關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 車輛工程
顯示分類
2025.11.04
標準與框架/車輛工程
Rockwell Automation 對汽車產業網路安全專業知識的承諾
汽車產業網路安全危機

惡意行為者正成功將目標鎖定在汽車產業公司。近期的多起高調事件清楚表明,當前汽車業的網路安全防護措施顯然不夠穩固。汽車製造商面臨的攻擊表面正在擴大,這歸因於多項關鍵因素:

  1. OT/IT融合與資安風險增加

營運技術(OT)與資訊技術(IT)基礎設施之間的資料流、通訊、連接性與整合性持續增加(OT/IT融合),這是現代智慧製造提高效率的必然趨勢,但也為惡意行為者開闢了新的攻擊途徑。傳統上,OT環境被認為是與外界隔離的(Air-gapped),但隨著工業物聯網(IIoT)、雲端連接和遠端存取的普及,這種邊界正在迅速消失。IT和OT網路的互連意味著原本針對IT系統的威脅(如惡意電子郵件或勒索軟體)現在能夠輕易「橫向移動」至OT網路,直接威脅生產線的連續性與實體設備的安全。由於OT系統的生命週期通常遠長於IT系統,且多數設備缺乏內建的安全機制,這種融合使得老舊或設計上不安全的工業設備暴露於現代複雜的網路威脅之下,極大地增加了整個企業的網路風險敞口。

  1. ICS/OT技能資源匱乏

管理涉及工業控制系統(ICS)、監控與資料採集系統(SCADA)及其他OT系統風險的技能資源匱乏,是汽車產業面臨的重大挑戰。工業控制系統需要專業知識來理解其獨特的通訊協定、操作邏輯和停機的潛在實體後果。然而,具備ICS/OT專業知識和網路安全技能的複合型人才極度稀缺。這導致工廠車間的安全策略往往依賴過時的技術,且無法有效地監控或應對針對OT環境的特定威脅。缺乏熟練的內部資源,使得企業難以實施縱深防禦策略、進行有效的ICS資產盤點和漏洞管理,進而使風險持續累積,且無法在第一時間內識別和緩解針對SCADA和PLC設備的攻擊。

  1. 網路資產可視性不足

網路中連接資產的數量和類型缺乏清晰的可視性,是制定有效安全策略的根本障礙。在汽車製造業的複雜OT環境中,可能存在數以千計的感測器、PLC、機器人、人機介面(HMI)和工業PC等聯網資產。許多舊有資產甚至沒有被記錄在案,形成了所謂的「影子OT」設備。安全團隊若無法準確、即時地掌握這些資產的軟硬體資訊、作業系統版本、網路連通性和組態設定,就無法有效地執行風險評估、漏洞掃描和修補程式管理。這種資訊盲點使得企業無法識別哪些設備最容易受到攻擊,也無法監測到潛在的惡意活動,從而為威脅行為者提供了利用未發現漏洞進行滲透和橫向移動的絕佳機會。

此外,持續的疫情對供應鏈造成壓力,在庫存緊張之際,製造停機的風險和成本變得更高。這種情勢短期內不太可能緩解。電動車(EV)基礎設施的出現,為聯網車輛、公共充電站乃至電網本身帶來新的威脅。而缺乏保障充電站安全的標準,使保護工作更加複雜。攻擊者鎖定網路資產的安裝基礎中的漏洞,包括工廠車間的機器和設備。有鑑於當今前100大汽車製造商中,幾乎有一半被認為高度容易受到勒索軟體事件的影響,這清晰表明:汽車產業的風險管理仍然過於被動,無法應對日益增長且複雜的攻擊速度。
過去的事件為此提供了警示:

  • 2021年2月: 韓國一家主要汽車製造商遭受勒索軟體攻擊,導致支付服務、行動應用程式以及經銷商內部系統停擺。

  • 2020年6月: 日本領先的汽車製造商 fell victim to a cyberattack that led to operational disruptions at plants in the U.K., North America, and Italy。

  • 2020年4月: 某汽車刊物的調查發現,兩款暢銷車型存在嚴重安全漏洞。

 

網路攻擊帶來的成本與嚴重後果

惡意行為者所利用的漏洞可以導致多種負面的營運後果,這些後果不僅限於資料外洩等典型的IT中心顧慮。成功滲透OT/ICS環境的攻擊者,能夠危及並竊取重要資訊和/或敏感客戶資料。

  1. 生產停機的巨額代價

  1. 非計畫性停機的直接衝擊

非計畫性停機對汽車製造商的打擊是即時且全面的。當一條高度自動化的裝配線因網路攻擊而被迫停止時,影響會迅速擴展到整個生產生態系統。直接衝擊包括原材料閒置、半成品堆積、產能損失和延遲交貨。更深層次的衝擊在於生產進度的混亂,這需要耗費大量的時間和人力資源來協調重新排程,影響的不僅是當天的產量,還可能累積數週的訂單延遲。在高度精益製造(Lean Manufacturing)的汽車產業中,每個環節都是精確計算的,任何非預期停機都會打破這種平衡,導致營運效率急劇下降。

  1. 停機成本的量化分析

停機成本的量化分析顯示其驚人的經濟影響。據估計,汽車製造業每分鐘停機成本約為22,000美元,即每小時130萬美元,另有估計高達每分鐘50,000美元。這些數字包含了多個組成部分:首先是直接營運損失,即單位時間內無法生產車輛的邊際利潤損失;其次是勞動力成本,儘管生產停滯,但現場的技術工人和管理人員仍需支付工資;第三是合同與聲譽損失,因延遲交貨可能觸發供應鏈合同中的罰款條款,長期來看則損害與經銷商和最終客戶之間的信任。這種高昂的停機成本,使汽車製造商成為駭客眼中具有極高勒索價值的目標。

  1. 網路攻擊與停機的關聯性

網路攻擊與OT環境停機的關聯性日益緊密。攻擊者深知車輛生產中斷伴隨的高昂成本,這使得汽車產業成為主要目標。網路犯罪分子不再滿足於單純的資料竊取,而是轉向利用勒索軟體、ICS特製惡意軟體或DoS攻擊等手段,直接鎖定並癱瘓ICS和SCADA系統。一旦工廠的控制系統被加密或破壞,操作人員將失去對生產設備的控制權,從而導致生產線被迫停止。攻擊者以此作為施壓工具,逼迫企業支付巨額贖金以換取恢復生產的控制權或解密金鑰。這種直接的「網路暴力」正在成為導致非計畫性停機的主要原因之一。

  1. 應對、修復和恢復成本

除了直接的停機損失,網路攻擊還會產生巨大的應對、修復和恢復成本。這些成本通常估計單次事件在100萬美元至1300萬美元或以上,且可能更高。這些費用包括:數位鑑識(Forensics) 費用,用於確定入侵的範圍、方式和時間線;專業外部顧問 費用,如資安法律顧問和危機管理專家;技術修復 費用,包括重新建構受損的網路、更換被破壞的硬體、清理和重新部署軟體系統;以及聲譽修復 費用,用於應對公關危機和重建客戶信任。完整的恢復過程可能耗時數週甚至數月,其間持續的隱性成本和資源消耗不容忽視。

  1. 供應鏈中斷的連鎖效應

  1. 供應商受攻擊引發的連鎖反應

攻擊者關注的不僅限於汽車製造商本身,風險延伸至為汽車公司提供關鍵製造組件(如空調和暖氣系統)的供應商。汽車產業的準時化生產(Just-In-Time, JIT)模式,雖然最大限度地提高了效率,但也造成了極其脆弱的供應鏈結構。針對單一關鍵供應商的嚴重網路攻擊,可能引發連鎖反應,導致整條汽車製造供應鏈長期短缺,影響多家OEM廠商的生產。一旦供應商的OT系統停擺,他們將無法提供所需的組件,導致汽車製造商的裝配線也因缺乏關鍵零件而被迫關閉。這種風險的放大效應,要求OEM廠商不僅要確保自身的安全,更要對其Tier 1、Tier 2甚至更下游的供應商進行嚴格的網路安全風險管理。

  1. 網路犯罪分子鎖定供應鏈各層級

網路犯罪分子鎖定汽車供應鏈各個層級的漏洞,因為供應鏈中的任一薄弱環節都可能成為進入高價值目標的跳板。攻擊者可能針對小型、資源較少的供應商進行攻擊,利用這些企業較弱的防禦體系來獲取憑證,然後利用被信任的供應商身分對主要製造商發動魚叉式網路釣魚攻擊。供應鏈攻擊的典型目標包括電子數據交換(EDI)系統、產品設計文件庫(如CAD圖檔)以及企業資源規劃(ERP)系統。德國汽車零件供應商Eberspächer Group在2021年10月遭受勒索軟體攻擊,其全球網路和伺服器資料被加密,就是一個鮮明的例子。該公司作為預防措施關閉了IT系統,但被迫應對重大中斷,讓員工帶薪休假,造成其他損失。

  1. 敏感資料洩露的智慧財產風險

  1. 智慧財產的價值與形式

敏感資料洩露的潛在風險從IT延伸至OT環境。然而,工廠車間的機密資料呈現出不同的形式和極高的價值。商業機密,包括汽車設計的配方、製造工藝技術、專有的控制軟體代碼、以及機器和配方資料,都是極具價值的智慧財產權和高度競爭性的商業資產。這些資產包含了汽車製造商數十年的研發投資和核心競爭力。特別是在轉向電動車(EV)和自動駕駛技術的過程中,電池技術、電力電子控制系統、演算法模型等新型IP的價值更是飆升。一旦這些資料洩露,將對製造商的市場地位、研發領先地位和財務造成無法彌補的損害,並可能被競爭對手或民族國家行為者用於仿製或縮短其研發週期。

  1. 民族國家網路攻擊與情報收集

除了傳統上為金錢利益而入侵網路的勒索軟體集團,其他威脅行為者也可能攻擊汽車公司,旨在竊取有價值的智慧財產、個人身份資訊或其他珍貴的資訊資產。由於汽車製造業是CISA確定的關鍵製造業部門,其關鍵經濟性質使該行業企業容易受到民族國家網路攻擊的影響。民族國家行為者通常擁有高度的資源和持久性,其攻擊目的並非單純獲利,而是為了推進自身國家利益,例如竊取先進技術以提升本國汽車產業的競爭力,或者僱用威脅行為者來收集情報或破壞關鍵的工業目標,以達到地緣政治或經濟競爭的目的。

  1. 勒索軟體與IP竊取

值得注意的是,勒索軟體攻擊也與智慧財產風險緊密相關。傳統的勒索軟體僅加密資料,但現代勒索軟體(如雙重勒索)事件現在涉及資料外洩與加密。威脅行為者在加密目標系統前,會先竊取敏感資料,並威脅公開這些資訊(包括智慧財產、客戶資料或營運文件),以提高勒索成功的可能性。這種雙重勒索模式大大增加了汽車製造商的風險壓力,因為除了停機風險,他們還面臨核心機密洩露的巨大威脅。

  1. 車載系統漏洞成為竊取管道

隨著車輛聯網程度加深,車載電腦系統亦成為駭客鎖定竊取智慧財產的途徑。車輛不再是孤立的機械設備,而是移動的資料中心,搭載了大量的專有軟體和感測器數據。

  1. 遠端資訊處理控制單元(TCU)的漏洞:TCU是車輛與外部網路通訊的橋樑,可能容易受到駭客攻擊。研究人員曾利用從車輛TCU中取出的SIM卡存取權限,使用管理員憑證,成功獲得了原始設備製造商(OEM)企業網路的完全控制權。這明確顯示,駭客可藉由攻擊單一車輛組件,滲透至公司內部網路,從而竊取機密的智慧財產和營運資訊。這使得汽車產品本身成為企業網路的遠端攻擊媒介。

  2. 控制器區域網路(CAN bus)的風險:控制器區域網路(CAN bus)使車輛上的不同微控制器和感測器之間能夠進行通訊。研究表明,典型的CAN bus極易受到攻擊,因為它缺乏身份驗證或加密等安全機制。一旦駭客透過CAN bus取得控制權,不僅可能導致車輛被接管,進行惡意操控,更可能導致車輛收集的敏感資料洩露,包括駕駛行為數據、導航記錄以及車輛組態資訊等。

  1. 實體安全威脅的潛在危害

  1. 惡意軟體對工業設備的操控

網路攻擊滲透汽車OT環境,可能轉化為對實體安全的潛在威脅。惡意軟體、蠕蟲和病毒能夠破壞可程式邏輯控制器(PLCs)等工業設備。PLCs是工業控制系統的核心,負責執行製造過程中的邏輯指令。一旦PLCs等關鍵控制系統被破壞或植入惡意代碼(如Stuxnet或其變種),攻擊者便取得了對裝配線機器的控制權。他們可以改變生產設備的運行參數、禁用安全聯鎖機制或使設備超負荷運轉,導致設備損壞甚至爆炸。

  1. 工人安全受到威脅

攻擊者對裝配線流程或設備行為進行意外調整,例如更改機械臂的速度、路徑或操作順序,可能對工廠車間工人構成直接的安全威脅。在高度自動化的汽車裝配線上,工人和機器人通常在極近的距離內協同工作。如果駭客遠端控制機器人使其偏離預定路徑,或導致高壓設備意外啟動,這類未經預期的設備行為改變,極可能導致嚴重的工傷事故,甚至造成人員死亡。這使得OT網路安全直接上升到生命安全的高度。

  1. 產品完整性與客戶安全

故意對OT系統造成損害,將直接影響產品的完整性和品質。如果駭客改變了生產配方、參數或品質控制流程,例如更改焊接強度、塗料配比或螺栓扭矩設定,將導致車輛零件或組裝出現缺陷。從長遠來看,這類被製造出來的瑕疵產品進入市場,將把客戶安全置於重大風險之中。這不僅可能導致車輛在行駛中發生故障,更可能引發大規模的產品召回事件,對汽車製造商的品牌聲譽、法律責任和財務造成毀滅性打擊。

  1. ICS攻擊的實體影響

ICS攻擊的實體影響體現在對整個工廠系統的破壞。IT、OT和物聯網(IoT)設備之間整合的連通性擴大了ICS環境的攻擊表面,使駭客能夠利用不安全的通訊協定或未修補的軟體來破壞ICS。在汽車製造業中,ICS的故障或惡意操控,將導致實體生產過程失控,造成設備損壞和實體廠區的混亂。這種實體影響的恢復往往比數位系統的恢復更為複雜和耗時,因為可能涉及更換大型工業機械或冗長的校準程序。

 

汽車產業威脅行為者與常見網路攻擊類型

為了對汽車網路安全格局有清晰的認識,了解針對汽車公司的惡意威脅行為者及其常用的攻擊方法至關重要。值得注意的是,儘管攻擊複雜性呈指數級增長,但大多數成功的網路攻擊都利用了眾所周知的漏洞,而這些漏洞本可透過現有工具和最佳實踐修復。

  1. 惡意威脅行為者類型

  1. 勒索軟體集團

這些惡意網路安全操作者尋求滲透網路以獲取金錢回報,是當前汽車產業最頻繁且最具破壞性的威脅來源之一。現代勒索軟體集團已經演變為高度組織化、具備專業技術的「勒索軟體即服務」(Ransomware-as-a-Service, RaaS)模式,他們專門針對那些擁有高昂停機成本且願意支付贖金以迅速恢復生產的目標。他們利用各種初始存取媒介,包括魚叉式網路釣魚、遠端桌面協定(RDP)漏洞或未修補的VPN設備,一旦進入網路,便會迅速進行內部偵察、權限提升,最終部署勒索軟體以癱瘓關鍵系統,並要求巨額贖金。

  1. 民族國家行為者

民族國家行為者是資源最豐富、技術最先進的威脅來源。汽車產業是CISA確定的關鍵製造業部門,對美國經濟繁榮和連續性至關重要,因此容易受到民族國家網路攻擊的影響。這些行為者通常具備長期潛伏能力,其目的並非短期金錢利益,而是戰略目標,包括:

  1. 情報收集,竊取關鍵智慧財產(如EV電池技術、自動駕駛演算法);

  2. 破壞關鍵工業目標,在衝突時期或地緣政治緊張時破壞生產能力或供應鏈;

  3. 影響市場競爭,透過技術竊取或破壞競爭對手的聲譽。

  1. 安全研究人員

安全研究人員通常並非惡意行為者,他們的目標是發現並公開汽車公司網路安全態勢中的漏洞,以協助提升整體防禦能力。然而,他們揭露的漏洞可能造成公關災難,影響客戶之間的信譽。例如,安全研究人員曾分析暢銷車型的電腦系統,發現了一組用於裝配廠的Wi-Fi憑證。儘管他們的動機是良性的,但其研究成果一旦被公開,也可能被惡意行為者所利用。因此,汽車製造商必須建立健全的漏洞獎勵計畫和負責任的披露流程,以在漏洞被公開利用前及時修復。

  1. 勒索軟體攻擊的氾濫

  1. 勒索軟體增長趨勢與資料外洩

勒索軟體是一種快速增長的攻擊類型,困擾著所有行業。根據Black Kite的報告,勒索軟體現已成為第三方資料外洩的首要來源,佔2021年攻擊的27%。這體現了勒索軟體攻擊的模式已經從單純的加密勒索演變為雙重勒索模式。在這種模式中,攻擊者不僅加密目標系統中的檔案,還會竊取敏感資訊。這種數據外洩的威脅,迫使企業在面對停機風險的同時,還必須考慮資料洩露帶來的合規性、法律責任和聲譽損害。

  1. 勒索軟體與OT生產中斷

在典型的勒索軟體攻擊中,攻擊者滲透網路並植入惡意負載,加密多個檔案和設備。隨著IT和OT之間的界限日益模糊,勒索軟體攻擊可能直接滲透到工廠車間,導致令人擔憂的OT生產中斷。由於許多OT系統依賴於傳統的Windows作業系統或缺乏強大備份,一旦被加密,恢復過程極為複雜且耗時。攻擊者瞄準OT,就是利用製造商無法承受長時間停機的弱點,以此來放大勒索成功的可能性。

  1. 工業控制系統(ICS)攻擊的風險敞口

  1. 攻擊表面的擴大與「氣隙隔離」的失效

IT、OT和物聯網(IoT)設備之間整合的連通性日益開放,擴大了ICS環境的攻擊表面,使數十年曆史的技術首次暴露於網際網路和雲端應用程式。那些認為自己已充分實施「氣隙隔離」(air-gapped)的組織,正發現事實恰恰相反。現代OT環境為了遠端監控、預測性維護和數據分析,不可避免地與IT網路和雲端連接。這種「邏輯氣隙」很容易被供應商的遠端存取工具、USB隨身碟或簡單的錯誤配置所橋接,從而使惡意軟體能夠跨越邊界,將ICS暴露於網際網路威脅之下。

  1. 常見的ICS攻擊手段與漏洞

常見的ICS攻擊手段包括利用不安全的通訊協定、未修補的軟體、薄弱的IoT安全,以及影響製造設備的供應鏈惡意軟體攻擊。許多ICS通訊協定(如Modbus/TCP、EtherNet/IP)缺乏內建的加密或身份驗證機制,使得攻擊者可以輕易地進行偵聽或注入惡意指令。此外,ICS設備通常運行著老舊的作業系統和應用程式,存在大量已知的、未修補的漏洞。這些弱點使駭客能夠通過社會工程學或網路釣魚攻擊進入OT網路,然後利用這些已知漏洞來破壞PLC或SCADA系統。

  1. ICS漏洞增長的數據趨勢

ICS攻擊正在增加,證據是2021年上半年揭露的ICS漏洞比2020年同期增加了41%。這一數據趨勢表明,網路犯罪分子和安全研究人員對ICS環境的關注度正在持續上升。ICS漏洞的快速增長,對負責OT網路安全的人員構成了巨大的挑戰,因為他們必須在不中斷生產的前提下,管理一個不斷擴大的、充滿已知漏洞的資產庫。這凸顯了汽車製造商必須轉向更主動、自動化的ICS安全監控和漏洞管理機制。

  1. 行動應用程式漏洞的洩密與安全威脅

  1. 汽車行動應用程式的功能與漏洞

在行動化日益普及的世界中,許多OEM廠商提供行動應用程式,使客戶能夠連接其車輛。這些應用程式的功能包括遠端控制(定位車輛、開門、啟動引擎)、狀態檢查、診斷報告以及支付服務。駭客可以利用應用程式編碼漏洞、通訊方式或資料儲存方式的缺陷進行攻擊。常見的漏洞包括API設計不當、資料傳輸未加密、或將敏感金鑰硬編碼於應用程式代碼中。一旦這些漏洞被利用,駭客可能獲得未經授權的車輛存取權,或者竊取用戶的個人資訊。

  1. 行動應用程式攻擊的潛在後果

行動應用程式攻擊的後果從敏感資訊外洩到潛在的安全威脅不等。如果駭客成功利用應用程式漏洞獲取存取權,最直接的後果是竊取客戶的個人身份資訊(PII)和車輛使用數據。例如,在2018年,一家汽車製造商在一個不安全的雲端儲存儲存桶中,無意間暴露了超過50,000名應用程式用戶的個人詳細資料。更嚴重的後果是,駭客可能透過遠端控制功能,對車輛實施破壞,例如在不安全的環境下啟動引擎或解鎖車門,造成財產損失甚至人身安全威脅。

  1. 聯網車輛駭客的深度威脅

  1. 現代聯網汽車的攻擊點

現代聯網汽車配備了多個車載電腦系統,威脅行為者可以透過遠端和實體攻擊將其鎖定。如今的車輛在離開裝配線之前就已經「喚醒」並處於聯網狀態,配備了可能被利用的系統。聯網汽車的攻擊點包括但不限於:遠端資訊處理控制單元(TCU)、信息娛樂系統(Infotainment)、診斷端口(OBD-II)、以及負責執行關鍵功能的電子控制單元(ECUs)。每一個聯網元件都可能成為駭客進入車載網路(如CAN bus)的入口點,威脅不僅限於資料竊取,還包括對制動、轉向和引擎控制等關鍵功能的惡意干預。

 

汽車製造業的主動式網路安全防禦

面對當前的威脅浪潮,汽車公司需要採取更主動的方法來應對。建議的防禦措施涵蓋縱深防禦的關鍵方面,並與美國國家標準與技術研究院(NIST)的網路安全框架(CSF)保持一致。

  1. 資產盤點與風險評估(NIST CSF:識別)

  1. 克服可視性差距與盤點重要性

主動式安全始於克服可視性差距。汽車公司無法保護他們不了解的東西。徹底的盤點和風險評估有助於引導組織在惡意行為者利用任何明顯弱點之前,進行最重要的修復。這不僅包括IT資產,更關鍵的是對OT環境中所有聯網設備、軟體版本、作業系統、網路拓撲和通訊協定的全面、精確記錄,以消除「影子OT」。

  1. 確定修補優先級的考量因素

徹底的資產盤點和風險評估將標記出網路中存在的漏洞,幫助安全團隊在資源有限的情況下確定修補的優先級。這需要安全團隊考慮以下因素:

  1. 漏洞被利用時對資產的潛在風險。 評估漏洞的嚴重性(CVSS分數)以及該資產一旦被破壞對企業的影響。例如,控制裝配線關鍵步驟的PLC所帶來的風險遠高於辦公室印表機。

  2. 任何易受攻擊的設備或系統對整體製造流程的重要性。 識別製造過程中的關鍵控制點和單點故障(SPOF)。即使是中等嚴重性的漏洞,如果位於關鍵生產設備上,也應被提升為高優先級。

  3. 每個修補程式提供的安全保護級別。 評估修補程式是否只是表面修復,還是能夠提供全面的防禦。優先處理那些能夠同時修復多個漏洞或增強系統韌性的修補程式。

  1. 修補程式管理(NIST CSF:保護)

  1. OT環境修補程式管理的挑戰與風險

OT環境中的修補程式管理具有挑戰性。任何程度的停機都是昂貴且被避免的,而修補過期軟體通常需要將機器停運。在大多數情況下,資產盤點將標記出多個運行過時作業系統(如Windows XP/7)的工廠車間設備。這些設備通常是製造商不再支援的專有系統,修補過程可能導致系統不穩定或製造商保修失效。因此,OT修補必須經過嚴格的測試和計畫,通常在預定的維護窗口內進行,以最大程度地降低生產風險。

  1. 系統化修補流程與IaaS方法的簡化作用

主動式安全方法必須包括系統化的修補程式管理,以解決與NIST CSF「保護」功能一致的漏洞。汽車公司需要具備流程來處理修補工作,同時將營運中斷降至最低。一些公司選擇採用基礎設施即服務(IaaS)方法,這極大地簡化了修補及其他營運和網路安全管理流程。IaaS可以將底層作業系統的維護和修補工作轉移給服務提供商,使汽車製造商能夠專注於其核心的應用程式和流程,同時確保底層基礎設施的安全性和合規性。

  1. 邏輯網路分區與CPwE架構(NIST CSF:保護)

  1. 網路架構在安全中的關鍵作用與分區必要性

網路架構在聯網IT和OT環境的安全性中起著至關重要的作用。攻擊可以從單個機器、交換器和其他工廠車間組件傳播到IT網路,反之亦然。這往往是IT安全事件發生時決定將生產系統離線的原因。邏輯網路分區有助於制定正確的分區策略,實現更全面的全廠級安全,保護營運免受各種攻擊,並限制攻擊者在網路內橫向移動的能力。

  1. 融合全廠乙太網(CPwE)的基礎與縱深防禦

融合全廠乙太網(CPwE)等經過驗證的參考架構,為適當的網路分段提供了堅實的基礎。CPwE架構的核心思想是建立縱深防禦模型,將OT網路劃分為不同的安全區域(Zone),並在區域之間設置導管(Conduit)進行嚴格控制。這樣可以防止威脅行為者利用漏洞並在IT和OT環境之間移動。OT系統的創建目的是部署和順暢運行,通常很少或根本不關注特定設計決策可能對網路安全產生的影響。CPwE的實施,確保了在不犧牲生產效率的前提下,為OT系統內建網路安全考量。

  1. IDMZ的保護機制與網路流量檢查

CPwE使用工業非軍事區(IDMZ)來安全地在IT和OT系統之間共享資訊,同時保護生產系統免受來自公司IT系統或網際網路的惡意流量侵害。IDMZ作為IT與OT之間的中介緩衝區,不包含任何生產控制系統。所有 IT/OT 之間共享的數據,都必須經過 IDMZ 內應用程式層級的協定檢查和資料過濾。前置和後置防火牆提供強大的保護和安全策略強制執行,實現對所有網路的流量檢查和深度數據包檢測(DPI),確保只有經過授權、乾淨的通訊才能在 IT 和 OT 之間傳輸。

  1. 持續威脅偵測與回應(NIST CSF:偵測與回應)

  1. 威脅偵測和回應的重要性與效益

威脅偵測和回應為任何組織的安全防禦提供了關鍵的武裝。雖然汽車網路安全的主動方法始於提高網路韌性的預防措施,但實施威脅偵測和事件回應控制措施可以幫助企業快速偵測攻擊、應對威脅並防止傳播,並在發生洩露事件時更快地恢復受影響的系統。其效益在於將攻擊者的「駐留時間」(Dwell Time)降至最低,從而減少攻擊可能造成的損害範圍和成本。

  1. 威脅偵測解決方案的功能與基準線分析

威脅偵測解決方案應持續識別威脅特徵,例如網路上的異常設備和活動。這包括使用OT專用的入侵偵測系統(IDS)、網路流量分析(NTA)和端點偵測與回應(EDR)工具。正常用戶活動和流量流的基準線對於分析非常有用,可以縮短事件偵測時間,尤其是在IT/OT融合程度高的複雜網路中。透過建立OT網路的正常行為模型,任何與基準線的偏差(例如PLC組態的意外更改、非預期的通訊或大量數據外傳)都會立即觸發警報。

  1. 即時偵測與事件回應的優勢

即時偵測攻擊還允許快速事件回應,例如隔離設備或移除存取權限,幫助汽車製造商避免損害升級。一個完善的事件回應計畫(IRP)必須涵蓋OT環境的特殊需求,包括對設備進行安全停機、離線取證分析以及優先恢復關鍵生產系統。這種快速、有條理的回應機制,是最大限度地減少停機時間和財務損失的關鍵。

 

Rockwell Automation 對汽車產業網路安全專業知識的承諾

Rockwell Automation 的工業級網路安全服務致力於保護您和您的客戶日常所依賴的汽車製造流程。我們的主動式方法涵蓋整個網路安全生命週期,從評估到恢復,確保您的組織在攻擊發生前、發生中和發生後都能做好準備。憑藉超過100年的工業自動化見解,我們對生產營運擁有深刻的理解。從徹底的盤點和風險評估開始,我們可以幫助您清晰地了解安裝的架構、網路基礎設施以及環境中存在的漏洞。我們在融合全廠乙太網(CPwE)方面的經驗確保了全面的縱深防禦,有助於阻止威脅在IT和OT營運之間傳播。利用24/7 OT安全營運中心(SOC)進行工業級偵測和回應,有助於在惡意行為者破壞營運之前阻止攻擊。

參考資料:Rockwell Automation, Understanding Automotive Cybersecurity: Common Threats, Proactive Prevention

探討汽車產業面臨的常見網路安全威脅,包括勒索軟體、ICS攻擊和聯網汽車漏洞,並詳述潛在的巨額停機成本與實體安全風險。