USB และ Removable Media Threat ใน OT: ช่องโหว่ความปลอดภัยที่ถูกมองข้ามในโรงงานอุตสาหกรรม

USB และ Removable Media Threat ใน OT Environment: ช่องโหว่ความปลอดภัยที่ถูกมองข้ามในโรงงานอุตสาหกรรม

เมื่อพูดถึงความปลอดภัยทางไซเบอร์ในโรงงานอุตสาหกรรม สิ่งที่หลายองค์กรมองข้ามคือ ภัยคุกคามจาก USB และ Removable Media ทางกายภาพ ทั้งที่ในความเป็นจริง การโจมตีผ่าน USB เป็นหนึ่งในเวกเตอร์ที่อันตรายที่สุด เพราะมันข้าม Boundary ของ Network Security ทุกชั้น ไม่ว่าจะตั้ง Firewall กี่ชั้นก็ตาม

ทำไม USB ถึงอันตรายใน OT?

ในสภาพแวดล้อม OT อุปกรณ์จำนวนมากยังคงใช้ระบบปฏิบัติการเก่า เช่น Windows XP, Windows 7 หรือแม้กระทั่ง Embedded OS ที่ไม่มี Mechanism ป้องกัน USB ภัยคุกคามที่พบบ่อย:

• Malware via USB เช่น Stuxnet (2010) ที่ใช้ USB เป็น Vector เข้าสู่ Air-gapped Network ของโรงงานนิวเคลียร์ ทำลาย Centrifuge กว่า 1,000 ตัว
• BadUSB / USB Spoofing อุปกรณ์ USB ที่ปลอมตัวเป็น Keyboard (HID Attack) เพื่อพิมพ์คำสั่งร้ายแรงโดยอัตโนมัติ โดย OS จะมองว่าเป็น Keyboard ปกติ ไม่สามารถป้องกันได้ด้วย Anti-virus
• USB Killer อุปกรณ์ที่จ่ายไฟฟ้าแรงสูง (220V+) เข้าสู่ Port USB เพื่อเผาทำลาย Hardware ของ HMI หรือ Engineering Workstation
• Data Exfiltration พนักงานหรือผู้บุกรุกใช้ USB ดึงข้อมูลสำคัญ เช่น PLC Program, SCADA Configuration ออกจากโรงงาน

ข้อมูลน่าตกใจ: จากการสำรวจของ SANS Institute พบว่า 52% ของ Incident ด้านความปลอดภัยใน OT เกิดจากการใช้ Removable Media โดยไม่ได้รับอนุญาต และ 68% ของโรงงานอุตสาหกรรมที่สำรวจยังไม่มีนโยบายควบคุม USB ที่ชัดเจน

Vector การโจมตีผ่าน USB ที่พบในอุตสาหกรรม

กลยุทธ์ป้องกันแบบ Multi-Layer

การป้องกันภัยจาก USB ไม่สามารถพึ่งพาวิธีเดียว ต้องใช้แนวทาง Defense-in-Depth:

Layer 1: นโยบายองค์กร (Administrative Control)

• กำหนดนโยบายห้ามใช้ USB ส่วนตัวในพื้นที่ Production เด็ดขาด
• สร้างกระบวนการ USB Sanitization Station พนักงานที่ต้องใช้ USB ต้องผ่านจุดตรวจสอบก่อน
• ลงทะเบียน USB Drive ที่ได้รับอนุญาต และติดป้ายระบุเจ้าของ
• การฝึกอบรม Security Awareness ที่เน้น USB Drop Attack เป็นประจำทุกไตรมาส

Layer 2: Technical Control ระดับ OS

• Group Policy (GPO) ปิด USB Mass Storage บน Windows ด้วย Policy Computer Configuration - Administrative Templates - System - Removable Storage Access
• Device Whitelisting อนุญาตเฉพาะ USB Device ที่ลงทะเบียนผ่าน Hardware ID (Vendor ID + Product ID + Serial Number)
• Application Whitelisting ใช้ Whitelisting Software ป้องกันการรัน Executable จาก Removable Media

Layer 3: Hardware and Network Control

• USB Port Lock ใช้ Physical Lock ปิด USB Port ของ HMI, PLC Programming Station
• USB Data Diode อุปกรณ์ Hardware ที่อนุญาตให้อ่านข้อมูลจาก USB ได้อย่างเดียว (Read-only) ป้องกัน Data Exfiltration
• Network Monitoring ตรวจจับ USB-to-Ethernet Adapter ที่ปรากฏบน Network แบบผิดปกติ

Layer 4: Dedicated USB Kiosk

• ติดตั้ง USB Scanning Kiosk แยกอิสระจาก Production Network
• Kiosk จะ Scan USB ด้วย Multiple Antivirus Engine ก่อนอนุญาตให้ใช้
• บันทึก Log ทุกครั้งที่มีการใช้ USB (ใคร, เมื่อไหร่, ไฟล์อะไร)
• ใช้เฉพาะ Write-Once USB สำหรับกรณีที่ต้อง Update Firmware ให้ PLC

มาตรฐานและ Framework ที่เกี่ยวข้อง

การควบคุม USB ใน OT สอดคล้องกับมาตรฐานหลายฉบับ:

• IEC 62443-3-3 กำหนด Requirement ด้าน Physical Security รวมถึงการควบคุม Removable Media
• NIST SP 800-82 Rev.3 Guide to ICS Security แนะนำการควบคุม USB อย่างเข้มงวดใน OT Environment
• NERC CIP-007 R6 บังคับให้มีนโยบายควบคุม Removable Media สำหรับ Bulk Electric System

Key Takeaways

1. USB ข้าม Network Security ทุกชั้น ไม่ว่าจะตั้ง Firewall กี่ชั้น USB ที่เสียบเข้า HMI หรือ Engineering Workstation จะสร้าง Air-gap Bridge ทันที
2. HID Attack ตรวจจับยากที่สุด USB ที่ปลอมตัวเป็น Keyboard จะถูกมองเป็น User Input ปกติ ไม่มี Antivirus ใดตรวจจับได้
3. Defense-in-Depth เป็นสิ่งจำเป็น ต้องผสานทั้งนโยบาย การควบคุม OS Hardware และ USB Kiosk เข้าด้วยกัน
4. USB Drop Attack ยังได้ผล จากงานวิจัยพบว่า 48% ของคนที่เจอ USB ทิ้งอยู่จะเสียบเข้าเครื่อง ฉลากที่เขียนว่า “Confidential” มีอัตราเสียบสูงถึง 60%
5. ต้องมี Logging และ Audit Trail ทุกการใช้ USB ในพื้นที่ Production ต้องถูกบันทึกและตรวจสอบย้อนหลังได้