工控安全
25.Apr.2024

工控領域的安全開發!迷思與重要觀念

分享:
隨著工業物聯網的蓬勃發展,現代化的工廠和生產線日益依賴連網的工業控制系統來維持運營。然而,這些OT系統所面臨的資訊安全威脅,卻往往被企業低估或忽視。
 
安華聯網顧問李東穎表示,OT系統與一般IT系統在資訊安全的優先順序上存在根本性差異。「在IT領域,我們通常最先考慮資料的機密性,接著是完整性,最後才是可用性。但在OT系統中,可用性才是最重要的,因為一旦系統無法正常運作,整條生產線都會癱瘓。」
 
李東穎指出,許多企業誤以為只要將OT系統與外部網路隔離,或是部署防火牆就可以確保安全,這是一個危險的迷思。「即使系統沒有連接網路,也有可能遭駭客掃描發現並入侵。再者,防火牆的設定也很難做到百分之百的正確,還有內部員工的不當行為等都是工控資安的威脅。」
 
此外,企業也常認為駭客不會瞄準工業控制系統,因為它們的功能較為簡單。但事實並非如此,「現今網路上已經有大量關於工控系統的資訊,甚至有些僵屍網路也會專門針對這類系統進行攻擊。只要能夠讓生產線癱瘓,達成破壞目的,駭客並不需要完全了解系統的運作原理。」

 

安全開發觀念


面對這些安全隱憂,業界逐步採納「安全開發生命週期 (SDLC)」的概念,希望在產品研發的各個階段,均納入資訊安全的考量。SDLC共分為7個步驟:

1. 教育訓練:讓參與開發的團隊成員,對資訊安全有基本認知,了解常見的威脅模式、防護措施,更重要的是如何進行安全程式開發。

2. 需求分析:除了一般功能需求,也要仔細分析產品在資安方面的需求,並據此設計相應的安全機制。在這一步驟中,企業需要特別注意以下重點:
   - 分析出產品所需的安全功能需求,而非只關注一般的功能需求。
   - 梳理產品在使用情境中可能面臨的安全風險和威脅,建立完整的產品安全全景。
   - 採用威脅建模的方法,深入識別隱藏的潛在威脅,為後續的設計提供依據。

3. 設計:採用「縱深防禦」的設計理念,在各個模組和介面層面,均設置安全防護。同時參考業界最佳實務,以提升設計的安全性。

4. 安全實作:嚴格遵循安全的程式設計規範,並透過原始碼掃描、軟體物料清單管理等手段,持續檢視和修補安全漏洞。在實作階段,企業要特別注意以下要點:
   - 確保開發團隊遵循安全的程式設計標準和最佳實踐。
   - 運用自動化的原始碼掃描工具,查找並修復已知的安全漏洞。
   - 建立軟體物料清單(SBOM),識別第三方元件中的安全風險。
 
ALL_news_resource_blog_OT_system_SDLC_1
 
5. 安全驗證:除了一般功能測試,也需進行專項的安全性測試,包括安全功能測試、威脅緩解測試、脆弱性檢測和滲透測試。執行安全測試時,確保測試人員的獨立性尤為重要。此要素確立系統安全性的評估具有客觀性,從而獲得有效的評估結果。而在驗證階段,企業需要特別關注以下幾點:
   - 全面測試產品的安全功能,確保其能有效防範已知的安全威脅。
   - 針對威脅建模中識別的潛在威脅,進行針對性的緩解措施測試。
   - 運用自動化和人工方式,徹底檢查產品是否存在已知的安全漏洞。
   - 邀請獨立的專業團隊,對產品進行滲透測試,模擬真實的攻擊場景。

6. 安全發佈:在交付產品前,仔細評估剩餘風險,並提供使用者相關的安全指引。

7. 安全事件回應:建立安全事件的通報、分析和快速修復的機制,以因應未來可能發生的資安事件;另外發現漏洞後修補程式的製作與發佈也是此一環節的重點。

李東穎強調,要真正提升OT系統的安全性,單單依賴技術手段是遠遠不足的。「最關鍵的是要改變企業的安全意識和管理方式。」他舉例說,許多企業會忽視工控系統的軟體升級需求,因為擔心會影響生產線的運作。「但如果遭到攻擊而癱瘓,造成的損失,往往比停機升級來得更嚴重。」
 
因此,企業必須在管理層面上重視OT系統的資安防護,以SDLC為藍圖,系統地推動各項安全措施。唯有如此,才能有效降低工業控制系統面臨的網路安全風險,確保生產的穩定性和可靠性。
 
ALL_news_resource_blog_OT_system_SDLC
 
媒體報導

詢問

聯絡我們
感謝您的造訪,請留下您的聯絡方式,後續會有專人回覆您的需求。
  • 安華聯網致力於保護您的隱私。 您的資料不會與第三方共享,您將不定期收到資安相關訊息和活動。 您可以隨時退訂。 欲了解更多,請閱讀我們的隱私權政策。 左方請勾選是否同意安華聯網隱私權政策,以便提供您相關內容。

為何選擇安華聯網

深度資安檢測技術+

  • 已發現40+全球首發安全弱點(CVE)
  • 已發掘3000+物聯網安全弱點

深耕物聯網產品安全+

  • 執行200+物聯網產業相關資安專案
  • 測試超過1000+連網產品安全

全球合規與認驗證能力+

  • 協助全球20+國家與500+客戶通過認驗證
  • 具車載、消費品、工控、醫療等產業合規經驗
WeChat
本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。