Policy priorities and initiatives for securing Industrial Automation and Control Systems (IACS) in the Netherlands

• Importance of IACS: an assessment of risks for the Netherlands

• Threats: overview of current threats taken into account

• Resilience: priorities and initiatives from the central government  

• Objectives set by the Dutch Cyber Strategy (2022-2028) 
• Initiatives from the central government

• Challenges and next steps: 

•   Setting of priorities 
•   Developing the OT-ISAC
•   NIS2 and increase in constituents

生產製造為所有製造業的經濟命脈，確保有效生產效率、提升OT環境的整體資安防護等級，一直都是製造業所專注的議題；世界上的製造業都不斷的追求創新其製程及優化生產的速度，我們將探討在OT領域中不同的觀點，並讓您了解如何將零信任的基礎導入在OT的環境中來確保其創新及優化的整體生產環境不受到外部攻擊所影響。此外IT及OT的環境中不斷出現的跨區域攻擊事件，我們也需要有效的管控機制去避免檔案交換時所造成的隱憂，有效控制設備中網路的存取狀態、了解設備中存在的弱點及可能存在的異常狀態，增強OT環境中的可視性。

造成系統操作異常導致停機和設備損壞的網路攻擊在 2020 年從理論問題變成了現實問題——世界變了，但沒人注意到。 網路安全系統也在發生變化——當公共安全受到威脅時，越來越需要“工程級”安全解決方案。 這樣的解決方案是確定性的——無論對它們發起的網路攻擊多麼複雜，它們提供的保護程度都是恆定的。 加入我們，了解現今網路攻擊如何變化以及網路防禦如何演變以應對威脅。

在新冠疫情爆發的這兩年，使許多慣於實體工廠生產的汽車產業逐步意識到數位轉型的重要性，而如何安全且有效的管理工廠中的機械手臂上雲便是重要課題。其中 OPC-UA 通訊規格便早在 2016 車廠雷諾與 Google 攜手合作已證實能高效且安全的幫助廠房做資料交換與 PLC 控制管理，使近年各大車廠逐步導入、幫助工廠能數位轉型。

然而，OPC-UA 規格真如其官方宣稱的那般安全嗎 ;)？這場議程我們將從三篇研究說起，分享此通訊規格的設計架構、安全假設與其規格等級的缺陷導致市場上八成的大廠牌產品全都能被駭客輕易攻陷；於議程尾聲我們也提供一些修補建議與防禦產品挑選的建議。

近年來，半導體製造業遭受惡意程式攻擊的案例已備受重視。由於其高度倚賴自動化生產且經濟價值高，同時面臨著高可用性、高產能、高良率的壓力。2022 年 1 月，SEMI 國際半導體產業協會，推出新的 SEMI E187 設備資通安全標準，目標是消除外部供應鏈攻擊、內部威脅和網路攻擊中的其他潛在脆弱點。本次研討會提出基於資產生命週期的防護觀點，解析 SEMI E187 / E188 標準的關鍵挑戰，並提供實務建議，以協助資產擁有者和設備供應商共同實現標準合規。

我們在 Black Hat EU 2021 以及 CYBERSEC 2022 當中，有發表我們對於 Data Distribution Service (DDS) 的數個實作當中找到的漏洞。DDS 是一套被廣泛用於工業控制、自動化、航太領域與軍事領域的通信協定。自從我們發表至今，大多廠商都已經修正了漏洞，但更新與否仍受使用者端的控制，代表他們可能會仍然使用著有漏洞的版本。由於 DDS 是一個非常規的通訊協定、其溝通過程複雜、亦無規定標準通訊阜，故我們特別為此打造了一套高效能的掃描框架，並以多層次的方式，來找出所有網路上暴露著的 DDS 伺服器，同時亦能夠有效的避免遇到被視為 IP Abuse 的狀況。

在 62443 計畫展開初期，必須先招集各相關領域的專家一起研讀 62443-4-2 的相關需求，並依據大家的理解制定適用於送驗產品的安全規格。但每個人的專業知識背景以及專注程度有差異，如何在有限時間內讓大家都能有最大的共識將會是一大挑戰。待安全規格確認後，進入開發階段前，必須要確保 62443 專案可以順利取得人力與開發資源，並與 PM 確立專案的優先程度及訂定專案進度的時程，這過程勢必會遇到許多與生意機會的衝突，在與馬上就有賺錢機會的專案發生資源衝突時，如何權衡是一個很現實的考量。講者將分享這些經驗，同時以身為專案負責人與開發者的角度分享進入開發階段後，如何調配人力資源與確保被完成功能符合預期同時兼顧程式品質。最後非常重要的部分，講者將分享與測試實驗室及發證單位之間的討論以及身為被認證方曾經遭遇過的困難，和最後如何與實驗室及發證單位取得共識。

自 2010 年 Stuxnet 對伊朗核計劃造成實質性破壞以來，ICS 安全問題不斷被提出。許多研究人員深入研究了駭客攻擊的技巧和路徑以及歷史上已知的攻擊以及更多的惡意軟體和事件。

我們總結了 2022 年審查 20 多家工廠流量和分析 19 種 MITRE 定義的 ICS 惡意軟體包含 PIPEDREAM/Incontroller 的經驗。我們發現 ICS 惡意軟體的主要趨勢從單一協定目標轉變為模組化、多協定。惡意軟體的動作可以概括為 OT 中 4 個階段的攻擊流程，將此流程自動化成為開源 Scarlet OT，我們將使用該工具進行。