工控安全
03.Mar.2023
2023构筑OT安全迫在眉睫 如何建构IEC 62443-2-4 & 3-3防护基底
近年由于制造业积极推动数位转型,使OT与IT边界渐趋模糊,因而成为信息安全攻击的主要目标,导致工控信息安全攻击事件加剧,屡屡酿成营运中断、产线停摆等憾事。面对2023年更复杂的供应链攻击,急需强化OT安全防护;企业应依据IEC 62443标准,定义内部不同人员当共同遵循的安全准则,期望从根本做起、彻底强化工控安全防线。
依据IEC 62443-2-4规范,要求IACS服务商提出安全计划
所谓工业自动化及控制系统(IACS),由底层而上,依次为Level 0设备层、Level 1 PLC或IPC工业控制层、Level 2~3则汇聚SCADA、MES等重要监控系统,再往上便属于IT层。而Level 3、4之间有一条红色界线,可称为IDMZ (Industrial Demilitarized Zone),其概念类似企业用来隔离Internet和Intranet的DMZ,唯此处主要用以隔离IT与OT层,像是企业若欲从IT层更新OT设备或IACS相关数据,相关机制通常都会建立于IDMZ区域。
论及国际工控物联网的恶意威胁,肇因于现在OT环境开始走向智慧制造、自动化控制与监控,因而与网络连接在一起,使得常见的网络攻击出现于工控场域,包括DDoS、中间人攻击、恶意程序感染、针对智慧联网装置的篡改与损坏,乃至于APT攻击、供应链攻击。根据这些威胁,IEC 62443当中有哪些标准规范可供对应?主要重点有二,一是IEC 62443-2-4,另一为 IEC 62443-3-3。
IEC 62443-2-4内含12个Domain。一是解决方案人员编组,二是确保方案与安全策略之间直接关联,三是透过风险评估与建模、在OT环境中建立安全架构,四是对于无线网络的安全要求,五是对于安全仪表系统(SIS)的要求,六是针对工业自动化方案的配置管理要求,七是针对远程存取的相关要求,八是针对事件处理的要求,九是账户管理要求,十是恶意程序防护,十一为Patch管理,最后十二则谈到备份/复原。
仲至信息举出IEC 62443-2-4相关用例。譬如此规范中的SP.07.01,系指远程存取下的安全工具及软件要求,意即IACS服务提供者应有能力确保自动化方案中所使用的所有远程存取应用程序,皆是被安全及工业自动化社群所接受、可被信赖、甚已经过检验的。另外的SP.07.02,规定服务提供者必须针对自动化方案中使用的远程存取应用程序,提供安装、配置、操作和终止等详细说明。
论及国际工控物联网的恶意威胁,肇因于现在OT环境开始走向智慧制造、自动化控制与监控,因而与网络连接在一起,使得常见的网络攻击出现于工控场域,包括DDoS、中间人攻击、恶意程序感染、针对智慧联网装置的篡改与损坏,乃至于APT攻击、供应链攻击。根据这些威胁,IEC 62443当中有哪些标准规范可供对应?主要重点有二,一是IEC 62443-2-4,另一为 IEC 62443-3-3。
IEC 62443-2-4内含12个Domain。一是解决方案人员编组,二是确保方案与安全策略之间直接关联,三是透过风险评估与建模、在OT环境中建立安全架构,四是对于无线网络的安全要求,五是对于安全仪表系统(SIS)的要求,六是针对工业自动化方案的配置管理要求,七是针对远程存取的相关要求,八是针对事件处理的要求,九是账户管理要求,十是恶意程序防护,十一为Patch管理,最后十二则谈到备份/复原。
仲至信息举出IEC 62443-2-4相关用例。譬如此规范中的SP.07.01,系指远程存取下的安全工具及软件要求,意即IACS服务提供者应有能力确保自动化方案中所使用的所有远程存取应用程序,皆是被安全及工业自动化社群所接受、可被信赖、甚已经过检验的。另外的SP.07.02,规定服务提供者必须针对自动化方案中使用的远程存取应用程序,提供安装、配置、操作和终止等详细说明。
落实3-3标准,强化工控系统安全等级
至于 IEC 62443-3-3,用于规范系统安全要求与分级;其中控管项目相当多,而保护等级则分为SL1~4、意指对抗威胁的强度高低。
在进行 IEC 62443-3-3评估时,有几个值得留意的名词,包含SL-A,SL-C及SL-T,分别代表现在达到的成熟度、目标成熟度、控制系统可协助达到的成熟度。假设今天我要评估某工厂的信息安全要求,须先经过风险评估程序,确认其架构与传输管道的安全等级,比较现实和目标的差异,再选择合适的控制方案或流程来达成预期的安全等级目标。
值得一提,在设计及实作IACS控制措施时,其限制因素迥异于一般IT环境,应考虑是否冲击OT环境的可用性与完整性。例如在IT环境,为防止密码遭暴力破解,通常规定在尝试错误超过一定次数后、就进行锁定,但在OT环境为避免系统中断,则不能这么做。简而言之,在OT环境所规划的任何安全记录或控制措施,都不容许对基本功能产生不利影响。
具体来说,IEC 62443-3蕴含FR1~7等七项基本要求(Foundational Requirements),分别为识别和认证控制、使用控制、系统完整性、调制解调器密性、限制资料流、及时回应事件、资源可用性。例如针对FR1,列有SR 1.1规范,要求控制系统应提供足以识别与验证所有人类使用者的能力,由此衍生3个等级的进阶要求(RE),1~3级依序是唯一识别与鉴别人类使用者的能力、不受信任网络的多因素身份识别能力,以及所有网络的多因素身份识别能力。
上述提到的RE 3要求,意指所有网络都不可信任、即为时下各界倡议的零信任原则,故需针对所有存取者执行多因素身份认证,像是以App、生物识别、OTP、硬件Token或结合Location做认证登入,须组成两项以上因素、才符合要求。
仲至信息强调,企业欲落实工控信息安全策略,并非单纯导入IEC 62443-2-4与 IEC 62443-3-3即可,应进一步建立Cyber Security Management System(CSMS)管理体系,打造一套足以贯穿IT与OT的一致性信息安全管理框架,当中涉及ISO 27001的Domain,包括信息安全政策、组织、资产管理、身分识别暨存取控制、数据流保护,也牵涉IEC 62443的Domain,包括OT场域的人员、资料、流程、系统、元件相关安全管理。另一方面,为防止CSMS体系失效,可考虑在IT与OT之间的重要出口设置HA架构,以避免单点失效。
遵循IEC 62443标准制定的准则,企业可大幅降低遭受网络攻击的机会。仲至信息已成功协助研华与友讯科技等知名工控与网通产业客户导入软件安全开发生命周期,并取得IEC 62443证书;仲至信息台湾实验室也是第一个台湾信息安全厂商取得IEC 62443 CBTL资格,能提供完整的在地化服务,包含IT与OT的信息安全合规咨询、技术支持及产品测试,协助客户更快速取得国际认证,满足越来越严格的信息安全要求。
在进行 IEC 62443-3-3评估时,有几个值得留意的名词,包含SL-A,SL-C及SL-T,分别代表现在达到的成熟度、目标成熟度、控制系统可协助达到的成熟度。假设今天我要评估某工厂的信息安全要求,须先经过风险评估程序,确认其架构与传输管道的安全等级,比较现实和目标的差异,再选择合适的控制方案或流程来达成预期的安全等级目标。
值得一提,在设计及实作IACS控制措施时,其限制因素迥异于一般IT环境,应考虑是否冲击OT环境的可用性与完整性。例如在IT环境,为防止密码遭暴力破解,通常规定在尝试错误超过一定次数后、就进行锁定,但在OT环境为避免系统中断,则不能这么做。简而言之,在OT环境所规划的任何安全记录或控制措施,都不容许对基本功能产生不利影响。
具体来说,IEC 62443-3蕴含FR1~7等七项基本要求(Foundational Requirements),分别为识别和认证控制、使用控制、系统完整性、调制解调器密性、限制资料流、及时回应事件、资源可用性。例如针对FR1,列有SR 1.1规范,要求控制系统应提供足以识别与验证所有人类使用者的能力,由此衍生3个等级的进阶要求(RE),1~3级依序是唯一识别与鉴别人类使用者的能力、不受信任网络的多因素身份识别能力,以及所有网络的多因素身份识别能力。
上述提到的RE 3要求,意指所有网络都不可信任、即为时下各界倡议的零信任原则,故需针对所有存取者执行多因素身份认证,像是以App、生物识别、OTP、硬件Token或结合Location做认证登入,须组成两项以上因素、才符合要求。
仲至信息强调,企业欲落实工控信息安全策略,并非单纯导入IEC 62443-2-4与 IEC 62443-3-3即可,应进一步建立Cyber Security Management System(CSMS)管理体系,打造一套足以贯穿IT与OT的一致性信息安全管理框架,当中涉及ISO 27001的Domain,包括信息安全政策、组织、资产管理、身分识别暨存取控制、数据流保护,也牵涉IEC 62443的Domain,包括OT场域的人员、资料、流程、系统、元件相关安全管理。另一方面,为防止CSMS体系失效,可考虑在IT与OT之间的重要出口设置HA架构,以避免单点失效。
遵循IEC 62443标准制定的准则,企业可大幅降低遭受网络攻击的机会。仲至信息已成功协助研华与友讯科技等知名工控与网通产业客户导入软件安全开发生命周期,并取得IEC 62443证书;仲至信息台湾实验室也是第一个台湾信息安全厂商取得IEC 62443 CBTL资格,能提供完整的在地化服务,包含IT与OT的信息安全合规咨询、技术支持及产品测试,协助客户更快速取得国际认证,满足越来越严格的信息安全要求。
