智慧應用 影音

補足網路可視化能力 接續推動OT資安升級

2022/01/20 - DIGITIMES企劃

因AI/ML、雲端、大數據等技術興起,對工業生產可望帶來OEE提升等效益,促使OT逐漸貼近IT、並趨於融合,因而衍生兩項難題,其一是如何管理日益複雜的網路基礎設施,其次為如何處理OT網路安全議題。

四零四科技(Moxa)工業資訊安全解決方案部產品行銷經理郭彥徵表示,綜觀OT工業現場樣貌,有幾個顯著特色,首先同時存在著乙太網路、Wi-Fi、串列網路及I/O等多種設備通訊界面,其次還有Modbus、EIP等各類傳統通訊協定,為了轉換成為適合IT系統的數據格式,故採用越來越多轉換器,這些設備運算力不足、多半不做加解密,難免徒留攻擊破口。

以往談到IT資安,首要之務便是實行防毒、應用控制等端點防護措施,但主要偏向Windows設備;反觀OT設備多採用嵌入式系統,擁有特殊韌體和通訊協定,因而普遍不適用傳統IT防護模式。尤其比較IT與OT資安防禦重點,前者致力防堵資料外洩,後者首重可用性,若有導致產線停機疑慮、寧可不做資安,兩者著實大不相同。

「以OT現場最重要的三項設備SCADA、HMI及PLC來看,皆有各自的問題,以致無法安裝端點防護系統。」郭彥徵說,以疫情做比喻,有些人體質不適合接種疫苗,就需要佩戴口罩,所以考量點應從端點防護轉向網路防護,透過OT網路/資安監視、OT NGFW、OT Firewall、OT Switch等設施,加強守護OT現場的弱點環節。

然而不論資安的實施模式再怎麼簡單,再怎麼標榜不影響產線運作,多數用戶仍有疑慮,係因當前OT現場大多未做網路管理,連工業交換器的部署位置都渾然不知,因而難以接受在進行設備聯網後、就直接跳一級做資安;畢竟不知道現今網路長什麼樣子,就很難正確佈建防火牆、IPS或NGFW等資安設備。

所以郭彥徵建議在推動OT資安前,應先建立網路管理機制,以釐清OT現場的真實樣貌。但需要留意的,OT與IT的網路管理考量有所差異,只因OT現場有許多設備並非傳統網路交換器,而是I/O或Converter,這些設備一樣需要被納管,如此才能落實資產盤點,達到網路設備資安可視化。他進一步解釋,Moxa依循IEC-62443工業資安標準,便於用戶透過其MXview網路管理中的安全精靈、迅速設定資安防護等級,後續再搭配顏色標示,讓工程人員易於掌握網路設備的資安狀態。

做好網路管理後,接著便能著手升級網路資安,可藉由三個方向加以落實。一是將工業IPS設置於關鍵設備前,協助過濾有害資訊,但需留意OT現場僅能容許2~5秒的Timeout,因此IPS須有能力壓縮過濾時間。二是借助工業NGFW落實大範圍的產線實體隔離。至於第三步,則是透過資安監控/管理系統,達到攻擊事件可視化、攻擊事件記錄等多重目的。Moxa即藉由上述三步驟,逐步完善OT資安環境。


圖說:四零四科技(Moxa)工業資訊安全解決方案部產品行銷經理郭彥徵表示,在推動OT資安前,應先建立網路管理機制,以釐清OT現場的真實樣貌。DIGITIMES