物聯網感測器很容易成為企業資安的破口。法新社
工業4.0提升了感測器與工業網路的連結程度,也讓更多資安問題浮上檯面。由於工業物聯網已是大勢所趨,工業感測器的資安防護也成為廠商不得不面對的課題。
據Electronics360報導,在工業4.0前的3.0時代,感測器即使連接到內部專利網路或PLC網路,與網際網路間的連結程度仍相當有限,最多用於韌體更新或遠端存取,因此工業網路面對的威脅也相對較低,駭客為攻擊企業伺服器所開發的惡意編碼,往往無法影響工業網路。
然而到了工業4.0時代,感測器資安就成了棘手的問題。物聯網感測器常是由小型廠商利用自己的軟體疊層,或未經修補的開放源碼Linux進行開發,幾乎很少發布韌體更新,這使得物聯網感測器很容易成為駭客下手的目標。
物聯網感測器被入侵的原因主要有三。第一,感測器常被駭客作為阻斷服務攻擊(DoS attack)的殭屍網路(Botnet);第二,當駭客對企業伺服器發動勒索軟體攻擊時,往往會牽連到物聯網管理伺服器,連帶封鎖了感測器的資料傳輸;第三,感測器也是駭客發動勒索軟體攻擊的攻擊向量之一,惡意軟體可在入侵物聯網裝置後,接著感染企業伺服器。
駭客除了能透過反向工程發現裝置軟體的資安漏洞,還能入侵裝置製造商的網路,對韌體修補檔案動手腳,藉此將惡意軟體安裝到裝置上。此外,用來監控、操作裝置的管理軟體,也可能形成資安漏洞。
為確保工業感測器的安全,廠商在選擇及安裝裝置時,都應有IT團隊參與,並需了解怎麼樣的配置才能達到最高的安全性。在實際部署韌體更新之前,廠商也應先在沙盒環境進行測試,避免直接在線上裝置執行更新檔。
此外,市面上已有許多針對工業物聯網開發的防火牆及入侵檢測軟體。這些軟體能監控物聯網裝置,並偵測、阻擋異常的通訊及行為。
廠商也不應將物聯網網路作為關鍵任務或安全系統唯一的控制網路。舊有的工業網路相較物聯網網路仍相對安全,因此對於某些應用而言,也是較好的選擇。