關鍵資訊基礎設施與網路攻擊的距離
2021.11.12
瀏覽數
699
壹、新聞重點
依據我國行政院「關鍵基礎設施防護基本政策」定義,關鍵資訊基礎設施(Critical Information Infrastructure, CII)係指涉及核心業務運作,為支持八大領域關鍵基礎設施持續營運所需之重要系統及元件,涵蓋資通系統(Information and Communication Technology, ICT)、工業控制系統(Industrial Control Systems, ICS)及數據擷取系統(Supervisory Control and Data Acquisition, SCADA)等,[1]舉凡政府核心系統(戶役政、醫療健保、公職銓敘等資料庫)、油水電及交通等控制系統、電信平臺資通設備、金融證券交易系統及高科技關鍵技術等等,均為CII定義範疇,一旦這些CII遭受實體或網路攻擊停止運作,輕則影響社會民生穩定,重則造成人員傷亡、危害國家安全,足見CII對於國家運作的重要性。
近期美中相當重視關鍵資訊基礎設施面臨的網路安全威脅,相繼對CII訂出增強版管理規範。中國國務院於8月 17 日公布《關鍵信息基礎設施安全與保護條例》,[2]並自9月1日起開始施行,用以加強監管境內關鍵資訊基礎設施供應商,降低國家安全危害;美國眾議院國土安全委員會於8月27日發布《2021年關鍵基礎設施網絡事件報告法案》,[3]於國土安全部設立網路事件審查辦公室,並要求關鍵基礎設施供應商在發現網安事件後72小時內向該辦公室揭露事件原委,俾政府快速評估應變;美國聯邦通信委員會(Federal Communications Commission)10月26日通過行政命令,要求中國電信美國分公司必須在12月25日前終止提供相關電信服務,以確保美國電信基礎設施免受潛在的安全威脅。[4] 本文將對關鍵資訊基礎設施安全的攻防戰成為兵家必爭之地的原因進行探討。
貳、安全意涵
一、IT與OT融合縮短跨域攻擊ICS的距離
電腦及資訊網路稱為資訊技術(Information Technology, IT);工業控制系統的操作和程序,稱為營運技術(Operational Technology, OT)。OT採用專屬軟硬體架構,在隔離或獨立的網路中運行,目標與要求跟IT完全不同。但物聯網及工業4.0的發展趨勢,使得兩個世界的系統出現了彼此連接的相關性,工業控制系統從單機走向互聯,從封閉走向開放,從自動化走向智慧化。
ICS系統採用IT開放、通用性的架構之後,雖然縮短了兩者之間的差異,降低了維運的成本,卻也帶來過去所不曾面臨的攻擊威脅。因為ICS系統非常重視持續穩定運作的可用性,非必要狀況不進行軟硬體變動,更不允許停機,是故ICS系統版本老舊、漏洞不修補、設備韌體無法更新、網路架構簡單通透、無法安裝防毒或阻絕軟體、沒有帳號密碼及權限控管等都是普遍存在的現象,資安防護力薄弱,一旦跟IT架構融合且連網操作,OT環境內部的脆弱點暴露無遺,駭客便可使用IT入侵技巧輕易攻擊ICS系統,其中肇致的損害可能遠高於目前IT系統發生的資安事件。
2021年2月美國佛州一處淨水廠系統遭駭客入侵,即為此類案例。[5]該淨水廠ICS系統與辦公網路連接,未安裝防火牆,使用含有漏洞的遠端存取軟體處理日常維運需求,且老舊已無更新維護的Windows 7作業系統仍繼續使用,導致駭客入侵更改淨水廠控制系統,試圖將水中的氫氧化鈉濃度從百萬分之100調高111倍。這事件凸顯了即便是非常重視網路安全的美國,從IT跨域攻擊OT之弱點風險仍相當難以防範。
二、網路犯罪者和情報間諜部門對ICS極具興趣
以往ICS處於獨立不連網之作業環境時,網路駭客看不到也查不到,因此無從蒐尋目標施以攻擊;但現今ICS越來越多的自動化系統以及連網傳輸通道的建立,使得工控安全管制變的複雜,可視的攻擊弱點及漏洞大增,不僅吸引了駭客的注意,也擴大了攻擊者的群體及能力,其目的性從過去的磨練技術、竊取資料、情資蒐集,逐漸轉移到影響運作、損壞實體、勒索贖金及滲透潛伏。
Claroty的最新ICS 風險與漏洞研究,發現2021年上半年揭露的ICS漏洞激增了41%; Kaspersky 2021年工控威脅統計分析顯示,[7]上半年網路惡意行動有三分之一是針對ICS,且報告中提到2021年5月美國最大燃油管線營運業者「殖民管線」(Colonial Pipeline)遭駭事件,為俄羅斯網路犯罪組織DarkSide所為,石油公司支付了440萬美元的比特幣贖金,企業營運才得以恢復正常運作。
另2020年5月我國中油公司遭到勒索病毒攻擊事件,2020年10月中國駭客組織RedEcho攻擊印度電網,此兩起事件經調查研析應為中共國家級駭客所為,判斷其目的為透過網路滲透並伺機駭侵國家關鍵資訊基礎設施,具有一定的地緣政治與國家利益的攻擊動機。[8]
參、趨勢研判
一、CII攻擊恐將成為利益衝突群體之威嚇手段
2010年伊朗核電廠遭受Stuxnet病毒襲擊,導致核武開發時程延宕,事後證實為美國與以色列兩國協同開發並執行,此事件首次敲響工業控制系統遭到國家級網路武器攻擊的警鐘,此後肇因於國家利益或民族主義之ICS網路攻擊事件層出不窮,遭駭國家諸如台灣、美國、中國、烏克蘭、伊朗、以色列、印度、澳洲等,惟這些ICS攻擊目前尚無造成嚴重人員傷亡,影響層面也限縮局部範圍。
上述顯示,為了避免因現實世界的衝突導致戰爭發生,具備網路攻擊能量的國家,在虛擬的網路空間中以低於軍事行動門檻的標準,於關鍵時刻發動ICS攻擊,藉此擾亂目標對象的穩定狀態、施予政治性警告或實施制裁行動,用以展現不亞於軍事行動的威嚇能力。
二、因網路犯罪豐厚利得恐加劇CII網攻
由於傳統網路攻擊的獲利下降(如竊取機敏資料於暗網販賣),且被查獲的風險增加,使得駭客將目光移轉到資安防護薄弱的關鍵資訊基礎設施領域,不僅是因為攻擊破口容易取得,一旦CII停止運作將影響社會安全及經濟穩定,所以索價空間大增,駭客更可以利用ICS供應商遭駭第一時間不願對外承認且缺乏應變能力之弱點,使用勒索軟體加密ICS營運相關設備及資料,藉此要求大筆贖金,並透過加密貨幣支付來躲避檢調單位的溯源與追查。
今年的美國燃油管線「殖民管線」和巴西肉類供應商JBS食品(JBS Food)受到網路攻擊支付贖金,台灣高科技產業宏碁、廣達、日月光接連遭到勒索軟體襲擊被要求支付鉅額款項,顯示駭客因豐厚的犯罪利得,恐加劇CII領域的網路攻擊頻次;109年國家資通安全情勢報告指出,勒索軟體攻擊對象已轉變成鎖定大型企業或政府關鍵基礎設施領域,且勒索軟體攻擊成為常態,驗證了此類攻擊的發展趨勢。[9]
[1]〈關鍵資訊基礎設施防護建議〉,行政院國家資通安全會報,108年01月30日, https://nicst.ey.gov.tw/Page/7CBD7E79D558D47C/9d5d35a2-d8b2-44ce-9bf1-562ddafe33db。
[2]“關鍵信息基礎設施安全保護條例”,中華人民共和國,2021年8月17日, http://big5.www.gov.cn/gate/big5/www.gov.cn/zhengce/content/2021-08/17/content_5631671.htm。
[3]“Cyber Incident Reporting for Critical Infrastructure Act of 2021,” US House Homeland Security Committee, August 27, 2021, https://homeland.house.gov/imo/media/doc/Clarke-Discussion-Draft-082621.pdf。
[4]“FCC Revokes And Terminates China Telecom America's Authority To Provide Telecom Services In America,” US Federal Communications Commission, October 26, 2021, https://www.fcc.gov/document/fcc-revokes-china-telecom-americas-telecom-services-authority。
[5]〈美國佛羅里達州淨水處理廠遭駭客入侵〉,行政院國家資通安全會報技術服務中心,2021年2月17日,https://www.nccst.nat.gov.tw/NewsRSSDetail?seq=16517。
[6]“Claroty Biannual ICS Risk & Vulnerability Report: 1H 2021,” Claroty, August 2021, https://claroty.com/wp-content/uploads/2021/08/Claroty_Biannual_ICS_Risk_Vulnerability_Report_1H_2021.pdf.
[7]“FCC Revokes And Terminates China Telecom America's Authority To Provide Telecom Services In America,” Federal Communications Commission, October 26, 2021, https://www.fcc.gov/document/fcc-revokes-china-telecom-americas-telecom-services-authority.
[8]有關報導詳見“China-Linked Group RedEcho Targets the Indian Power Sector Amid Heightened Border Tensions,” Recorded Future, February 28, 2021, https://www.recordedfuture.com/redecho-targeting-indian-power-sector/;翁芊儒,〈調查局完整揭露中油、台塑遭勒索軟體攻擊事件調查結果〉,《iThome》,2020年8月12日,https://www.ithome.com.tw/news/139331;分析請另參洪嘉齡,〈從近期國際資安事件看中共網路威脅趨勢〉,《國防安全雙週報》,第 28期(2021年5 月),頁43-47。
[9]陳熙文,〈勒索軟體攻擊/去年至少15上市櫃公司 被駭勒贖〉,《聯合新聞網》,2021年7月14日,https://udn.com/news/story/7315/5599623。