《科技》智慧制造企业专网 面临新兴资安威胁

网路资安解决方案业者趋势科技（4704.JP）发表最新报告，指出智慧制造4G/5G企业专网面临的新兴威胁，点出7个骇客可能侵入的重要破口，并提出6点建议保护4G/5G企业专网，认为有必要一开始就内建资安防护，在设计阶段便预先找出及预防可能的资安风险。

此份报告借由模拟智慧工厂企业专网的测试环境，深入研究企业难以修补关键营运技术（OT）环境漏洞遭利用的困境，指出包括执行核心网路服务的伺服器、虚拟机器（VM）或容器、网路基础架构、基地台等7处，为骇客可能入侵核心4G/5G网路的重要破口。

而骇客一旦经由上述任一破口进入核心网路，就能在网路内横向移动，并试图拦截或篡改网路封包。趋势科技指出，骇客可经由攻击智慧制造环境中的工业控制系统（ICS）来窃取机敏资讯、破坏生产线，或向企业勒索。

趋势科技表示，报告中示范的11种攻击情境中，破坏力最强的是攻击IT和现场工程师经常使用的Microsoft Remote Desktop Protocol（RDP）伺服器。升级5G并不会让RDP流量自动获得保护，因此骇客可借此下载恶意程式或勒索病毒，甚至直接挟持工业控制系统。

趋势科技建议，企业可使用VPN或IPSec，来保护远端据点与基地台等远端通讯通道，尽早套用伺服器、路由器与基地台的修补更新。同时，采用VLAN或SDN来进行适当网路分割，并采用EDR、XDR或MDR来监控园区与中央核心网路的攻击与横向移动活动。

此外，企业应采用应用程式层次的加密，如HTTPS、MQTTS、LDAPS、加密VNC、RDP v10及S7COMM-Plus具安全性的工业协定，并采用专为4G/5G企业专网设计所设计的网路解决方案。

趋势科技指出，企业专用行动网路的建置，除牵涉到终端使用者，更牵涉服务供应商与系统整合商等其他单位。由于属于大型基础架构、且使用寿命长，一旦建置后很难汰换或修改，因此有必要一开始就内建资安防护，在设计阶段就预先找出及预防可能的资安风险。

趋势科技技术总监戴燊表示，制造业正走在工业物联网（IIoT）潮流尖端，善用5G无远弗届的连网威力来提升其速度、安全与效率。但新的威胁正伴随着这项新技术而来，而旧的挑战也需要解决。

戴燊指出，许多企业都陷入无法承担停机修补关键系统漏洞的成本，只好冒着漏洞遭到攻击风险的困境。此次发布的研究提供了多项防范措施与最佳实务原则，来协助智慧工厂确保今日与明日安全。