一堂價值52億元的資安課

TIPS:從資安的觀點來看，在機密性、完整性與可用性的優先順序上，可用性確保生產不中斷，通常為OT環境最重要、最優先的考量。

今年7月份發生了件震撼資安界，也震撼科技製造業的資安事件，某知名半導體大廠生產線遭WannaCry變種勒索蠕蟲入侵，造成北、中、南等多處廠房製造生產同時間停擺。令人震驚的是，大家均以為是封閉隔離的生產網路，病毒蠕蟲是何以侵入﹖為何同時多處的生產中斷﹖而該廠資安防護滴水不漏，但仍然發生造成這麼大營業損失的資安事件，對比資源或人力相對受限的一般企業，是否仍有些共通議題可供借鏡﹖我們也藉由探討此事件，提出建議來幫助企業思考適合自身的資安管理與風險控制機制。

依該廠對外發佈的新聞稿以及相關報導顯示，本次事件起因於產線新裝設一新機台，而該新機台因廠商未注意其帶有WannaCry勒索蠕蟲的變種；在近期，這類蠕蟲的擴散方式是使用去年美國國家安全局（NSA）外洩的永恆之藍（EternalBlue）漏洞利用工具，其具有利用微軟網路芳鄰Port 445的漏洞進行內網擴散感染能力。一旦勒索蠕蟲進入到生產網路進行擴散與破壞，也因此導致機台生產中斷造成本次的重大損失。雖然內部工廠生產管理網路是實體隔離的網段，但蠕蟲透過新進場的生產機台，進入到內部工廠生產管理網路，防火牆又未對網路芳鄰Port 445進行限制，這讓滲入的勒索蠕蟲猶如自走炮般，如入無人之境，四處感染造成破壞。

另外，令大家感到疑惑的是，為何北、中、南等多處廠房同時受到影響﹖推測可能該知名大廠為了推動新一代的生產模式，導入工業4.0或智慧製造等新的生產模式，而可能因此將各廠區防火牆打通，以加速資料交換，能快速分析、快速調校參數提升製造生產產能，各廠區生產網路形同一大內網，且也因透通了網路芳鄰服務Port 445，才會有北、中、南等各廠幾乎在第一時間同時受到勒索蠕蟲感染影響。這也顯示出幾項資安議題，包括實體隔離安全管理、封閉生產環境機台更新問題、上線進場檢測作業，以及工業控制領域中的運營技術OT（Operational Technology）和資訊技術I T（Information Technology）在本質上的優先順序考量不同，造成在資安實務落實上的衝突。

從資訊安全角度來看OT及IT的差異與衝突

運營技術（Operational Technology, OT）網路多指在工業控制領域上，相關生產控制或運作監控等系統構成的網路；在製造業上，OT網路串起生產流程控制與監控生產機台，主要目的是圍繞在生產流程相關控管作業，以生產效率為首要。而大家熟知的IT（Information Technology）網路在製造業中的範疇，多以辦公環境營業處所或機房等區域，所構成的以資訊資料為核心的資訊管理網絡，通常也會將OT網路與IT網路彼此隔離避免影響生產。OT環境強調生產效率，避免生產中斷造成的料件作廢等影響產能的問題，產能效率是整個生產網絡最重要的事情，從資安的觀點來看，在機密性、完整性與可用性CIA（Confidentiality、Integrity and Availability）的優先順序上，可用性確保生產不中斷，通常為OT環境最重要、最優先的考量，相對IT網路較多以Confidentiality資料機密性保全為優先考量。

以管理責任區分來看，OT網路也多屬生產廠房廠長管理範圍，而IT網路屬資訊單位管理，在不同的優先順序考量下與不同的管理人員管理目標下，即使最簡單的作業系統更新這件事，也自然會有不同的考量。例如：作業系統更新，可能在IT環境，如辦公營業環境是規定於公告後1個月內完成，但若是產品或機台設備的OT環境的話，既使作業系統為微軟作業系統，但往往也因為客製環境Driver等調整過，若無設備廠商的更新測試等支援，難以單方面由IT管理人員進行更新測試與調教，最後，即使有廠商提供更新，但要安排生產中的設備中斷進行更新，要承擔更新後，可能有風險造成營運中斷或生產品質效率受到影響，在這樣的考量下，負責的承辦單位或人員很可能會保守地採取盡可能保持環境不變動為原則，免得擔負更新後可能對生產造成影響的風險與責任。

實際上，不僅是只有工廠生產網路會有這樣的文化與資安考量上的衝突，其實在許多重要的核心系統資安管理上，也可能存在類似的狀況，系統負責人盡可能採取保守策略，不去做任何變動設定包含更新等，以免為防護資安事故，反而先發生服務中斷或不穩定造成損失。管理者在心態上的調整是這樣的場域能否做好資安的關鍵，不管是實體隔離的OT網路，或重要核心系統的管理，現代生產產品設備也多可能採用開放式協定，方便的同時也引入可能的威脅風險，因此管理人員需正面態度去了解各種可能所在場域會發生的威脅，考量資安風險再根據相關風險設定風險控制措施，並搭配適當的技術措施確保防護有效性，避免風險評鑑只流於形式，建立這樣的心態才能迎接資安的挑戰。

實體隔離真的安全嗎？

OT網路多半透過實體隔離區隔於IT網路，來確保資訊安全，然後我們所認知的實體隔離較安全，似乎在這次事件中破功了。事實上，之前ATM吐鈔事件或SWIFT偽造匯款電文的事件也都是發生在我們以為的實體隔離網路，究竟是實體隔離並不如想像安全嗎？還是仍有些躲在細節中的魔鬼呢？細探究這三起資安事故，本次事件主角生產網路上的實體隔離就好像掛蚊帳一樣，將床鋪與外界隔離，但或許大家都有些經驗，圍蚊帳時，若不小心將蚊子一起圍進來的話，那整晚就不得安寧了。所以實體隔離尤須注意如何管控進場的設備。

而ATM隔離網路或SWIFT的事件狀況比較偏向討論實體隔離中是否仍有存在串接內部網路與實體網路的中介串接網段議題，問題根因略有不同，但相同的是，一旦有辦法進入到隔離網路，可造成的影響是相當嚴重的。在隔離網路中考量風險發生時的控制措施，例如在隔離網段也可分區段透過防火牆保護，避免在災損透過網路擴散。

實體隔離有其一定程度的安全效果，但重要的是，面對新業務需求而必須開放存取時，是否仍有依照最小權限原則去開放各區的存取控制，是否仍有因管理或業務需求而串接非隔離的網段，而隔離的網段應注意設備進入該網段的安全檢查程序，定期審視該程序，確保管理與技術上的有效性，而隔離網段如何根據可能的資安風險與威脅，規劃適當的資安監控機制，是否針對可能發生的資安風險，準備適當的應變與損害控制措施，這些考量都有助於讓隔離網段更加安全。

設備與產品進場如何測試才安全﹖

任何新設備或產品進入實體隔離網路，就是一個可能對穩定環境帶入風險的情況，所以通常會要求廠商自行檢查，也會自行安排進行對應的病毒掃描、資安政策檢查，但設備或產品多樣化，使用網路型的檢測通用性雖高，但多只能針對常見的協定進行檢測，一般也多為弱點型的掃描與檢測為主。若是需要更完整的檢測，通常需在作業系統上安裝或執行檢測，檢測工具也因需安裝於作業系統上，通常也要與作業系統匹配才能執行相關檢測，相對與網路型的檢測能檢測的資訊也較多，常見檢測包含更新狀況、病毒掃描等作業，但若為生產用設備，有可能無法安裝軟體亦無法檢測，或可使用免安裝類型的檢測工具檢測，但免安裝類型的檢測工具若無驅動級的程式安裝，也通常檢測的深度較受限制。

本次事件該知名大廠也於改善聲明提到，除了人工檢測外，未來將建立自動化檢測方式來避免人工作業疏漏。從技術上來看，確實可透過建立一自動化或半自動化檢測網路環境，在進場前的設備都需要通過在這環境待一段時間，進行各項模擬檢測，概念如同資安沙盒一樣。此環境可安裝網路型的掃描檢測工具，並進行一段時間的封包側錄與分析作業，分析是否潛藏後門的連線資訊、病毒或蠕蟲的擴散網路行為或可能駭客精心佈置的進階持續性攻擊（Advanced Persistent Threat, APT）工具；最後，若作業系統允許，亦可佈署惡意程式檢測工具，這類在作業系統上運作的檢測，並產出檢測報告，通過才准許進入生產網路進場作業。這樣的類似沙箱中模擬執行的自動化檢測作業方式建議，也提供一在安全等級較高的系統環境、隔離網路環境中，導入新產品或設備時的作業檢查參考。

在我們撰文的同時，台北市正發生一資安事故，疑似公共衛生資訊管理系統遭人植入木馬病毒，而所外洩的個資在暗網上被駭客綑綁兜售，被台北市政府在進行資安檢測時發現。目前主管機關也尚在調查是系統開發管理廠商為方便遠端管理而偷留下的後門，抑或是駭客利用漏洞入侵植入的後門，當然也有可能是方便遠端管理而偷留下的後門被駭客發現而後利用，目前雖不得而知，但無論是哪種情況，在系統開發完成的上線資安檢測，以及維運階段的例常資安檢測，除了從技術面找到漏洞，更需從業務執行面確認系統是否有不當資訊揭露。

資安檢測，不僅只是查核系統是否存在資安漏洞，若是委外開發廠商需擔負日後維運責任，會否因此而預留方便遠端提供管理與報表的後門，這非正式的維運管理方式，而例常需安排資安檢測也是要找出是否有新的攻擊手法，讓原本為曝險的系統暴露風險，這些資安案例都在在強調說明，無論是新系統、新設備進到正式場域，都需安排適當的進場資安測試，減少風險發生。

設備與產品只能靠廠商更新來確保安全嗎﹖

廠商提供的設備或產品，雖然有可能使用的是大家熟知的作業系統，例如Windows或Linux，但因為生產機台產品常高度客製化，甚至有獨家開發的裝置驅動程式來驅動相關的硬體設備，也導致縱使熟悉作業系統的IT管理人員也不敢輕易嘗試自行更新系統，以免機器設備對更新不相容而導致當機或機台不穩定，反而造成產能受影響。

也因此，設備產品的更新多仰賴原廠的支援，這情況不只是產線機台，許多網通設備看似整包包裝好的產品，其實也可能內建Embedded Windows或Linux，但經過封裝或未提供管理者帳號，能執行的檢測作業或更新作業也易受到限制。即使如此，我們建議可從管理面來加強風險的控制，例如，從廠商了解核心使用的作業系統，可針對相關資訊列管，一旦有關聯所屬的作業系統層的共通風險弱點被發現揭露，例如本次Windows ms 17-010 漏洞具共通性，便可主動要求設備廠商準備與測試更新相容性與穩定性，於更新前也可透過存取管控等方式，減少暴露風險來暫時因應，將風險列管改善進度。透過這樣的管理，在有需要導入新設備、新技術到該網段區域，才有資安角度的資料可供評估與風險控制管理。

雖然這次的資安事故發生在科技製造生產網路環境中，生產效率與資安保護考量常有優先順序上的不同，但在資安管理與危機處理上，仍有許多可供學習之處：

1.人往往是資安最大的弱點，再嚴謹的SOP標準作業程序，有可能因為人的因素而有失誤，這次事件該廠的後續改善方式聲明，也表示將結合自動化檢測作業，透過標準化並搭配人工作業才由機器放行接入正式網路，利用系統化自動標準檢測機制，減少人員犯錯的可能。

2.最小權限原則。新服務、新業務推展時，須開放更透通資訊交換，且思考是否在開放的同時，也開放了不必要的服務或權限，避免整包開放，也把漏洞一起開放了。

3.徹底落實最基礎的資安維運作業在各個角落。例如：更新管理容易被忽略在隔離網段內的機器，隔離的網段不代表不需要更新，仍應建立適當的更新管理機制。定期的技術或管理上的查核，讓藏在細節的魔鬼有機會顯露。

4.資安需考慮防線失守，最壞的情況發生時，還能做些什麼進行應變。這樣的風險應變思考，將有助於縮短發生資安事故時的緊急應變與災損控制所需時間。例如，在隔離網段設計分區控制存取機制，避免問題發生時，問題蔓延與擴散到一發不可收拾的程度。

5.公司高層親上火線面對媒體，危機管理處理得宜。傳統的重大危機處理，對外多找發言人代表發言，但這次該廠在發生資安事故後的處置上，迅速找出問題根因，提出解決方案，且由總裁親上火線展現虛心改善誠意，化解網路上的各項流言，解決投資大眾與重要客戶的疑慮，在公關危機處理上，也做了一個相當好的示範。

資安能否落實，最重要仍是在思維上的調整，以往所熟知的安全環境，在日益複雜的應用場域下，也可能引入新的風險或威脅，如何在思維上轉換，與時俱進，確實落實PDCA循環，持續檢視與精進資安維運管理，才能確保資安管理的落實與有效性，確實達到風險的控制與管理。（關貿網路公司資安整合服務部／整理）