卡巴斯基 Cyber Insights 2019 工業4.0智慧製造資安論壇：資安無人可置身事外

與其他資安業者相比卡巴斯基具有全方位的卓越堅持，卡巴斯基大中華區董事暨總經理鄭啟良首先舉例，卡巴斯基在全球設立三處透明中心供企業客戶檢視原始程式碼，展現最大的信任誠心；在技術方面卡巴斯基幾乎參與所有防護能力檢測，並在75%測項上取得前三名肯定；在支援方面亦提供在地最大支援，相對的友商卻選擇退出市場，僅保有部分大客戶其餘多託付給代理商。

在技術創新上，卡巴斯基也是少數能持續提供先進持續威脅(APT)動向與抵禦對策的業者；在服務創新上，卡巴斯基提供資安威脅情報資訊訂閱服務，以及由總部菁英團隊提供遠端滲透測試服務，此服務更獲得全球重量級電子商務業者的肯定。

在防護延伸上，卡巴斯基也跨入工業控制系統(ICS)、營運技術(OT)領域的資安防護，並提出原生的作業系統Kaspersky OS，大幅增強現場防護力，一旦駭客發現攻擊成本遠大於攻擊收益時便會放棄或轉移。歸結而言卡巴斯基在各方面的卓越堅持，均是為了讓客戶保有安全無虞的環境。

製造業面臨新興資安議題

「製造業已與過往不同，製造業正積極從傳統製造轉向智慧製造。」資訊工業策進會資安科技研究所（以下簡稱資策會資安所）所長毛敬豪表示，無論是在正在回流的台商製造業或是現有的國內製造業均傾向升級成智慧製造。全球智慧製造產值預計到明(2020)年達3,200億美元，年複合成長率達12.5%，龐大商機的背後也將面臨資通訓安全挑戰。

事實上過去工業控制、關鍵基礎設施等營運技術(OT)領域早有資安事件案例。毛所長舉例，例如Stuxnet病毒讓伊朗核設施遭受侵害，或有烏克蘭遭駭客攻擊而造成大停電，德國煉鋼廠熔爐毀掉等，另外我國的台積電也同樣無法倖免。

製造業面臨的資安挑戰也包含法遵合規挑戰，例如銷往歐盟市場必須遵循GDPR規範，用於醫療業必須遵循HIPPA規範，否則無法取得訂單。另外許多業者也開始要求其供應鏈的上下游必須遵循資安規範，以免成為破口，若不能遵循將難以持續往來。而製造業的資安挑戰還有更多層面，例如產品在生產製造過程中就必須講究資安，或者在生產現場實際佈建也必須講究資安，不僅要考慮資安也要考慮實體安全性，畢竟廠房或關鍵基礎設施等設備停擺或誤動作即可能造成生命財產損失、社會秩序紊亂。

為了實現關鍵基礎設施的防護，資策會資安所與台水、台電、中油合作，由其提供現場營運環境，並結合中華資安、安碁資訊等多家國內資安業者，共同在環境中開發、試煉資安防護方案。

此外政府相關單位也相當重視製造業資安，在「5+2產業創新」及政府其他相關計畫即明訂資安經費比例，凡10億元以上的計畫須在經費內提撥5%實施資安，1～10億元內則為6%，1億以下為7%，確保各種創新發展均有資安防護，實際而言單就2019～2022年智慧機械產業創新人工智慧(AI)應用加值計畫即有13億元之高。

最後毛所長歸結，工控資安當從多個面向著手，一是國內的高科技產業如半導體晶片設計，當在晶片開發階段即導入BSIMM；製造業數位轉型與智慧製造則需導入IEC 62443；關鍵基礎設施亦須導入資安。

二是必須建立起國內的資安認證生態系統，並聚焦在檢測技術上，以及能接軌國際標準。三是檢視與強固各環節，最底層為晶片設計與運作的防護，往上一層為韌體程式開發與更新防護，更上層則為應用程式防護。

甚至連人工智慧演算法也需要防護，聰明的駭客知道自駕車的人工智慧模型擷取哪些關鍵特徵，如此只要在影像畫素中進行些許改變，即可能讓人工智慧模型誤判，使當左轉的車變成右轉，因而造成事故。

除了人工智慧外，其他新興資安議題也包含5G資安、垂直領域資安等，均在不久的將來要面臨資安威脅挑戰，唯有做好上述的防備才能避免侵害。

製造業CNC機台專用安全方案

「在製造業中扮演重要角色的CNC機台其實面臨著多種資安威脅。」卡巴斯基安全服務總監Gleb Gritsai舉例，首先是對CNC機台的破壞，或讓機台內的零件無法運作，其次是有心者會試圖盜取機台上的G碼，但G碼是製造業者的開發心血，一旦被竊他廠將能生產製造出相同的仿造品。

三是機台被入侵後機台開始運作不正常，進而使機台生產出瑕疵品或機台不穩、故障。四是被入侵的機台開始誤動作，可能因此傷害周遭的人員與環境。

CNC機台可能被入侵嗎？答案是肯定的，卡巴斯基即找出德國西門子Sinumetik CNC機台的多項弱點，並正式提報為CVE弱點公告，西門子對此表示感謝並釋出更新程式進行修補。

CNC機台也設置在廠房環境中，所以廠房環境的安全性也必須重視，對此須實施資安防護評量，評量方式也有多種，一是以資安攻防為設想的評量法，如CBEST、TIBER、MITRE ATT&CK等；二是導入共通性的滲透測試方法論與標準，如OSSTMM、PTES、OWASP等；三是採行跟進對策，如TTP(Techniques and Procedure)。針對上述卡巴斯基的資安服務有堅強團隊、知識與資源提供各種評量服務。

進一步的，製造業也當考慮施行紅隊演練的資安防護評量，對此可再細分為5個評量實施階段，一是紅隊進行前期準備，二是紅隊為了施展攻擊特定對象而開始量身訂製一套威脅智慧，三是依據威脅智慧正式實施攻擊，四是攻擊之後對企業的資安監控中心(SOC)進行評量，最後則給予企業內負責資安防護的藍隊各種指導建議。

此外卡巴斯基也針對工控領域提出KICS(Kaspersky Industrial Cyber Security)方案，方案提供了對工控網路的防護與對工控端點的防護。以網路防護而言，其內容包含網路完整性的查核、資安事件的管理、資安監督，並可以處理可程式化邏輯控制器(PLC)的命令，以及與其他資安系統整合，包含日誌檔伺服器、信件伺服器、安全性資訊與事件管理(SIEM)等。

而在端點防護上，KICSKICS可以實現應用程式啟動控制、裝置的控制、惡意程式的防護與過濾、檔案完整性監督、日誌檢查，以及PLC的完整性查核等。

最後不可少的是資安防護的教育訓練。Gleb Gritsai說明，製造業當針對SOC的資安專員建立起年度性的防護訓練規劃，強化內部專員的資安防護能量，使他們能有效運用防護工具與服務。對此卡巴斯基也提出各種訓練建議，包含資安事故發生時當如何回應，事故發生後如何進行數位鑑識，另外須對惡意程式進行分析，同時也必須有效偵測出威脅等。透過機台、網路、端點等層層防護，並搭配教育訓練的實施，製造業才能因應未來更嚴峻的資安威脅與挑戰。

偵測即時潛在威脅卡巴斯基KATA威脅情資

「資安威脅已愈來愈嚴重，沒有人可以置身事外。」卡巴斯基台灣銷售總監黃茂勳列舉今日各種資安威脅，例如無檔案攻擊、分散式阻斷服務攻擊(DDoS)、行動裝置App攻擊、物聯網惡意程式、零日(Zero Day)漏洞攻擊、USB隨身碟感染、另類APT攻擊等。

更重要的是所有產業都會成為目標，且年年發生重大事件，以我國而言2016年有第一銀行、2017年遠東銀行、2018年台積電、2019年華碩等。且威脅已從一次性攻擊演進成持續性程序。

面對日新月異的攻擊只有阻擋是不夠的，因為自動化系統只能阻攔90%一般惡意程式，尚有9.9%針對性攻擊、進階惡意程式需要人力關注與手動防護，另有0.1%是進階持續性威脅與資訊武器。自動化系統的不足也顯現在警報比例上，有8%的威脅在事發前系統全然沒產生預警，而92%的威脅被系統預警後有44%沒有被檢視，56%檢視過的預警中又只有51%真的付出行動去調整修正，另49%卻沒有修正。

也因此資安挑戰愈來愈大，企業缺乏全面檢視因而無法詳整規劃安全防護計畫、即便有警告但優先權不足沒受到足夠的關注、許多威脅已長期潛伏卻未能察覺、事發之後回應行動緩慢無效率因而增加恢復成本。此外還有可視性及威脅獵捕的挑戰，企業必須提升偵測能力以便發現未知的威脅、新威脅或模糊難辨的威脅。

針對上述，其實需要一套防護的流程與策略才能因應，首先得收集證據資料，其次為執行分析，而後檢查關連因素、了解問題原因，從而修正問題及降低損害，最後確保營運不中斷。

針對上述企業需要建置一套防護平台以因應威脅並獵捕威脅，但在此之前必須先了解何謂真正的可適性安全策略？對此卡巴斯基提出「可適性安全模型」，模型中分成四個階段，分別是預測、阻擋、偵測以及回應。依據此模型建立可適性的企業安全平台。

最後黃茂勳歸結出企業面臨的資安挑戰，首先必須養成資安意識，因為絕大多數的針對式攻擊多是透過常見的威脅或社交工程發起的；其次是偵測與回應比阻擋預防更具價值；三是沒有警報並不表示沒有威脅，有可能是沒有察覺；四是針對性攻擊複雜，倚賴單一產品無法達到完整防護。

五是企業當建立起持續性的監控與安全分析，此將會是今日到未來對抗進階式威脅的主要利器；六是自動化修正，企業應導入可適性安全策略方能面對不斷進化的針對式攻擊威脅。

卡巴斯基工業控制安全系統KICS－監控智慧製造資安威脅與風險

「工控系統一旦被入侵其造成的傷害有可能是不可逆的，例如生命危害。」卡巴斯基大中華區售前經理謝長軒點出了工控資安事故的潛在嚴重性，亦顯示工控資安的重要性。

工控資安威脅嚴重嗎？卡巴斯基針對製造業進行調查，在過去12個月內歷經幾次的工控資安威脅？有10%的受訪者表示無法偵測，8%並不曉得，而歷經3次的企業從5%增至16%，2次的亦從12%增至21%，1次亦從14%增至17%，而從未歷經危害的則從51%降至46%，顯見工控資安威脅確實在增長中。

調查也揭露了工控資安發生的因素，同樣是2017年與2018年的比重，傳統惡意程式與病毒依然最大宗，並從53%增至64%，硬體故障亦從9%增至17%，其他類型的因素多有所收斂，特別是目標式攻擊從36%減至16%。

相關調查也詢問了實現工控資安最大的挑戰為何？對此高居第一的是難以雇用到真正具備技能的工控資安防護人才，第二大挑戰是整合物聯網後可能使風險增加，其他也包含不易實現物聯網的新型態防護偵測，或難以找到在雲端實現工控資安防護的合作夥伴。

另外現行營運技術環境、工控系統等也缺乏可視性，能見度有限下自然難偵測預防；還有工控系統與環境有別於傳統資訊技術系統與環境，在資安程序與工具有不一致的問題；另外因為工控資安專家的稀缺，工控領域資安的安全意識也不容易建立。

針對上述困難卡巴斯基均提出因應方案，製造業可導入KICS for Networks以強化環境可視性，以及導入卡巴斯基的防護評估服務與顧問服務，透過服務獲得正確的安全建置步驟。在程序與工具不一致方面則可採行KICS for Nodes，如此即可用相同的方式管理不同的OT設備並實現集中化管理。

在安全意識提升上則可導入卡巴斯基的防護訓練服務、防護管理服務以及事件響應服務。另外亦可訂閱卡巴斯基的威脅情報資訊(threat intelligence)，以此建構出工控資安的整體架構。

最後謝長軒經理歸結，第一我們已經無法忽視工業與關鍵基礎設施的威脅，它們確實存在且在增長中；第二是工控系統的攻擊模式相當多樣，此為防護上的挑戰；第三是現有工控系統人員缺乏安全意識也缺乏真正的防護實施，「人」依然是一切防護的最根源核心。四是傳統資訊技術資安並不適合用於營運技術、工控領域的資安，此方面需要有專門客製的技術與服務才能成功實現防護佈建。

所以，製造業若期望確保工業網路的安全將有兩點必須正視，一是人，工控資安人員須有合適的技術，並落實到生產過程上。二是全面性，在資安事件發生的各階段都必須掌握。唯有如此方能確保工控系統與環境的長治久安。