圖一:每一次新聞上的資安攻擊事件,背後都代表著企業龐大的損失。但當企業回頭檢視後才發現,這些攻擊其實早在還未注意之時,就已經默默地持續攻擊好一段時間了。(影像來源:Unsplash)
隨著工廠積極數位轉型,萬物連網後,資安威脅便成了新的技術挑戰。例如 2018 年台積電部分產線機台與電腦系統被駭,短短三天就痛失 26 億元;許多國際大廠也都遭遇過相似的資安威脅。每一次新聞上的資安攻擊事件,背後都代表著企業龐大的損失。但當企業回頭檢視後才發現,這些攻擊其實早在還未注意之時,就已經默默地持續攻擊好一段時間了。
當今的資訊系統大多由供應商的軟硬體所組成,而這些軟體中可能存在安全漏洞甚至是後門軟體,使資訊系統面臨供應鏈攻擊的風險,因此需要產業、學界從不同角度切入研究,共同建立臺灣的數位韌性。由國立陽明交通大學的蔡錫鈞與中原大學楊明豪教授共同主持的國科會的研究專案:「持續性供應鏈攻擊風險評估機制 – 以 5G 邊緣運算為例」,便針對供應鏈攻擊的不同階段和面向進行深入研究
物聯網裝置成駭客跳板,智慧升級使製造業資安門戶洞開
5G 專網是有特定目的、獨立運作的網路系統,因為具有高速度、低延遲、涵蓋廣的優勢,專網也可以同時作為整合人工智慧與物聯網(IoT, Internet of Things)的平台。楊明豪表示,5G 專網只是一個長距離傳輸的途徑,並非資安問題的主要因素;而由於物聯網裝置通常計算能力較低、資訊安全防護不夠充足,因此常被駭客鎖定為攻擊對象,當作直搗系統核心的一個跳板。
駭客若要完全癱瘓系統或服務,需要突破很多層漏洞才能成功進行攻擊。因此隨著物聯網裝置愈來愈多,對於駭客來說是有益無害。楊明豪舉例,前陣子區塊鏈相當風行的時候,大家都想要靠挖礦賺取被動收入,但其實挖礦的過程中需要耗費不少電力,因此便有攻擊者將挖礦程式埋在物聯網裝置中,在背景程式中偷偷挖礦,由於並不影響機台正常運作,因此在工廠主渾然不知的情況下,默默地損失了不少的電費支出。
楊明豪也指出,為了降低被發現的風險,甚至有駭客將程式安裝在電腦記憶體(RAM)上面,當機台重新開機後,這些攻擊軟體就會被清除,以此增加犯罪鑑識難度。雖然目前已經有許多針對物聯網裝置遭駭的研究,但要修正大量程式實屬不易。
對製造業者來說,問題通常都不是出在 5G 專網,而是長年以來都在相對傳統的環境中,因此對於資安觀念較為薄弱。過去機台大多獨立運作,要查出問題並不難,但當智慧製造時代來臨,這些機台在連上網後,便宛如沒有守衛的城牆一樣門戶洞開。
供應鏈相互監督仍防不勝防,多關卡拖住駭客後腿
楊明豪表示,所有負責生產的硬體設備裡都還是有相對應的運行軟體,因此駭客會刻意鎖定軟體套件漏洞攻擊,這樣的攻擊模式已行之有年。儘管各廠都會進行多次的公開測試、封閉測試或內部測試,開發者也不斷推出軟體更新,但即便經過層層檢驗,仍無法打造出「完全零漏洞」的軟體。
至於國內外已經發生多起案例的進階持續性攻擊(Advanced Persistent Threat,又稱 APT 攻擊),其實就如同字面上的意思,以進階多變化的攻擊手法,持續攻擊目標,以竊取資料或掌控系統。從企業防禦端而言,為了避免系統被此手法攻陷,企業的資安人員大多會設下許多關卡,因此駭客的攻擊必須分很多階段緩慢、小心的進行,只要在任何一處遭逮,就會觸發安全機制,攻擊也就會失敗。
楊明豪舉例說明,類似的概念如「駭入 ATM」,這樣的案件過往在國內也曾發生過。楊明豪接著解釋,其實讓提款機吐鈔的程式碼網路上到處都找得到,但是提款機通常不會對外連線,因此即使握有程式碼,也不具有威脅性。只有特定時刻,例如進行維護的時候,會需要將提款機連網,而此刻就是駭客等待已久的攻擊時機。然而駭客無法得知提款機何時會連網,因此必須先悄然入侵,等待最佳時刻進行攻擊。
而以製造業來說,晶圓製造的資安防護則最為棘手。楊明豪表示,當遇到這類資安問題時,通常會需要停機檢查,動輒數小時,或甚至幾天的時間。但從生產端來說,產線不可能就這樣停下來,所以只能用「貼補丁」的方式,在機台前面加裝另一台防護裝置一步步地補強。而這樣的處理方法雖然治標,但終究不能治本。當工廠因為有特殊狀況必須繞過防護裝置時,往往就會遭受到攻擊。
更有甚者,由於許多大型企業會要求上下游供應商建立一定的資安防護措施,而為了取得訂單,許多工廠的資安防護措施其實是「被迫而為」,通常僅抱持點到為止、有做就好的心態。這樣不完整的機制,也為駭客留下不少可侵門踏戶的機會。
產學拉起製造業資安防線,相互磨合必不可少
事實上,學界針對供應鏈資安已經有許多研究,並針對多面向進行。攻擊從哪來?如何溯源?都是遇到資安亮紅燈時回頭檢查的例行公事。楊明豪表示,攻擊者只要成功找到一條路,就可以展開攻擊行動,但防守者則要試圖將每一條路堵起來,才能增強抵抗力。因此,當不同的領域的學者和產業結合在一起,反而可以增加勝算。
不過,楊明豪也指出,學校或學術單位通常做的是先導型研究,而產業需要的是「即戰力」,也就是說前者看的是未來發展,後者最在乎的是眼前問題。因此企業決策者要先確定需要的是即時性的補救,或是針對長遠未來的投資,才能找到有其價值的資安防護投資。
本著作係採用 創用 CC 姓名標示─非商業性─禁止改作 3.0 台灣 授權條款 授權.
本授權條款允許使用者重製、散布、傳輸著作,但不得為商業目的之使用,亦不得修改該著作。 使用時必須按照著作人指定的方式表彰其姓名。
閱讀授權標章或
授權條款法律文字。