許多人只要看到「風車、木屐和鬱金香」,第一時間就會直接聯想到荷蘭這個國家,而位於西歐,有低地國之稱的荷蘭,具備便利的海空運輸利基,以及國民年平均所得GDP超過5萬美元的高水準經濟發展水平,更成為許多新創育成產業的搖籃。
荷蘭首都阿姆斯特丹在1994年設立「阿姆斯特丹網際網路交換中心(AMS-IX)」之後,更成為全球最大的網路傳輸節點之一,高品質的網路基礎設施,不僅奠定荷蘭數位經濟發展的重要基礎,同時帶動荷蘭蓬勃的數位創新創業的契機。
但是,高品質的頻寬,卻也讓荷蘭成為駭客鎖定的網路犯罪溫床,成為歐洲滋生許多傀儡網路的國家之一。
此外,歐洲國際法院所在地的海牙,不僅是許多荷蘭政府機關所在地,更成為該國資訊安全技術產業發展的中心。因此,荷蘭也是歐洲國家中,相當早期就開始重視網路安全的國家之一。
但隨著網路技術發展變遷迅速,加上駭客攻擊手法,慢慢從鎖定一般的資訊科技系統(IT)發動攻擊,後來逐漸鎖定許多關鍵基礎設施產業系統監控與資料擷取(supervisory control and data acquisition,SCADA)以及工控系統(Industrial Control System,ICS)的營運科技(Operational Technology,OT),也使得許多關鍵基礎設施業者開始關注,包括OT相關的資訊安全政策、技術與產品發展等。
身為西歐重要的資訊安全重鎮國家,荷蘭也必須制定面對與因應各種網路威脅的國家網路安全策略,在2014年,便由三位荷蘭學者共同撰寫一份荷蘭國家網路安全研究議題:數位生活的信任與安全(National Cyber Security Research Agenda — Trust and Security for our Digital Life)的報告,便成為荷蘭接下來做為制定國家網路安全政策時重要的策略參考。
其中一位報告撰寫者,就是現任荷蘭恩荷芬理工大學(Technische Hogeschool Eindhoven)專任教授暨網路小組召集人,他也同時是,專注於關鍵基礎設施等OT安全的荷蘭資安公司SecurityMatters共同創辦人Sandro Etalle。
Sandro Etalle專精研究關鍵基礎設施的網路安全性多年,他也代表荷蘭政府與荷蘭的資安產業業者,與臺灣的關鍵基礎設施業者進行多方面的經驗交流。「知道敵人在哪裡,怎麼入侵的,是掌握關鍵基礎設施安全性最重要的守則。」他說道。
透過可視化的網路工具,了解威脅從何而來
「有問題並不可怕,但可怕的是,根本不知道問題是什麼,」因為不知道問題在哪裡,當然,也就不知道應該怎麼解決這樣的問題。
這不只是可以形容人生百態,對於許多公私部門以及關鍵基礎設施業者,在面對不知道問題點發生在何處所帶來的資安威脅,更是最具體的形容。
Sandro Etalle分享他對於關鍵基礎設施的SCADA以及ICS系統的經驗指出,「許多資安人員並不會意識到,系統內發生什麼樣的資安事件,直到這起資安事件爆發後,才會發現原來出事了。」
因此,他認為,不管是面對企業內IT系統的資安威脅,或者是OT系統帶來的資安風險,如何讓威脅「可視化」是非常關鍵的問題。
而從OT系統的安全性來說,Sandro Etalle認為,首先,就是要知道發生什麼事情,這就必須要事先了解,包括SCADA和ICS系統的網路運作模式;再者,必須要有好的工具,可以協助IT以及資安部門,進一步了解系統內部發生的事情。
他也說,很多時候,關鍵基礎設施的業者會很訝異,有一些資安事件的發生,往往都會出乎人意料之外。「工欲善其事、必先利其器」而這樣的工具,就必須可以做到「可視化」,可以讓業者清楚明白相關的資安威脅是什麼,從哪裡進入關鍵基礎設施業者的內部系統,又是如何在內部橫向移動,又會透過哪個通訊埠,對外傳送相關的機敏資料等。
![]()
要了解工控系統資安風險在哪裡,就必須仰賴可視化的IT工具做為輔助。── SecurityMatters共同創辦人 Sandro Etalle 攝影/洪政偉
持續監控網路流量與系統設定,找出異常
接下來,要做的事情是,持續性的監控每天日常營運的系統,尤其是所有要連上網路的各種系統,務必要監控所有的網路流量,察覺流量是否有任何異常,以及防火牆的設定是否正確等。
Sandro Etalle指出,透過長期的監控觀察,這些關鍵基礎設施業者甚至會發現,有一些裝置系統,例如筆記型電腦或者是某一些物聯網裝置,只要一連上內部系統,就會有設定遭到部分或是微幅修改,如果沒有長期且持續性的監控資料作為歷史性的參考資料,就不可能有足夠的背景資料,去發現這樣的異動與異常。
Sandro Etalle表示,當資安人員可以察覺這樣的設定異動時,就可以發現,哪些系統的漏洞其實已經遭到駭客利用,在找出相關的入侵與對外傳送的切口後,就可以進一步修補相關的漏洞。
在臺灣,有很多軍事或者是關鍵基礎設施,會採用實體隔離的政策,以確保內部網路的安全性。不過,Sandro Etalle指出,隔離政策並不是百分之百有效的政策,像是在2010年發現的Stuxnet惡意程式,就是順利入侵應該是獨立網路的伊朗核電廠。
他說,這些入侵關鍵基礎設施的駭客,往往都是由國家支持的駭客集團,為了要達到入侵的目的,不管要投入多少的成本,這些國家支持的駭客集團都會想盡各種方式,知道鎖定的對象究竟是使用哪一版的PLC,或者是使用哪些設備,而這些軟硬體又有哪些弱點可以利用,務必要做到入侵鎖定對象的SCADA系統或工控系統。
因此,他認為,隔離政策在某些時候或許會有效,但這絕對不會是最好的方法,因為,還必須要搭配長時間的持續監控,知道誰才是發動這類APT(進階持續性威脅)攻擊的攻擊者,進一步搭配多種配套的縱深防禦策略,才有可能達到良好的資安防禦方式。
關鍵基礎設施的工控系統,遭植入惡意程式帶來風險
關鍵基礎設施的SCADA系統或是工控系統,遭到惡意程式入侵的案例,近年來更是接連不斷的發生,例如,在2015年耶誕節前夕爆發的烏克蘭電廠,遭到惡意程式BlackEnergy入侵,駭客取得機敏資料並存取內部網路,手動打開變電站斷路器,導致烏克蘭十萬戶用戶大停電,同時發動DoS攻擊,阻止用戶回報停電的問題。
甚至是,日前資安公司調查發現,有某一間石油公司所使用的施耐德(Schneider)Triconex製程安全系統(Safety Instrumented System,SIS),被植入特別設計的惡意程式Triton與TRISIS,讓駭客可以遠端控制製程安全系統。這也是第一次工控領域發現製程安全系統遭到駭客入侵的事件。
Sandro Etalle表示,這些製程安全系統會監控生產設備狀況,旁邊會有很多確保系統以維持生產系統可以正常運作,避免發生意外當機,或者是超過系統負載而產生危險。
但他說,這起事件讓駭客可以透過惡意程式入侵製程安全系統後,駭客就可以從遠端控制,不論是跳過製程安全系統的控制權,強制停止製程運作,或者是,讓許多應該確保製程安全系統安全運作的確保系統,不會即時發揮確保系統安全的功能,例如關掉氣閥、停止加熱等功能,都會讓製程安全系統的安全產生很高的風險。
「這些關鍵基礎設施的SCADA或是ICS系統,一旦爆發不可預期的資安風險,除了會造成單純的電腦或系統運作中斷,還有可能造成這些關鍵基礎設施業者的營運中斷,一個不小心,牽涉到核電廠、水廠、煉油廠種種的關鍵基礎設施業者,甚至可能引發實體的大災難。」Sandro Etalle說道。
![]()
SecurityMatters共同創辦人SandroEtall完成的數位生活的信任與安全報告,成為荷蘭政府制訂資安政策時的參考。(圖片來源/ICT Innovatie Platform Veilig Verbonden)
從6個層面提升SCADA與工控系統的韌性
由於關鍵基礎設施往往攸關許多民眾的日常生活,一旦發生資安事故,往往影響層面甚鉅。因此,關鍵基礎設施業者要如何提升SCADA與ICS系統的韌性,Sandro Etalle建議可以從6個層面著手進行。
首先,就是要做到資產清單(Asset Inventory),了解有哪些系統與裝置在運行中,並使用哪些網路通訊埠相互溝通等;接下來,就要進行風險評估(Risk Assessment),找出哪些系統是高風險的系統,一旦遭到危害,會對業主帶來重大的風險,包括營運與服務中斷,或者是造成實體災難等。
第三點就是要做到持續的網絡監控(Network Monitoring),Sandro Etalle認為,唯有持續不斷的監控,才能真正掌握網路流量的異常,才有辦法找到哪些是駭客入侵的關鍵缺口。第四點則是威脅獵捕(Threat Hunting),以往針對式攻擊(Target Attack)當道,面對越來越複雜精準的攻擊手法,要做到制敵機先,就必須透過威脅獵捕的方式,找出可以提升對敵人情資掌握度並提高內部防護手法的作法。
第五點則是做到資安事件響應(Incident Response),面對每一起資安事件的發生,找出發生原因,並作相關的事件鑑識與處理,從中學習經驗教訓後,就可以內化成企業內部因應的標準作業程序。最後,就是要做到標準合規(Standards Compliance)。法律是所有關鍵基礎設施業者維運的最低限度,一旦不能符合法令規範的要求,甚至會面臨停止營運的風險。
Sandro Etalle表示,荷蘭面對類似烏克蘭這樣的關鍵基礎設施停電的事件,之前也有思考過類似的因應政策,荷蘭透過成立國家級的資安中心,針對關鍵基礎設施的業者提供熱線,讓彼此業者之間,可以在第一時間掌握各種關鍵的資安風險,並減少可能的危害。
他指出,打造關鍵基礎設施的安全是一條漫漫長路,荷蘭透過成立資安中心,由專家提供相關資訊以協助業者提升工控系統的韌性;反觀臺灣,因為政府政策支持,要提升相關的關鍵基礎設施安全時,不需要說服太多人就可以得到足夠的共識,這都有助於臺灣關鍵基礎設施業者提升工控系統的安全性。
CTO小檔案
Sandro Etalle
SecurityMatters共同創辦人
學經歷:1995年取得阿姆斯特丹大學電腦博士,先後在義大利與荷蘭大學任教,2007年專任荷蘭恩荷芬理工大學教授迄今。2009年,與兩名學生共同創立資安公司SecurityMatters擔任執行長。他是荷蘭制定國家網路安全政策重要顧問,與2位學者合寫的國家網路安全研究報告,成為國家網路安全政策的參考。
公司檔案
![]()
SecurityMatters
● 成立時間:2009年
● 主要業務:鎖定關鍵基礎設施產業提供資安解決方案
● 總部:荷蘭
● 分公司:美國
● 創辦人:由Sandro Etalle、 Damiano Bolzon及 Emmanuele Zambon共同創業
● 員工人數:16人(2014年)
● 網址:www.secmatters.com
公司大事紀
● 2009年:創立SecurityMatters
● 2014年:入選為Gartner公司2014年的「最酷資安業者」
● 2016年9月:獲得A輪融資500萬美元
.png)
.png)
.jpg)
