▎顧工控資安 產官學協力拼💪
今天很開心來到大同大學參加台灣數位鑑識發展協會、大同大學資工系與環奧國際舉辦的 #工業控制系統資通安全論壇 ,和大家一起討論數位浪潮興後,資訊化的IT和工業化的OT(Operational Technology,工業操控技術)持續融合,所湧現的各種新產能機會與資安挑戰。
如果看過布魯斯威利演的《終極警探4.0》,應該會對裡面的駭客按幾個鍵就可以癱瘓掉整個城市交通系統、造成社會瓦解的情況感到驚訝與誇張,但這已經是在現實中真實上演的威脅。包括2010年伊朗核電廠內的西門子PLC即被惡意程式Stuxnet入侵,影響核電廠啟動程序;2015年烏克蘭電廠遭到BlackEnergy惡意程式入侵造成該地大停電,以及去年5月,#中油與台塑遭到駭客勒索病毒的攻擊,營運暫時停擺⋯⋯這些網路攻擊或造成加油站癱瘓、地鐵系統停擺、水力發電站事故等,都顯示OT的資安防護早已是不得不面對的現實。
面臨新型態的物聯網發展,傳統資通訊安全產品無法完全對應與解決工控安全問題,OT資訊安全的素養與資安人才都培養都極待加強。
去年(2020),經濟部國營事業委員會也針對6個關鍵基礎設施的十種工控協定進行檢測,檢測結果發現,最大的OT資安風險,就是 #暴露易遭攻擊的服務,比例高達35%;其次則是暴露不安全工控協定,比例則有16%,這都顯示工控系統已成為駭客新興鎖定的攻擊目標!
近兩年特別需要注意的是勒索軟體及相關手法的興起,在2019年3月,全球最大鋁業之一的挪威公司Norsk Hydro,也發生IT網路遭到勒索軟體LockerGoga攻擊,波及製造環境的事件;2019年12月,美國知名資料供應中心CyrusOne遭到勒索軟體攻擊;而就在上個星期,一群使用勒索軟體Revil的駭客試圖勒索Apple要求其買回新筆電產品藍圖,更涉嫌從Apple筆電製造商廣達電腦的網路中竊取大量數據資料,並要求支付天價贖金🙀
這種「勒索軟體即服務(RaaS)」的網路攻擊模式在國外行之有年,近來犯罪手法更逐漸進階到針對大企業的「#針對式勒索」及備份企業資料進行加密勒索的「#雙重勒贖」,可見台灣包括政府與企業單位都面臨越來越嚴重的駭客攻擊風險。
過去一年從科技圈走入立法院,參與國家法律的擬定和政策討論,虹安深刻感覺到在 #資通訊安全 方面,無論是台灣的關鍵基礎設施防護或是政府的資安計畫都還還有很多的努力空間。在前瞻1.0、2.0的資安防護計畫當中雖然花很多資源在改善軟硬體,但專業資安人力培育力道依然相當不足,導致和企業的防禦性資安人才需求產生落差,這也是虹安收到許多業界的夥伴反應最迫切的問題。
總體來說,如何正確的佈署資安防禦的縱深,並強化整體企業資訊防護安全,是政府相關單位的當務之急,這也是我在立法院未來會持續監督的方向。今天在現場和許多前輩與夥伴共同探討了很多維護台灣工控資安的第一線見解與應對方法,一起為台灣資安努力的感覺,真好!
#今天遇到好多資安夥伴
#工業控制安全你我一起
「伊朗 核電廠 stuxnet」的推薦目錄:
- 關於伊朗 核電廠 stuxnet 在 高虹安 Facebook 的最讚貼文
- 關於伊朗 核電廠 stuxnet 在 台灣物聯網實驗室 IOT Labs Facebook 的精選貼文
- 關於伊朗 核電廠 stuxnet 在 翟本喬 - 科技時代 Facebook 的最佳解答
- 關於伊朗 核電廠 stuxnet 在 [問題] Stuxnet 震網2010病毒有多強? - 看板AntiVirus - 批踢踢 ... 的評價
- 關於伊朗 核電廠 stuxnet 在 【駭客事件手法】核電廠防網路攻擊台灣列為安全名單... 的評價
- 關於伊朗 核電廠 stuxnet 在 [新聞] 外媒:伊朗鍊鈾廠爆炸與以國F35空襲有關 - Mo PTT 鄉公所 的評價
- 關於伊朗 核電廠 stuxnet 在 [新聞] 外媒:伊朗鍊鈾廠爆炸與以國F35空襲有關- military 的評價
伊朗 核電廠 stuxnet 在 台灣物聯網實驗室 IOT Labs Facebook 的精選貼文
萬物聯網有效益也有威脅 建立可信任安全生態刻不容緩
掌控資訊基礎架構風險 5G物聯網未來前景可期
2021-01-26顏志仲
物聯網作為近年來最熱門的議題之一,在這個萬物聯網的時代,隱私與安全是不可或缺的。然而,物聯網的安全並非是靠單一廠商一蹴可及,必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。
新世代5G高速網路的佈建,再次讓物聯網的應用飛速成長。隨著物聯網設備進一步深入我們生活周遭,物聯網的安全更必須被高度重視。而物聯網的安全,需要整個生態鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商共同努力方能達成。
工業物聯網之安全要求大不同
2020年各大電信業者5G陸續開台,隨著「高速度」、「低延遲」、「多連結」的網路到來,各式應用場景的討論絡繹不絕,熱鬧異常。軟硬體廠商均卯足全力,希望藉由新的網路型態在低迷的景氣中打造全新的商業機會。然而,在這樣各類新型態的應用即將面市之時,更應回頭關注一下物聯網的基礎架構風險。
物聯網資訊基礎架構風險地圖。
與傳統的資訊科技(IT)及運營科技(OT)相較,物聯網的安全則集其大成,強調隱私(Privacy)、安全(Safety)、資安(Security)、可信賴度(Reliability)以及資訊韌性(Resilience)。對傳統IT而言,生命財產安全的要求是相對陌生的,但別忘了,2010年Stuxnet造成了伊朗核電廠的高度破壞,到了現今汽車、家電、各式感測器連網的IoT時代, 不安全的資訊基礎架構能對日常生活造成什麼樣的破壞?隨著破壞的「所需成本」與「其影響層級」的重新再平衡,隱晦式的資訊安全(Security by Obscurity)早已不該成為唯一的安全機制。
物聯網之資安風險控制框架
那麼在萬物聯網的時代,物聯網的安全相較於傳統IT/OT會有哪些重點?參考工業網際網路聯盟(Industrial Internet Consortium,IIC)以及相關先進的建議,以下的物聯網資訊基礎架構風險地圖可以作為初步的參考。
端點與嵌入式系統層
物聯網興起之後,安全上最大的不同即落在端點及嵌入式系統這一端。這部分近年討論熱烈即是信任根(Roots of Trust),亦即將安全之信任基礎建置於硬體上,減少韌體遭竄改而導致的安全風險,其常見技術包含現場可程式化邏輯閘陣列(FPGA)、信賴平台模組(TPM)以及可信執行環境(Trusted Execution Environment)等。
總的來說,這些技術均透過端點硬體晶片上內建的安全設計,提供其上的系統軟體安全憑證、安全基礎認證、加密資訊儲存等基礎的安全功能。以此為基礎,就可以實作簽章以認證並授權核可的使用者或應用程式進行系統操作、比對Hash值嚴格控管開機程序,減低惡意程式預先載入系統的風險,或是以信任根驗證系統更新是否合法等等,進行各式端點的安全控管。必須特別注意的是,這樣的安全功能有賴各供應鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商將其導入並實作,才能完備整個信任鏈的健全。
然而,現今許多正在進行的IoT專案有兩個共同難題,一是專案大多建置於多年前的基礎架構(Brownfield),難以將新式安全架構完整導入;另一難題則是受限的端點資源(Resource-constrained Endpoint),專案常因端點載具體積、耗能以及成本等多方考量,無法建置應有的安全功能。這時,只好仰賴資訊基礎架構風險地圖裡其他層的控管機制來緩解端點的安全疑慮。
通訊連接層
談到物聯網通訊,首先得提到其無所不在的網路(Ubiquitous Network)特性,亦即其網路已非傳統IT的多層式架構;再來就是其應用的通訊協定,多使用Fieldbus等通訊協定來連接各種不同的設備,這些歷史悠久的通訊協定因早期封閉式網路有著實體隔離的特性,極少內建安全機制。根據國外的研究,內建通訊加密與安全認證的工業用通訊協定不到十分之一。試想不安全的通訊協定連接上網際網路後可能對關鍵基礎設施(例如電廠、水壩)造成多大的安全風險?
然而,物聯網的趨勢總是得走下去,還是有一些方法來控制這些問題,包含網路實體隔離、透過虛擬機隔離作業系統核心、應用程序隔離等方法來控制風險,在架構允許的情況下,也應建置加密通道(例如MPLS)或是使用IPSec等加密技術來建立安全的傳輸通道。
此外,傳統的Gateway端防護依然是有效的,只是須特別注意的是,傳統的防火牆僅針對IT環境常見的設備建立預設的防護,對於工業用通訊協定的支援相當有限,另外也欠缺第七層應用層的關聯規則,這部分未來將有賴IT廠商、OT大腕及各業界專家們通力合作來完成了。
雲端平台與應用
基於地域性與可擴充性考量,現今越來越多的應用放置於雲端服務業者,這時候可以思考使用雲端安全聯盟的CAIQ(Consensus Assessments Initiative Questionnaire)來評估自身導入雲端服務的安全水準。而在系統開發的過程中,也必須遵行Security by Design的精神,早期將安全需求內建於系統中,其中,Right-size Security是相當重要的,必須考量安全遭破獲的嚴重性與影響層級,建立相對應的系統安全控制,方能說服主管機關與投資者。
而在最後的安全測試上,也必須著重End-to-End的安全測試,也就是從雲端平台一路到端點的安全測試,而非只是針對端點產品的安全測試與認證。需要知道的是萬物聯網的時代,任何一個節點的安全漏洞均可能導致整個系統全面性的破壞崩解。台灣身為ICT產業大國,資通產業標準協會(TAICS)業已參考國際標準制定網路攝影機等設備之資安檢測標準,政府亦積極發展物聯網資安認證標章,我們樂見各應用領域之安全檢測基準能夠順利地推展開來。
風險治理流程
在整體風險治理架構上,首要之務是進行風險評估,工業網際網路聯盟(IIC)已經建立IoT Security Maturity Model,將安全要求分為風險治理、安全功能與系統強化三大面向協助組織進行深度評估。另外,建立完整的安全組織與流程亦是絕對必要的,須知物聯網可能牽涉的是生命財產的安全議題,因此安全組織不能只是產品與IT人員,還須包含法務、公關、總務、客服等各單位,並進行完整之緊急事件應對演練,以備不時之需。 而在具規模的組織,建立相當的風險智能功能團隊亦是必要的。需要了解的是,物聯網設備多是專業領域之特殊應用,因此資料需要大量的領域專家進行分析解讀,這時亦可以應用機器學習技術使用監督式學習尋找錯誤資料,並進行風險評分,甚至可進階使用非監督式學習進行資料分類與異常分析,尋找系統優化之契機。
最後,這些風險分析的規則,最好能適度轉換成Machine Policy,建置安全智能於端點,使資料中心與端點通力合作,形成一個正向輪迴,持續強化安全偵測,阻擋威脅於機先。
物聯網安全之未來
物聯網作為近年來最熱門的議題之一,在這個萬物聯網的時代,隱私與安全是不可或缺的。然而,物聯網的安全並非是靠單一廠商就能一蹴可及,必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。這個生態鏈中包含硬體製造商必須建立信任根,解決方案商基於硬體安全方案實作安全功能,系統維運商精實管理維運安全,最後加上安全認證的導入方能健全。
現今,已經看到硬體製造商提出多樣的安全晶片,政府亦積極推展物聯網安全標準,目前包含視訊監視器、無線路由器以及智慧運輸等,均有相對應的檢測單位。
放眼未來,樂見更多資源投入,發展更多領域的安全基準,更重要的是希望民眾能提高安全意識,方能促使廠商將相關安全要求導入產品與日常維運中,建立起更為安全、便捷的物聯網新世界。
資料來源:https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/26443E6FD1EE49CEB4A565A6F3A5A0FF?fbclid=IwAR0r3Vk8jZ784d2FzIyFT0tO03sJlt3wjh4K-eTxX6e70GSoVigky4HPFF4
伊朗 核電廠 stuxnet 在 翟本喬 - 科技時代 Facebook 的最佳解答
《政見六:推動資安就是國安,防患未然制敵機先以決勝千里之外》
台灣的資安環境和需求在全世界來說算是非常特殊的,我們分成軍事攻防、軍事消極防禦、民間防禦、產業建立等幾個方面來探討。
在軍事攻防方面,很多人可能不知道:第二次世界大戰其實已經是資訊戰了。中途島美軍之所以能打贏,主要就是靠了破解日軍密碼。如果不是資訊戰打贏的話,中途島應該是一敗塗地的。另外在《模仿遊戲》這部電影裡也敍述了 Alan Turing 及團隊為破解德軍密碼所付出的努力,相信看過的人都印象深刻。孫子兵法第十三篇《用間》[1] 強調了間諜的重要性,在古代沒有什麼資訊工具可用,所以用間靠的就是人。但今天情形已經不一樣了,所以第一件事是要掌握足夠的資訊科技。
這裡所說的資訊科技不單是指直接使用在電腦和網路設備上的科技。舉例來說:二次大戰德軍在轟炸英國的時候,沒有衛星導航,又是夜間出發,他們怎麼讓轟炸機知道要往哪裡去?德國用一個無線電波束導引,飛偏了儀器會告訴你。而側面用另一道電波交叉在目標上空,所以第二道電波出現的時候就是丟炸彈的時候。於是英國就另外發一道假的電波去交叉在荒野或大海上空,讓德國的轟炸機把炸彈丟錯地方,這就是一種資訊戰。同樣的,今天的炸彈或飛彈有些是用衛星定位的,如果我們能假造衛星信號,那麼這些飛彈就會打錯地方。
資安做得好,飛彈打不到。
做好資安,飛彈轉彎。
有「西方兵聖」之稱的卡爾·馮·克勞塞維茲 [3] 有句名言:進攻是最好的防禦 [2]。如果敵人有核子武器,你要如何防禦?很難吧?我們來看看以色列如何防禦伊朗的核子威脅?
以色列的生存一直受到它在中東鄰國的威脅,而其中有能力發展核子武器的是伊朗。伊朗有核電廠,但核燃料受到國際上嚴格的管控,武器級的濃縮鈾或鈽是買不到的,想要的話就要自己從核電廠用過的燃料棒中提煉。要提煉的話要用到大量的離心機,才能把特定質量的同位素分離出來。
2010年資安公司發現了一個奇怪的病毒叫 Stuxnet [4,5],估計大約從2005年以前就已經開始散佈。除了一般病毒該有的傳播和匿蹤特性之外,它並不破壞一般的電腦,而是檢視網路上有沒有西門子的某一型工業控制器,如果有的話,就把一個子病毒注入到該控制器上。子病毒會檢查控制器是否連到特定型號的馬達上,而且馬達的轉速是否落在某個範圍之內。如果這一切都符合核武原料提煉用的離心機的設定,那麼它就啟動破壞的程序。
它並不會立刻破壞這個離心機,而是讓馬達的轉速忽快忽慢,加速它的磨損,而提煉出來的原料純度也會有問題而不能用。但儀表板上看來一切正常,所以工程師只會奇怪為什麼機器一直壞,而核武試爆結果也會不如預期,或是根本就失敗,還找不出原因。
Stuxnet 據說是以色列大名鼎鼎的 8200 部隊 [6] 在美國支援下做出來的。
前陣子有人在說,如果敵人出現在身邊,我毫不猶豫掃把拿起來就打。可是如果敵人已經出現在身邊,你已經來不及了。還有人說如果傘兵降落在台中市,我身邊有槍,我抄起來就開槍,但如果傘兵已經可以空降在台中市,那根本就來不及了。以台灣的情形,陸軍的防衛,是海空軍已經失敗之後才會發生的,海空軍如果失敗就撐不了太久了。而海空軍為什麼會失敗?因為前面的情報戰就已經有問題了。在敵人要集結的時候就要開始防堵,甚至從內部去癱瘓他,這才是最厲害的。
Battlestar Galactica (星際大爭霸) [7] 這部影集的概念是說有一群機器人的文明跟人類對抗,人類技術其實比較好,他們的母艦、戰鬥機都比較厲害,但機器人在戰鬥機的程式裡植入木馬,所以發動攻擊時從內部就毀滅掉他們,而人類最後剩下只剩下中古戰機可以對抗。而這就是最前面的資安戰問題,如果說敵人要出動的時候你直接把他的空軍幹掉了,那怎麼還會有拿槍打傘兵的需要呢?
在軍事消極防禦來說,是平常在軍事和重要民生設施方面要有良好的資安防衛。這一點我們的政府已經在進行,成立了第四軍種「資通電軍」 [8,9,10] 以及在行政院設立了資通安全處 [11,12]。這些措施裡多少也包含了前述的軍事攻防成分,但考量國防機密的敏感性,我們在此不去揣測可能發展的技術、計畫、以及進度。在政府已經進行的計畫方面,我們就不列入政見討論。
整體上來說,這也擴散到民間防禦方面。不過民間的非軍事資安,除了一般人印象中的駭客攻防之外,還有很重要的一個面向,就是看似非軍事,實則為全面戰爭重要成分的「假訊息戰」。
我們每天在社群媒體上看到的訊息,有許多其實是有心人士製造出來影響我們心理的文章和影音 [14,15,18]。這些技術從廣告業發展出來,現在被廣泛運用在政治和廣義的軍事用途上。而這些假訊息的傳播,短期內是為特定人士或團體牟取利益,但長期來看,是在戕害人民的心靈,破壞社會的體質。
但基於言論自由的精神,我們不可能要求政府對訊息的來源做過度的管制,況且那是治標而不治本的做法,只會陷入一個惡性循環。根本的做法應該是從教育上下手,從小培養學生獨立思考,自行查證的習慣和素養。
在短期的處理方法方面,則是要建立良好的事實查核平台 [16],讓文字和影音資訊能夠被具有公信力的第三方查證。而各種資訊和社群平台,如 Google、YouTube、Facebook、LINE、Twitter 等,應該要開發偵測演算法,來標示或下架有問題的內容 [17]。其中有些廠商已經開始了第一步 [19,20],但仍有很長的路要走。
在產業建立方面,本黨鄭秀玲委員已經在上個立院會期提出「資安磐石計畫」[13],也獲得了行政院蘇院長的支持。我們下一屆會延續這個政策,加以發揚光大,細節在此不多贅述。
《回顧》
政見一:推動政府數位轉型,增設行政院副院長以帶領數位創新 https://www.facebook.com/benjaifans/posts/141809803919167
政見二:創新型態國際合作,以台灣強項製造服務投資世界新創
https://www.facebook.com/benjaifans/posts/142514483848699
政見三:鑽研關鍵尖端科技,奠定未來二十年核心產業領域基礎
政見四:長期培養高階人才,營造三十年後研發大國氛圍與環境
https://www.facebook.com/benjaifans/posts/143736907059790
政見五:強化前瞻法規制度,阻卻跨國企業掠奪國家戰略性個資
https://www.facebook.com/benjaifans/posts/145684116865069
[1] https://zh.wikisource.org/wiki/%E5%AD%AB%E5%AD%90%E5%85%B5%E6%B3%95#%E7%94%A8%E9%96%93%E7%AC%AC%E5%8D%81%E4%B8%89
[2] https://zh.wikipedia.org/wiki/%E6%88%98%E4%BA%89%E8%AE%BA
[3] https://zh.wikipedia.org/wiki/%E5%8D%A1%E5%B0%94%C2%B7%E5%86%AF%C2%B7%E5%85%8B%E5%8A%B3%E5%A1%9E%E7%BB%B4%E8%8C%A8
[4] https://en.wikipedia.org/wiki/Stuxnet
[5] https://zh.wikipedia.org/wiki/%E9%9C%87%E7%BD%91
[6] https://en.wikipedia.org/wiki/Unit_8200
[7] https://zh.wikipedia.org/wiki/%E5%A4%AA%E7%A9%BA%E5%A0%A1%E5%9E%92%E5%8D%A1%E6%8B%89%E7%8B%84%E5%8A%A0
[8] 臺灣網軍跨出第一步,資通電軍指揮部正式成立,第四軍種成軍在 https://www.ithome.com.tw/news/115209
[9] 第四軍種加入聯電操演 專家:從戰術提升到戰略 https://www.rti.org.tw/news/view/id/428570
[10] 國軍「第四軍種」 資通電軍指揮部成立 20170629 公視晚間新聞 https://www.youtube.com/watch?v=TfTmYCnsGgc
[11] 行政院國家資通安全會報技術服務中心 https://www.nccst.nat.gov.tw/About?lang=zh
[12] https://www.ithome.com.tw/news/108158
[13] 立委提4年10億培育資安人才 蘇貞昌:支持 https://www.cna.com.tw/news/afe/201911120103.aspx
[14] Taiwan most vulnerable to disinformation attacks: Swedish survey https://www.taiwannews.com.tw/en/news/3786185
[15] Taiwan Caught in Online Opinion War https://english.cw.com.tw/article/article.action?id=2375
[16] 台灣事實查核中心 TFC https://twitter.com/taiwantfc
[17] 防制不實訊息 臉書LINE等5大業者帶頭自律 https://www.cna.com.tw/news/firstnews/201906210183.aspx
[18] Awash in Disinformation Before Vote, Taiwan Points Finger at China https://www.nytimes.com/2020/01/06/technology/taiwan-election-china-disinformation.html
[19] Election integrity policy https://help.twitter.com/en/rules-and-policies/election-integrity-policy
[20] Twitter bans political ads after Facebook refused to do so https://www.cnbc.com/2019/10/30/twitter-bans-political-ads-after-facebook-refused-to-do-so.html
伊朗 核電廠 stuxnet 在 【駭客事件手法】核電廠防網路攻擊台灣列為安全名單... 的彩蛋和評價
而在擁有核子武器原料或核電設備的四十七國中,有廿國在應對網路攻擊上竟得零分,相當危險。 2.最著名的網攻核電廠實例,就是美國與以色列利用電腦蠕蟲Stuxnet攻擊伊朗核電 ... ... <看更多>
伊朗 核電廠 stuxnet 在 [新聞] 外媒:伊朗鍊鈾廠爆炸與以國F35空襲有關 - Mo PTT 鄉公所 的彩蛋和評價
原文來源: 伊朗鈾提煉廠爆炸疑與以色列有關阿文媒體:F-35戰機空襲所 ... 納坦茲在伊朗受到嚴密保護,該核電廠先前曾遭到震網電腦病毒(Stuxnet ... ... <看更多>
伊朗 核電廠 stuxnet 在 [問題] Stuxnet 震網2010病毒有多強? - 看板AntiVirus - 批踢踢 ... 的彩蛋和評價
wiki 介紹
震網(Stuxnet),又稱作超級工廠,是一種Windows平台上的電腦蠕蟲
據報導,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,
並最終使伊朗的布希爾核電站推遲啟動。
不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。
賽門鐵克安全回應中心高階主任凱文·霍根(Kevin Hogan)指出,
在伊朗約60%的個人電腦被感染
===========================================================================
連核電廠都可以攻擊了
《紐約時報》報導,美國官員承認這個病毒是由美國國家安全局在以色列協助下研發
現在大規模的攻擊 都要懷疑背後原因了
搞不好多年之後 有國家會跳出來承認
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.168.148.246
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494770681.A.82B.html
... <看更多>