的認證存取等因素,再再使得工業網路環境暴露在巨大風險中,讓製造業的資安管理與維護陷入困境。」
2021疫波未平疫波又起 趨勢科技呼籲企業審視資安政策 將資安建設納入轉型規劃
因應OT環境棘手的威脅情勢,企業如何在營運不受干擾的情況下,打造有效的網路安全防護,將成為製造業提高生產力與資安營運效率的關鍵。劉榮太博士指出:「2021年可預見疫情仍將持續影響全球企業營運,工廠遠端操作需求仍將不斷提升,讓駭客擁有更多可趁之機,因此審慎規劃資安建設,並時刻檢視既有的資安政策是否完備仍為企業永續經營關鍵要點之一,才能在營運效率提升之餘,同時確保企業內部的機密製程安全無虞。」
趨勢科技呼籲企業可採取以下預防措施,確保企業內部的機密製程資料安全,掌握資訊維運控制權 :
- 深度解析工控協定,網路隔離減少資安風險
- 高效能虛擬補丁,保護弱設備
- 信任名單控管,阻擋未知攻擊
- 先進機械學習自我防禦,克服複雜工控環境
- 定期資安檢測,確保營運順暢
趨勢科技將於5月4日正式展開、為期三天的台灣資安大會中,展出企業資安三大主軸,提出 Vision One 威脅防禦平台,Cloud One 全方位雲端防護平台,以及由 TXOne Networks 所開發的高適用性工控安全防禦架構,讓企業不論是何種情境,都能找到對應所需的資安防護。更多關於趨勢科技在台灣資安大會的分享內容
註1:根據趨勢科技2020年資安總評報告資料,自2020年1月1日至12月31日偵測到的勒索病毒統計。
註2 : Gartner Predicts 75% of CEOs Will be Personally Liable for Cyber-Physical Security Incidents by 2024 : https://www.gartner.com/en/newsroom/press-releases/2020-09-01-gartner-predicts-75–of-ceos-will-be-personally-liabl