四個常見的DCS網路安全攻擊

就如同多數人在日常生活中從來沒遇過專業罪犯，大部分的工業自動化用戶也不需要面對來自惡意執行者的重大網路威脅。許多製造商與生產商沒有意識到他們的系統有多容易受攻擊，而不幸的是這類攻擊帶來的影響甚大，並不只是單純的損失產品。

威脅與惡意執行者在系統外部伺機而動，您可問問最近受SolarWinds駭客攻擊影響的18,000間公司，或是在2009年成為遭攻擊可程式邏輯控制器(PLC)的惡意程式Stuxnet鎖定的工業或能源生產設施。製造商與生產商開始經常要面對網路威脅，尤其是勒索軟體以及資料外洩。事實上，在近期一項調查中，超過半數的受訪者表示在去年有經歷過資料外洩。

當廠房逐漸傾向互相連接並且依賴網路運作，且數位轉型逐漸普及成為常態，伴隨弱點和風險增加。在廠房中，攻擊可能意味著損失產品、非預期的停機、勞工安全問題、遺失機密和/或專有資訊，有時候甚至會對公司的公眾形象產生負面影響。

為了要真正減緩風險，每個製造商都需要主動察覺外部風險為何、瞭解他們本身特有的弱點，並且釐清緩解策略的優先次序。基本原則為何？請別認為您不會遭受網路攻擊，您必須主動保護您的系統。發動攻擊的駭客一直在提升技術，您也必須跟進。

DCS網路安全：評估您的風險

當談到分散式控制系統(DCS)，工廠經理與工程師知道網路安全是最重要的。您要如何確保您的系統安全無虞？若您不瞭解系統的枝微末節時，您要如何實踐這項目標？

提到安全問題，人們通常立刻想到要設定一組高強度密碼，也注意到需要在日常運算環境中執行軟體更新與修補程式。然而程序系統方面的網路安全還包含大量產品(包括但不限於控制器、網路、人機介面、進階分析)，其中最重要的是用戶，這需要更全面的計畫。

這樣的計畫不只需要考慮IT/資料管理方面的事情(運算、軟體與硬體)，還包括OT，(也就是營運技術)、網路安全。如同DCS，OT系統控制廠房的實體層面，並有傳統IT安全措施以外的特殊需求。

為了保護系統，您需要組成系統的所有組件與介面的詳細目錄，也要瞭解這些項目潛藏的任何弱點。由公正第三方合作夥伴進行的風險評估可以帶來巨大影響，因為我們很容易就忽略眼前的事物。這類評估能協助製造商找出弱點，並讓現場人員瞭解他們需要承受何種等級的風險。這也能讓他們針對公司內的威脅減緩策略做出最佳的選擇。

四個針對改善安全的常見攻擊

保護系統似乎極為麻煩，但有一些能改善您安全性狀態的普遍對策。自動化廠房逐漸普遍的連接性帶來前所未見的系統能見度，進而帶來能協助改善程序、實現效率與增加獲利的進階分析與資料。但是，這樣的連接性會讓系統曝露，並且容易受到威脅攻擊。

探索DCS相關網路安全改善措施的廠房決策者可能要面對以下一種或多種常見的攻擊：

1. 開放性系統。當Stuxnet電腦蠕蟲發動攻擊並輕易散播至整個控制系統，這就顯示這些系統的高度開放性。開放性協定網路是分散式控制系統發展史中重要的一項進展，更被普遍認定帶來了巨大的助益。但也因為在線且具連接性的控制系統會以其相關途徑帶來風險，可能讓製造商更容易受到攻擊。「區域」與「導管」模式能協助減緩威脅，並且將重要資產和最容易受攻擊的區域分隔開來，同時也讓開放性網路避免曝露在容易遭受攻擊的途徑。託管式防火牆是保護開放性系統中重要的一個項目。
2. 老舊設備。每個廠房都有不同老舊程度的設備，而許多製造商選擇逐一更新他們的系統。這代表新PLC可能會和作業系統為Windows XP的電腦位於相同的網路上。這些舊款的機器，尤其若已多年沒有更新，就可能成為病毒、蠕蟲與駭客的進入點。這時風險評估就可顯示其弱點，並提出加強防禦的策略。在較大型的廠房，您甚至可能不知道您的網路上仍有過時的作業系統。更換老舊系統非常重要，但若無法更換，可透過網路分區隔離建立多層防禦以獲取保護。
3. 不斷精進的人力。內部員工流動率以及外部合作夥伴與廠商流動率對製造商而言，是另一項艱鉅的挑戰，尤其是系統整合者的流動率通常極高。這些流動性人員能夠進入您的廠房與系統，他們是整體網路安全的一道重要防線。當有人犯下無心的錯誤或是不懷好意，就會造成資料外洩。您知道公司裡誰負責管理用戶帳號與系統嗎？有任何現有並已多年未使用的帳號嗎？將遵守國際標準並管理您的用戶做為網路安全的部分策略，這麼做能協助您減緩風險。
4. 未知的ROI。當投資報酬率已經清楚設定時，很難為了投資而進行管理層收購。關於網路安全或任何風險減緩措施，重要的不是公司能有多少獲利，而是您不希望失去什麼。網路攻擊能造成生產、工時、通訊、資訊等各方面的損失，更嚴重的是影響員工安全。有了適當的風險評估，就可以計算弱點、風險、減緩策略，並讓製造商思考：我們願意接受何種風險？若要做出必要改變以維持良好的風險狀態，我們要付出什麼代價？做改變未必如您想像的那般花錢，但不做保護措施的代價太大，就連以最簡單的方式也都應該實行。請決定您的風險狀態並保護您最重要的資產。

為了您要的成果，保護您的系統

威脅來自四處，當我們設立越多道的防禦機制，就越有可能減緩真實風險，而不會成為攻擊紀錄上的一筆數字。關於系統安全，真正的目標是改善您的風險狀態。以下是一些使您獲得滿意成果的重要方法：

• 製造商可透過確保他們的DCS遵守國際標準來升級系統安全。ANSI/ISA-62443-3-3標準可提供適用於工業自動化與控制系統需求的安全指南。許多工業網路安全專家都視該項標準為現在與未來的全球標準。因為該項標準是由工業自動化相關的眾多廠商/用戶安全專家所撰寫，所以能夠特別處理業界生態的問題。
• 與信譽良好的系統廠商合作很重要，他們的產品與系統在生產時即確保能夠如終端用戶要求般的牢固。
• 需要有與時俱進的計畫，才能正確保護您的DCS。選擇的計畫要能夠兼顧心中以下三種有利成果，並且不會妨礙您經營企業時做出必要的進展：強化整體性安全、彈性與數位轉型。

找到可信任的合作夥伴，協助您摸索網路安全

就如同多數製造商，您可能不清楚實際威脅的範圍。您可能不知道您容易受攻擊的程度。幸好可信任供應商會守護著他們的客戶廠商，幫助客戶廠商以主被動兼容的方式，面對持續發生並與時俱進的網路威脅。

在洛克威爾自動化我們嚴肅看待安全問題，也希望為客戶提供最頂級的網路安全。最新版本的Modern DCS，PlantPAx 5.0已經過TÜV認證，適用於系統網路安全，搭配ANSI/ISA-62443-3-3即可帶來安全的系統。如要探索您的風險承受度與安全性狀態，請向您的供應商洽詢全面性風險分析，以協助您採取DCS以外的積極行動。