本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
部落格
工控安全
工控領域的安全開發!迷思與重要觀念
面對駭客攻擊OT系統而造成生產線癱瘓的資安隱憂,業界逐步採納安全開發生命週期(SDLC)概念,系統地推動各項安全措施,有效降低OT系統面臨的安全風險,確保生產穩定性和可靠性。
2024.04.25
工控安全
2023構築OT安全迫在眉睫 如何建構IEC 62443-2-4 & 3-3防護基底
近年由於製造業積極推動數位轉型,使OT與IT邊界漸趨模糊,因而成為資安攻擊的主要目標,導致工控資安攻擊事件加劇,屢屢釀成營運中斷、產線停擺等憾事。有鑒於台灣身為全球製造重鎮,面對2023年更複雜的供應鏈攻擊,急需強化OT安全防護;企業應依據IEC 62443標準,定義內部不同人員當共同遵循的安全準則,以期從根本做起、徹底強化工控安全防線。
2023.02.15
工控安全
從通用資安標準進階至工控安全標準 淺談IEC62443-2-4
國內因資通安全法的通過與施行,普遍對ISMS(資訊安全管理系統)已有一定的認知,而在製造或工業生產為主的產業,通用的資訊安全標準ISO/CNS 27001,只提供適用資訊安全管理的大架構,對於提升產品安全如何更貼切的引用?這就需要從規劃、分析、設計、開發實作、測試及整合、上線及維運等階段,全面導入安全概念,設計且融入安全要求,並周而復始的循環改進才能達到提升產品安全的目的,例如增加安全功能列表、進行威脅建模分析(Threat Modeling Analysis)、弱點掃描與滲透測試等,採用工業自動化和控制系(IACS)安全標準ISA/IEC 62443應是適合的方向。
2022.02.11
工控安全
工控系統危機四伏 掌握工控資安風險管理要點
工業控制(工控)的製程係透過技術驅動,由於技術的複雜性,工控系統與相關軟體與零組件,都可能含有弱點;這些既有弱點,一旦被誤觸或加以不當利用,便會產生威脅。而威脅與弱點結合,則導致風險發生,進而造成人身安全、資訊安全或環境衝擊等事件,包含了:金錢賠償、人員健康議題、環境保護問題、產量減少或停擺、產品良率減損、業務中斷、監管單位行政處罰、司法單位判刑,以及商譽受損等有形或無形的損失。企業因此必須確保工控製程、廠區管理政策和員工行為的安全管理方案,有效將風險降到最低。
2021.10.01
工控安全
如何抵擋駭客攻擊,提升工控系統主動防禦力?(下)
資安威脅是期待的安全等級與實際安全防護間的差距,補足這段差距的是名為IEC 62443-4-1的策略,以及IEC 62443-4-2的要求。這當中最容易被忽略的是「實際安全防護」的量度。除了透過威脅建模以及相關測試作為模擬考與隨堂考之外,更重要的是理解攻擊者的思維脈落,才能根據自身能夠承擔的風險對症下藥,讓防守方取得與攻擊者在不對稱戰場上匹敵的能力。
2021.05.25
工控安全
如何抵擋駭客攻擊,提升工控系統主動防禦力?(上)
IEC 62443 Part 4 Component在台灣被廣泛討論,甚至在Google Trend 上,台灣是世界第一的熱點。討論的範疇從入門到進階都有,但總是少了點什麼。IEC 62443 Part 4由Part 4-1 (IEC 62443-4-1)和Part 4-2 (IEC 62443-4-2)組成。分別對應黃金圈理論的「怎麼做(策略與流程)」與「做什麼(要求)」。然而,在一開始就必須探索的「為什麼」反而甚少人提及,這往往成為專案內相關利害關係人沒辦法對齊相同的目標與願景的主因,進而導致推動上的阻礙甚或失敗。
2021.05.25
工控安全
淺談智慧製造工廠的資安防禦實務(下)
由於工業生產的特性,產線製程必然有危險性;從原物料之輸入,自動化製程之各種切磋琢磨,所導致的物理與化學變化,到產品的產出,與剩餘廢棄物的處理等,只要其中任何環節,因為輕忽資訊安全,皆有可能影響到製程,進而造成重大的損失,包括:「人員健康、人身安全、環境保護問題、產線產出量的減少或停擺、產品良率減損、業務中斷、金融賠償、監管單位行政處罰、司法單位判刑、聲譽損失」等狀況,其中也包含許多企業所重視的「營業秘密、智慧財產權、商務合約中斷與賠償」等損失。
2020.12.21
工控安全
工控安全標準與實際運用-淺談IEC62443
2015 年 12 月 23 日烏克蘭電力網路受到駭客攻擊,導致伊萬諾-弗蘭科夫斯克州大停電,這個世界第一起駭客攻擊造成電網大規模的停電事件,使關鍵基礎設施的資安威脅受到各方高度重視,而台灣從2018年的半導體業機臺中毒事件後,陸續發生了製造業、工業領域以及醫療產業的資安事件,而這些只是大規模複雜攻擊行動的一部分。
2020.10.12
工控安全
建立工控資安流程並取得國際驗證 將威脅風險降至最低
短短幾個月內,國內接連發生多起重大資安事件,包括五月期間大型石化公司和半導體封測廠遭勒索軟體感染,六月期間自動化設備廠遭勒索軟體感染、PCB大廠遭病毒感染,到了七月,穿戴裝置大廠亦遭勒索軟體攻擊。同時有愈來愈多針對工控設備設計的惡意程式被揭露,例如EKANS(Snake)針對GE的Historian,LogicLocker針對PLC,Triton針對Schneider的TriconexSIS控制器等。
2020.10.08
工控安全
淺談智慧工廠的資安防禦實務(上)
近年來政府極力推動工業4.0[1],又稱為智慧工廠(Smart Factory),重點在於產線的智慧化,需整合現有IT與OT技術,大量採用IoT設備,以因應快速變化的客製化製造需求,為了使生產流程最佳化,因此採用與部署大量的資安設備就成了必然的趨勢。然而再怎麼優良的資安產品,比如閘道防火牆,一但佈建錯誤便會失去防禦能力,進而成為資安的破口。
2020.08.19
工控安全
工業物聯網時代來臨 智慧製造將面對的資安挑戰與機會
隨著人工智慧技術的進步,智慧化(intelligentization)已經成為21世紀最重要的科技主軸。而智慧製造主要的核心技術便是物聯網技術與虛實整合系統 (Cyber-Physical System,CPS),再結合大數據分析、人工智慧及雲端運算等技術,將生產過程的每一個環節智慧化,藉此達到客製化的業務目標,以適應外部市場少量多樣的需求。
2020.05.18