大川的布落格: [TXOne] 工控場域設備資安守護神

作者 : 劉大川, 睿控網安首席解決方案架構師

在前篇拙作工控場域資安把關神兵利器 - Trend Micro Portable Security 3 / Pro 中，提及半導體資安的重要性，任何一個小環節因有意或無意的出錯，都可能產生連鎖反應，致使重大的損失。

而在之前引用的半導體全生命安全防護框架中，分享了在入廠階段以及在維護階段時期，針對設備的惡意程式掃瞄，可以使用 Trend Micro Portable Security 3 來進行。接下來想再進一步說明，當設備在入廠階段完成必要的安檢措施後，接下來進到配置階段應注意的事項。

在配置階段，除了要調校機台的設定、配方，以期能在生產階段能順利嵌進生產維運流程外，在資安的部分有幾件工作需要在這階段完成。

1.主機部署惡意程式防護程式

2.主機關閉未使用之服務

3.主機關閉未使用之週邊設備及端口

但光是第一項工作『主機部署惡意程式防護程式』就有一定的挑戰及難度。在過去大部分的機台在考量生產效能，以及認為在工控場域內網中毒的機會不大的想法之下，有很多機台主機是沒有安裝防毒軟體。而且機台供應商也因考量『如裝了防毒軟體，難以保證效能及功能』等因素，致使機台直接曝露在危險之中。

但現在半導體業界第一個資安規範 SEMI E187，已要求未來新機台須要安裝防毒軟體。但，現有的機台有何方式可以部署防毒軟體 ? 舊有的機台要安裝防毒軟體有很多限制因素，如下方的畫面所示。

1.現有防毒軟體對舊版本的作業系統支援度很低

個人在過去工作中，有機會協助高科技製造業進行防駭思維的資安體質改善專案，進到產線時，有時可以看到產線使用 Windows XP、Windows 7 的機台仍舊很多。現有的防毒軟體針對這些舊型系統支援度不佳，在運作上可能會有以下問題。

A.部分軟體元件不相容

B.系統資源需求過大，機台無法負荷

C.機台所在網路無法連接 Internet，無法存取雲端威脅情資，影響偵測率

2.須持續更新系統，影響維運

現有防毒軟體，在短時間內不停的更新各種元件，如病毒碼及各種防毒引擎等等。萬一更新完要重新開機 😓! 以上這些動作都會間接或直接影響到產能及產線維運。

至於『工控通協定支援度影響』，這部分會再另撰拙作分享，此次主題主要分享在工控主機上如要部署防毒系統時要考量那些因素。而氣隙網路的防護如可應用等下要分享的防毒系統考量外，再輔以之前拙作提及的 Trend Micro Portable Security 3 來進行，就可以有效的防護，同時提昇對資產的能見度。

在工控場域主機仍須部署防毒軟體? 答案是的，有些人會提及在現在 APT 目標式攻擊的世代，防毒是無用的論點。其實不是防毒無用，反而是防毒是基本功，而且端點防毒是資安防護中的最後一哩路。例如，要進行大規模戰場清掃，清掃 APT 相關後門及惡意程式，仍須要靠防毒系統來進行。

但，在工控場域裡如要部署防毒系統有何需要考量之處?

1.維運須持續

任何安控機制，如防毒軟體，在部署運行後，不能使用過多的系統資源，而影響原本的系統維運操作，。

2.變更須管理

為了維持一定安全強度，要進行更新。但持續更新也會影響到維運。全自動化的生產機台不可能在運轉過程中，持續更新；甚至是更新完要重新開機這也是重大問題。另外，更新後是否會影響到原本機台的功能以及效能，這部分都要花更多時間來謹慎評估。

3.關鍵重要度

在全自動化生產線上，任何一個節點受到影響都可能產生連鎖反應。工控主機在維運上，針對各種輸出入界面的動作頻繁，很多程式動作都跟實體物理設備有關。而且在訊號延遲度的要求很高，任何訊號的延遲都可能產生協同效應，最後引發不可收拾的災難。

所以如要部署在工控的防毒系統，在設計上因前述工控主機的特性考量，需考量以下幾種思維。

1.誤判須降低

在傳統資訊科技範疇，機密性是首要考量，其次是完整性，可用性是最後。所以往往在偵測惡意程式時，都儘量提高靈敏度，再用其他機制來處理誤判率。但在工控環境，可用性第一優先，所以偵測的正確率很重要，反而不要出現誤判才是重點，因為誤判就可能影響到可用性。

2.更新須可控

防毒系統以往為了維持高偵測率，除了結合雲端威脅情資外，持續的更新病毒碼及各項引擎也是常用的手段之一。所以在工控場域的防毒軟體，除了要降低各項元件更新頻率外，也要思考降低更新頻率後，與偵測率要如何取得平衡。同時也要思考無病毒碼的偵測技術，在沒有雲端技術協合運作之下，如何偵測未知病毒。

3.資源須輕量

多種偵測技術，多種引擎。隨之而來的就是要耗損大量的記憶體以及 CPU 的運作時間，所以要依據不同的工控主機特性，配置不同防護技術，這樣才能把需耗損的系統資源降到最低。

綜合以上的考量，TXOne 設計了一套針對工控場域主機專用的防毒系統 - Stellar 系列解決方案 (以下簡稱 Stellar) 。考量了機台的長期使用年限，以及在工控廠場應用程式獨特性，在老舊系統有限的資源下，提供最佳的安全防護力。

TXOne Stellar 是世界上第一個能夠識別和保護數千個關鍵工控應用程式的工控主機安全防護解決方案。

全方位的整合思維

透過單一代理程式，整合次世代防毒軟體，應用程式及週邊鎖定功能，以及 OT 異常偵測等功能來簡化部署複雜度。如可視主機資源多寡，啟用次世代防毒引擎，抑或是啟用輕量化資源的應用程式白名單鎖定機制。也可以在指定的設備主機上，限制合法使用的 USB 儲存裝置等等。

聚焦 OT 情境

運用世界上最大的工業應用程式資料庫，來建立營運基準，加速惡意程式掃瞄速度，偵測營運異常，並增強營運完整性，如:

1.工控應用程式防護

如果工控程式遭惡意竄改，Stellar 可以防管阻擋。例如主機如安裝有工控軟體，如 ABB TuneMaster。此時如有心人士想要置換或修改 ABB TuneMaster 系統任何一個檔案，都會被 Stellar 所阻擋 (如下圖所示)。另外在場域信任的應用程式，透過 Stellar 的安控政策合宜規劃下，也可以加速惡意程式掃瞄效率。

2.偵測營運異常

Stellar 配備本地端的深度學習引擎，可以有效的偵測未知病毒，同時針對駭客常用的無檔案落地的攻擊手法如 PowerShell 等可以偵測並逕行阻擋。另外一些程序類的程序如 .bat, .vbs, .js 的運行也嚴加控管，以防範未授權的行為惡意滲透。

如下圖，有些駭客會利用系統的應用程式如 mshta.exe 來植入惡意程式，進而迴避資安系統的偵測。這時 Stellar 會針對這異常行為進行阻擋。其他如 PoweShell, PSEXEC 等常會被駭客利用來滲透主機的程式活動，也會偵蒐，學習再阻擋。

終身保護的承諾

工控機台在場域上的生命週期，尤其以半導體來說至少都在 20 年以上。相關設備使用的作業系統如 Windows、Linux，終其都有 EOL 的問題。Stellar 針對舊型作業系統如 Windows XP、 Window 7、Windows 2003，都會持續支援，讓系統在一定的防護力下進行生產，持續為公司帶來收益。