iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 24

[Day 24] IIOT資訊安全規劃

調查

查其他同業是否有案例
台積電產線中毒大當機,52億元資安震撼教育
工業電腦大廠研華證實部分伺服器被攻擊
仁寶否認勒索軟體攻擊傳聞,並認為疑似是駭客入侵造成網路異常

搜尋相關討論文章
勒索軟體對製造業網路的衝擊

分析的方向
根據Risk,要確認Process有將Technology放在適當的地方做Control
https://ithelp.ithome.com.tw/upload/images/20210126/200777524iXOd3dttz.png

產業需要注意的地方

  • IT與OT差異
    • 需毫秒級的回應
    • 運作時間長(20年以上)
    • 不能隨意關閉
    • 可能直接影響人命
    • 設備處理效能較差

https://ithelp.ithome.com.tw/upload/images/20210126/20077752vLfn8ifgiO.png

架構圖

利用Purdue企業模型分開IT及OT,將設備分類不同的Level,並使用不同的管理稽核
https://ithelp.ithome.com.tw/upload/images/20210126/20077752ZGCxQfLdeF.png

來源:
https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems

Cisco這張圖將傳統網路拓譜圖加上Purdue企業模型,方便查看跨Level有沒有相對應的防禦或控制
https://ithelp.ithome.com.tw/upload/images/20210126/20077752GYDRtlkngJ.png
來源:https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/5-1/OEM/WP/CPwE-5-1-OEM-WP/CPwE-5-1-OEM-WP.html

接著與ISO27001一樣流程,四階文件、資產盤點、風險分析、風險評鑑...

安全控制

IEC62443 3-3 控制系統(Control System, CS),首先確認目標需要達到的security levels(SL)
https://ithelp.ithome.com.tw/upload/images/20210127/20077752niXVU8wOTV.png
圖片來源:https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/security-standards-and-best-practices/iec-62443/

  • IEC 62443-3-有七個foundational requirements(FR)
    • FR1-Identification and authentication control(IAC)
    • FR2-Use control(UC)
    • FR3-System integrity(SI)
    • FR4-Data confidentiality (DC)
    • FR5-Restricted data flow(RDF)
    • FR6-Timely response to events(TRE)
    • FR7-Resource availability(RA)

下圖是FR1的security requirements(SR)及requirement enhancements (RE),越高的SL需要完成更多的RE
https://ithelp.ithome.com.tw/upload/images/20210127/200777526YfJPWvYdW.png
圖片來源:https://www.slideshare.net/Yokogawa1/secure-systems-security-and-isa99-iec62443

根據要求從帳號密碼控制,帳號權限管控,多因子驗證及活體偵測等等往上增加security levels

供應商安全計畫要求

以台積電為例,成立供應商資訊安全協會,逐步要求供應商達到一定的安全水準,避免防護能力弱的一方成為破口。
https://ithelp.ithome.com.tw/upload/images/20210127/20077752ykOuC1lywd.jpg

圖片來源: https://csr.tsmc.com/csr/ch/update/innovationAndService/caseStudy/23/index.html

DevSecOps

將資安掃描工具整進CI/CD流程,一來在開發期間提早發現問題做修改,二來使用自動化腳本減少人力負擔
這需要將資安的觀念帶給開發及維運人員(教育訓練),使資安思維融入每個環節,資安單位也需要去理解其他部門為什麼會這樣做,在控制的力道達到一個平衡點並視情況使用補償措施。
https://ithelp.ithome.com.tw/upload/images/20210128/20077752SWFbTbTy53.png
圖片來源: https://www.dau.edu/cop/cybersecurity/DAU%20Sponsored%20Documents/5.%20%20Day%20of%20Cyber_DevSecOps.pdf

建議參考資料

經濟部-01-工控物聯網共通性資安指南
02-工控設備業工控物聯網資安實務指南


上一篇
[Day 23] 從GEIT制定管理規範
下一篇
[Day 25] 專案執行(上)
系列文
資訊系統安全稽核與 CISA 的簡單應用30

尚未有邦友留言

立即登入留言