安全性對自動化測試系統的影響

想像一下，自己置身於這個對製造業來說再熟悉不過的情形。凌晨 2 點 15 分，您的手機響起，把您從睡夢中驚醒。後續對話所講的內容將讓您瞬間注意起來。

由於 2 組可程式化控制器 (PLC) 發生故障，而此控制器主要用於確保產品品質的生產末端測試系統，故導致生產線 C 運行中斷。製造控制中心在 30 分鐘前與 PLC 失去通訊，而且無法確定 PLC 現在是否處於可重新上線的可信賴狀態。這個月已經發生三起類似事件，現在算第四起？不過，這一次，您的製造團隊已準備好，要將生產轉移至附近有備用產能的工廠。希望如此將有助於降低淨生產損耗。

數天後才發現，造成這些故障的原因是網路安全事件。但這並非外部攻擊，而是自家人誤擊。IT 部門最近對所有網路裝置實施夜間掃描，以評估其安全性。過去多數的 IT 協定都會免除測試設備，但領導高層改變了這項政策，因為他們再也無法容忍被未受監控的網路裝置所導致的網路安全風險。由於 PLC 早期的軟體演算法很可能比安全軟體早開發數十年，因此夜間安全掃描讓 2 組 PLC 因網路封包過多而不堪重負，處理不來，因而引發故障回應：關機。

關鍵問題

將 IT 安全措施套用至測試系統的趨勢是有道理的，其中最顯著的就是，利用未受監控的網路裝置，而導致越來越多的網路安全事件。沒有哪位 CEO 想透過讓自己的 POS 系統受到起源於供熱與通風系統控制器的攻擊，變成被攻擊的目標。同樣地，如果測試設備經由公司的 IT 系統受到攻擊，那麼任何主管人員也都無法承受大規模生產損失的經濟影響。

形成此種趨勢的另一個原因是，適用於一般 IT 系統的安全實務與技術已趨於成熟。為保護系統並偵測攻擊事件，IT 安全人員可進行多種選擇，從網路復原掃描器與入侵偵測技術，到桌上型防病毒與監控代理。自然的反應方式是將這些安全最佳實務與技術的涵蓋範圍擴大至特殊用途測試系統與裝置，尤其是當這些實務符合 NIST SP 800-171 等監管標準時。

然而，至少有兩個理由讓此趨勢完全沒有道理。首先，即使是微小的設定變更，IT 架構的測試系統也無法承受這麼大的影響。IT 系統的使用者可以承受停機時間，甚至可能感覺不到應用效能的差異，但特殊用途的測試系統 (尤其是生產中所使用者) 往往無法承受。即使是因為安全更新或新的安全功能，而導致效能特性發生微小的變化，也會對測試結果，甚至是收集測試資料的品質產生不良影響。同樣地，即使生產測試系統中的停機時間很短，也可能對組織的收入產生重大的財務影響。

第二，測試系統通常具有特殊的安全需求。這類儀器通常會執行其他組織電腦不會使用的專業測試軟體，並且配備標準 IT 安全技術所沒有的特殊用途週邊設備。舉例來說，測試週邊設備需要校準，以提供準確的量測作業，如果其校準資料被惡意或意外變更，就會降低甚至破壞測試品質。盲目地對這些測試系統套用 IT 安全實務，可能會產生錯誤的安全感，因為沒有解決這些測試系統特有的網路安全風險。

可行方式 

安全測試設備的首選方式，包含 2 項重要元件。首先，可透過資料了解針對測試系統所採取的 IT 安全措施，以及應用範圍有多廣。如此一來即可了解所需的資訊，協助 IT 安全人員參與風險評估與管理作業。第二，可以使用測試系統的專屬安全功能來補充這些 IT 安全措施，以便解決特殊風險。如此一來，即可填補標準 IT 安全措施無法解決的缺口。

可參考年度 Verizon Data Breach Investigations Report (DBIR)，以做為資料來源。Verizon 在此報告中，對上一個自然年所收集到，被揭露的網路安全漏洞資料進行分析。2016 年的 Verizon DBIR 有部分內容是，分析針對主要軟體供應商修復的漏洞，所進行的主動網路攻擊。從廠商發布修補程式後，到客戶在電腦上安裝該修補程式之前，會出現一段空檔，而駭客正是利用這段時間差發動攻擊。駭客透過逆向編譯供應商修補程式，找出未修補軟體的弱點，接著就利用那些漏洞取得對電腦的控制權。駭客通常會在修補程式發布後的 2 至 7 個月曆日內，密切注意主要軟體供應商，開始積極利用漏洞。

您可使用此資料，就測試系統的修補風險做出更準確的決定。為降低風險，請在 7 天內完成安裝安全修補程式。換句話說，您必須監控軟體供應商的通知、評估修補程式的適用性，並迅速重新鑑定受到影響的系統。第二，請儘量減少測試系統中已安裝的軟體。如此做後所花費的前期時間，將因減少修補和重新鑑定的費用，而快速回收成本。這些步驟對高風險測試系統來說尤為重要，例如製造或生產中使用的測試系統。

第二個關鍵要素即是，利用特定供應商的安全功能。舉例來說，我們已知校準資料、測試參數與測試序列，對於維護測試品質來說非常重要，則應使用如檔案完整性監控等技術，還有專為測試系統及其元件所設定的校準完整性功能。同樣地，也可參閱測試系統供應商的安全文件，以引導您購買和設計測試系統，以及決定是否要部署可提供更高安全性的選項。

詢問測試系統供應商的問題

您的軟體與 Windows 作業系統安全功能的相容性為何？

NI 會測試其軟體與 Windows 安全功能的相容性，讓您可根據環境需要來啟用這些功能。使用標準使用者權限，即可執行所有的 NI 應用軟體。

可否安全移除軟體元件「X」，以降低安全風險？

透過 NI 軟體安裝程式，即可客製化安裝作業，既可安裝所需的產品，又可確保具備所有必要的相依性。此外，也可透過 NI 應用建立自己的客製化安裝程式，以最低的運行時間環境與相依性來部署應用。

可以使用哪些額外的安全措施來保護測試軟體與測試應用？

可搜尋現有市面上的檔案完整性監控工具。NI 目前正在評估這些類型的工具，以確定如何設定這些工具，以便搭配 NI 軟體運作。聯絡 NI 以了解更多資訊。

在哪裡可以找到軟體與硬體的安全資訊？

NI 提供網路埠與協定、Windows 服務、記憶體清理與重大安全更新的相關說明文件。

以工業控制系統為目標的惡意軟體 (Malware) 新聞在 2014 年意外出現。做法不是駭客從遠端滲透特定工廠的防禦系統，也不是秘密操作人員在煉油廠安裝惡意軟體。相反地，惡意軟體是透過供應商包含了木馬程式的軟體所安裝的。

這項活動最初被稱為「Eergetics Bear」，因為它的目標是電場，且被認為起源於俄羅斯。此活動的一方涉及供應鏈。他們攻擊了 3 家不同的軟體供應商，這些供應商在網站上提供工業控制系統軟體讓客戶下載。駭客在網站取得檔案後，便插入惡意軟體程式，修改供應商的合法軟體安裝程式，然後再將檔案儲存到網站的原始位置。如此一來，客戶是否下載和安裝含木馬程式的軟體，只剩時間問題。此對軟體供應商及其客戶的經濟影響是個未知數。

另一個更複雜的案例是，卡巴斯基實驗室在 2010 年發現，有好幾家供應商的商業硬碟遭到供應鏈入侵攻擊，這些硬碟的歷史可追溯到 2005 年之久。他們發現，內嵌在硬碟控制器中的韌體可正常操作硬碟。然而，此軟體從包含韌體的非揮發性記憶體中，在其未使用的區域秘密儲存敏感資訊副本。由於修改後的韌體不具備外部通訊功能，因此可得出結論，有操作人員會在硬碟停用後收集硬碟，並還原敏感資訊。請注意，即使硬碟內容在廢棄前已經過消毒清理，仍有機會還原敏感資訊。

關鍵問題

Energetic Bear 活動的網站入侵代表，測試系統 (或任何系統) 的完整性，有賴於其元件在整體生命週期中的完整性。元件易手的每一處，和元件長時間停滯不前的每個位置，都代表可被入侵攻擊的機會。建立明確的監控鏈至為關鍵，且可以在每一個階段保護並偵測元件是否遭入侵的防禦功能也是等同重要。

卡巴斯基硬碟遭入侵的事件說明，世上高明的駭客樂意潛入供應商的開發流程，以存取未發布的供應商原始碼。在這個案例中，被盜用的供應商原始碼被用來建立完全可安裝的功能變體，當客戶購買硬碟並投入使用後，就可將這些變體安裝到遭入侵的硬碟中。

沒有一個產品可對供應鏈入侵攻擊免疫。任何安裝程式，即使是看起來微不足道的插件或外掛程式，都可能受到 Energetic Bear 活動的影響。硬碟控制器中這種看起來微不足道的韌體也是如此。這種韌體可進行現場更新，不需嚴格的安全檢查。

我們必須了解，因應網路安全風險時，如何在供應商的多元化與標準化之間取捨。多元化的優點是，可降低因單一供應商元件被入侵而使得整個系統被入侵的風險，不過，由於需為員工提供多種設備類型的教育訓練以及管理與所有供應商的關係，持續為此付出的成本往往會將此優點比下。標準化可降低這些持續性的成本，但也需承擔更大的系統性風險。

可行方式 

標準化具備多項成本考量優勢，因此除非有高風險，否則很難證明供應商多元化的合理性。最可行的實務方式是使供應商標準化，而對供應商的供應鏈安全性評估則是決策標準的重要組成部分。

大多數都已針對供應商進行標準化處理。在此情況下，您與供應商共同維護這層彼此有既定利益的關係。為解決供應鏈安全問題，最重要的一點即是與供應商溝通。了解他們的供應鏈，並了解他們在產品開發、製造，和履行訂單的流程中，採取了哪些措施來保護產品的完整性。深入了解整體流程中的弱點，有助於降低供應鏈受到入侵攻擊的風險，並協助供應商加強安全。如少了這層溝通，雙方都可能會因缺乏資訊而做出錯誤決定。

除了預防外，也要確保在與供應商的溝通中，了解入侵事件發生時的偵測方式。只要給予足夠的動機和資源，任何安全系統都有可能遭到入侵。確保對系統進行完整檢查，除偵測入侵事件的發生時間，也對回應方式提供明確的說明。在如 Energetics Bear 網站遭入侵的個案中，「最後」偵測機制可能是對安裝程式的數位簽名檢查，但此機制必須搭配適當的程序與訓練，否則將導致安裝作業中途失敗以及需要 IT 服務台票。就硬碟韌體來說，只要詢問供應商對韌體更新的設計，就會發現有保護漏洞，無法驗證已安裝韌體的完整性。

詢問測試系統供應商的問題

我應如何驗證貴公司提供的軟體是否合法？

NI 已針對所有的 Windows 軟體安裝程式進行數位簽名，以便您 (和 Windows) 能夠驗證其是否來自 NI 且未經修改。此外，NI 也提供安全的軟體交付解決方案，可針對軟體交付加入實體保障。軟體安全交付方式為交付 NI 軟體光碟時，以防篡改方式進行包裝和追踪，並在運送時提供獨立的檢驗磁碟，以在其他包裝中檢驗軟體的檔案完整性。

您如何保護供應鏈，避免受到假冒零件和經修改元件的影響？

NI 秉持嚴格的品質管理實務，充分掌握從零件來源到產品最終組裝方式的情況。NI 會對製造與測試作業的相關人員進行背景調查，並經過重重檢驗與權衡，以確保您取得高品質產品。聯絡 NI 以了解更多資訊。

如何確定沒有人更改過我的硬體校準資料？

NI 硬體模組需要輸入密碼，才能修改長期校準資料。請以管理 Windows 密碼的方式來管理此密碼。NI 目前正開發適用於特定硬體模組的校準完整性功能。此功能可確保長期校準資料自認證校準後未被變更過。

貴公司的產品如何支援多個不同的廠商？

NI 符合業界標準，並與其他供應商的產品提供最廣泛的互通性。例如，NI 產品符合 PCI、PXI、IEEE、IETF 與 ISO/IEC 通訊標準，並使用 IVI 與 OPC-UA 等業界標準技術。NI 亦參與其中的許多標準委員會。

Edward Snowden 從美國國家安全局 (NIA) 洩露大量機密監視資料，這件事很可能是對內部人員威脅增加關注的最可能原因。起因對美國技術的不信任，他的行為已對美國科技產業造成約 220 至 350 億美元的經濟損失。但這並非內部人員威脅的第一例。

1996 年，Ω Engineering 的 Timothy Lloyd 因其內線活動而聲名狼藉。由於當時的技術是 Microsoft Windows 95，所以主流媒體很少 (如果有的話) 討論網路安全。Timothy Lloyd 以內部人員身分握有的權限，在當時是可創造驚人的作為。他在製造站點擔任系統管理員。他在得知自己將遭開除時，安裝了軟體定時炸彈，然後在他控制的系統中，有系統地刪除所有製造軟體。在 Lloyd 被解職的次日，第一名管理員登入網路時，就觸發定時炸彈。此事對 Omega Engineering 造成的經濟影響達數百萬美元，且有 80 人因此失去工作。這讓公司幾乎面臨破產。

關鍵問題

此領域的關鍵問題是多層面的，且至今仍是重要的研究主題。這些問題包含了注意所有有權限存取關鍵測試系統的人，不論是員工或契約型包商。這些人可明確掌握業務最關鍵領域，和對這些業務層面擁有地位的人，也知道這些人之間的權限分配方式。解決方案通常涉及大量的行為監控，這會對人際信任產生負面影響，而這種信任又為營運效率所需。

內部人員威脅是一種發生率低但影響性高的事件，2016 年 Verizon DBIR 報告可證實這種主張。2015 年共發生超過 64000 起網路安全事件，其中僅 172 起涉及內部人員濫用權限。超過 75% 的內部威脅事件均是單獨完成，沒有任何外部協助，也沒有內部人員串通。

可行方式

除高度重要的系統以外，解決內部人員威脅的最佳做法是，先解決前面趨勢中所說明的基礎問題後，再來考慮這個威脅。上述其他趨勢能說明，測試系統最有可能遭入侵的方式。

不過，對於高重要性系統來說，仍要儘早在設計階段就解決內部人員威脅。在識別出系統中最敏感或與任務有最重要關係的問題後，即可設計權限管理解決方案——將相關工作拆分給至少 2 種以上的職位，避免將這兩種工作僅分配給單一職位來執行。根據 Verizon DBIR 的資料，這樣就可將入侵可能性從有 77% 可單獨採取行動的機會，降至只有 8% 的串通機會。

詢問測試系統供應商的問題 

您如何從內部保護軟體的原始碼？

NI 為其軟體原始碼實施多層保護措施：NI 需要唯一的使用者名稱與密碼才能進行變更，並將公司的存取權限僅限於參與開發的工程團隊，且會定期審查存取控制名單。工程團隊可以選擇，只限存取控制名單內人員可修改程式碼，或是可允許非成員提交程式碼變更。針對允許非成員變更程式碼的群組，NI 需要有關此等原始碼變更的通知，並由群組成員審查程式碼。

要滿足測試系統的網路安全需求，是一項非常複雜的工作。可能是不斷陷在無數的潛在安全風險中，也可能是因為看起來太難處理，而根本不曾開始著手進行過。事實上，不可能擁有滴水不漏的安全性，因為只要資源與時間足夠，理論上，每種解決方案都有可能被入侵。不要選擇任何極端方式，而是根據實際情形排定問題的優先順序，然後先解決最重要的問題，並在過程中運用相關常識。

首先要在相關人員 (例如，管理團隊、IT 安全人員和供應商) 之間建立共識，讓每個人都能意識到解決安全威脅的重要性。以提高相關人員安全意識為起頭，好處包括除讓他們了解網路安全威脅的本質外，也可體會到，安全事件會對他們共同的成功造成不良影響。接著，要專門分配時間與資金，用於網路安全專案、訓練與技術。由於測試系統所面臨的網路安全威脅是真實存在的，且會對企業組織構成財務風險，因此應將企業組織的資源，分配用於評估並解決網路安全需求。在實際評估網路安全威脅對營運造成的影響後，應適當分配資源來滿足這些需求。

• 深入了解 NI 安全性 
• 進一步了解建立測試系統的最佳實務 
• 設定您的測試系統