與米蘭理工大學共同發表 OT 程式開發基本安全原則

香港，中國 - Media OutReach - 2020年8月5日- 全球網絡資訊保安方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）今天發表一份新的研究報告指出老舊程式語言的設計缺陷，同時也提出一些程式設計安全原則來協助工業 4.0 開發人員大幅減少軟件的受攻擊面，希望藉此降低營運技術 (OT) 環境中斷營運的情況。

這份由趨勢科技與米蘭理工大學 (Politecnico di Milano) 合作的研究顯示，一些老舊程式語言的設計缺陷如何造成自動化程式的漏洞。這些資訊保安缺陷可讓黑客挾持工業機械人與自動化設備，進而造成生產線中斷或知識產權被竊。研究指出，工業自動化領域目前仍未知該如何偵測及防範這類漏洞攻擊，因此，業界有必要開始建立和實施一些網絡資訊保安與程式設計安全實務原則。針對這點，這份研究也提出了一些新的原則。

趨勢科技基礎架構策略副總裁 Bill Malik 指出：「OT 系統一旦連上網絡，幾乎就無法再套用修補更新，因此一開始的程式設計就變得無比重要。今日工業自動化的軟件骨幹需依賴一些老舊技術來運作，而這些技術卻經常暗藏一些潛在漏洞（如 Urgent/11 與 Ripple20），或是一些像千年蟲（Y2K）這類的架構缺陷。我們不但希望點出這些問題，更希望能再次率先提出工業 4.0 資訊保安對策，針對程式設計、撰寫、驗證以及後續維護，提供明確的指導原則及掃描工具來攔截惡意與含有漏洞的程式碼。」

一些老舊專屬系統的程式設計語言如 RAPID、KRL、AS、PDL2 及 PacScript，在當初設計時都未想到黑客可能採用的攻擊方式。這些幾十年前的產物，現在卻成為了今日工廠自動化的重要關鍵設施。

但問題是它們無法輕易修補漏洞，這些使用專屬語言撰寫的自動化程式不僅可能存在漏洞問題，研究人員還證明，其中的某些語言更可能被用來製作新型的自我複製惡意程式。

趨勢科技研究機構 Trend Micro Research 與工業機械人作業系統協會（ROS-Industrial Consortium）共同提出了一些建議來降低這些漏洞遭黑客攻擊的機會[1]。

歐洲工業機械人作業系統協會（ROS-Industrial Consortium Europe）產品經理 Christoph Hellmann Santos 表示：「大多數的工業機械人都是為隔離的生產線網絡而設計，並且採用老舊的程式語言。所以，它們一旦連上企業資訊網絡，就很可能遭到黑客攻擊。為此，ROS-Industrial 與趨勢科技合作，針對採用 ROS 來控制工業機械人的環境，提出一些如何正確安全地架設網絡的指導原則。」

如上所述，使用這類老舊程式語言來控制工業機械人動作的自動化工作程式，其實是可以寫得更安全一點，如此就能降低工業 4.0 的風險。以下就是自動化工作程式撰寫的一些基本安全原則：

• 將工廠設備視為電腦，將工作程式視為強大的程式碼。
• 每一次的通訊都須驗證。
• 實施存取管控政策。
• 務必檢查輸入的資料。
• 務必清理輸出的資料。
• 建立適當的錯誤處理機制但不要暴露太多細節。
• 建立適當的配置與部署程序。

此研究在 8 種最普遍的工業機械人程式設計平台上發現了一些涉及敏感安全性的功能及 40 個開放原始碼漏洞。有一家廠商已將含有漏洞的自動化程式從其工業應用程式商店下架，還有另外兩個漏洞也已獲得廠商確認並帶來了良性互動。除此之外，這些漏洞的相關細節也經由 ICS-CERT 在他們自己的群組上分享[2]。

Trend Micro Research 與米蘭理工大學還共同開發了一套正申請專利的工具來偵測工作程式中的漏洞或惡意程式碼，希望藉此防範執行時期問題。

這份研究的結果於 8 月 5 日舉行的 Black Hat USA 黑客大會以及 10 月份將在台北舉行的 ACM AsiaCCS 研討會上發表。

進一步資訊請參閱完整研究報告：https://www.trendmicro.com/vinfo/hk/security/news/internet-of-things/unveiling-the-hidden-risks-of-industrial-automation-programming 。

關於趨勢科技

趨勢科技為網絡資訊保安方案全球領導廠商，致力建立一個安全的資訊交換世界。我們專為消費者、企業及政府機構設計的創新方案，能為數據中心、雲端環境、網絡及用戶端裝置提供多層式安全防護。我們的產品皆彼此整合、共享威脅情報，提供環環相扣的威脅防禦與中央化視野及監控能力，實現更好、更快的防護。趨勢科技全球共 6,000 多名員工遍佈 50 多國，並擁有全世界最先進的全球威脅情報，能妥善保護您的連網世界。如需更多資訊，請至：http://www.trendmicro.com.hk 。