[Day 24] IIOT资讯安全规划

调查

查其他同业是否有案例
台积电产线中毒大当机，52亿元资安震撼教育
 工业电脑大厂研华证实部分服务器被攻击
 仁宝否认勒索软件攻击传闻，并认为疑似是骇客入侵造成网路异常

分析的方向
根据Risk，要确认Process有将Technology放在适当的地方做Control

产业需要注意的地方

IT与OT差异
- 需毫秒级的回应
- 运作时间长(20年以上)
- 不能随意关闭
- 可能直接影响人命
- 设备处理效能较差

架构图

利用Purdue企业模型分开IT及OT，将设备分类不同的Level，并使用不同的管理稽核

来源:
https://subscription.packtpub.com/book/networking_and_servers/9781788395151/1/ch01lvl1sec10/the-purdue-model-for-industrial-control-systems

Cisco这张图将传统网路拓谱图加上Purdue企业模型，方便查看跨Level有没有相对应的防御或控制

来源:https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/5-1/OEM/WP/CPwE-5-1-OEM-WP/CPwE-5-1-OEM-WP.html

接着与ISO27001一样流程，四阶文件、资产盘点、风险分析、风险评监...

安全控制

IEC62443 3-3 控制系统(Control System, CS)，首先确认目标需要达到的security levels(SL)

图片来源:https://syc-se.iec.ch/deliveries/cybersecurity-guidelines/security-standards-and-best-practices/iec-62443/

IEC 62443-3-有七个foundational requirements(FR)
- FR1-Identification and authentication control(IAC)
- FR2-Use control(UC)
- FR3-System integrity(SI)
- FR4-Data confidentiality (DC)
- FR5-Restricted data flow(RDF)
- FR6-Timely response to events(TRE)
- FR7-Resource availability(RA)

下图是FR1的security requirements(SR)及requirement enhancements (RE)，越高的SL需要完成更多的RE

图片来源:https://www.slideshare.net/Yokogawa1/secure-systems-security-and-isa99-iec62443

根据要求从帐号密码控制，帐号权限管控，多因子验证及活体侦测等等往上增加security levels

供应商安全计画要求

以台积电为例，成立供应商资讯安全协会，逐步要求供应商达到一定的安全水准，避免防护能力弱的一方成为破口。

图片来源: https://csr.tsmc.com/csr/ch/update/innovationAndService/caseStudy/23/index.html

DevSecOps

将资安扫描工具整进CI/CD流程，一来在开发期间提早发现问题做修改，二来使用自动化脚本减少人力负担
这需要将资安的观念带给开发及维运人员(教育训练)，使资安思维融入每个环节，资安单位也需要去理解其他部门为什麽会这样做，在控制的力道达到一个平衡点并视情况使用补偿措施。

图片来源: https://www.dau.edu/cop/cybersecurity/DAU%20Sponsored%20Documents/5.%20%20Day%20of%20Cyber_DevSecOps.pdf