對外貿易發展協會
Advantechline
 

結合設備網通資安、管理系統支援服務 消弭五大OT威脅

四零四科技亞太區事業處工業物聯網解決方案處高級工程師郭彥徵指出,OT環境長年存在Shadow OT、不安全的身份認證、不安全的協議、缺乏保護的設備,及不安全的第三方軟體等五大風險。

隨著工業4.0、工業物聯網(IIoT)、工廠自動化等浪潮席捲,促使從前涇渭分明的OT與IT系統如今頻繁介接,讓OT環境不再封閉,因而開始滋生潛在風險;四零四科技(Moxa)亞太區事業處工業物聯網解決方案處高級工程師郭彥徵歸納,這些OT風險來自幾個大面向。

首先是「OT的灰色地帶」,亦可稱「Shadow OT」,係因OT網路架構簡單、資安設計不完整,導致工業現場有許多設備或連線未被控管,經常潛藏漏洞、易於被搜尋到,讓駭客無需動用高深技巧,便能輕易入侵得逞。其次是「不安全的身份認證」,IT系統設計上皆已導入權限管理概念,OT則不然,只求系統連接得上、系統與系統間能交互溝通,即可滿足生產需求,因此不時可見工程師自帶電腦到現場,一旦連上網便能存取整個OT網路。

第三是「不安全的協議」,許多OT通訊協議早在20、30年前問世,當初從Series考量而設計,未涵蓋加密、身份確認等要素。第四是「缺乏保護的設備」,OT設備本身的防護相對薄弱,外圍防護措施也少,起因是早期OT設備所處環境相對封閉隔離,不太需要強化外部入侵防護,故IT世界常見的防火牆、IPS、防毒...種種措施,OT世界鮮少有對應方案。最後是「不安全的第三方軟體」,不少工廠常有受信任的第三方供應商或維護者進出,他們所帶入的裝置或軟體,可能成為散播惡意軟體的媒介。

「不只OT設備存在風險,OT控制系統也有不少弱點,」郭彥徵說,一來OT系統搭配的DHCP或DNS伺服器容易淪為攻擊目標,二來許多OT系統採用老舊OS,已無對應Patch可供修補,自然無力承受日益精進的漏洞攻擊。

布局四層防禦,從點、線到面絕阻資安風險

郭彥徵進一步指出,Moxa不僅富含30年工業網通設備研發經驗,深切了解OT環境,也意識到OT資安風險不斷升高,於是由底端而上依序布局「設備資安」、「通訊網路資安」、「設備資安管理」及「資安支援團隊」等四層防禦機制。

針對設備資安,Moxa一方面遵循IEC 62443-4-2規範打造S2E、I/O、協議轉換器、無線通訊、交換器...等等各類設備,使之內建基礎的防護能力,二方面與TXOne Networks合力催生「EtherGuard」IPS/IDS,幫助一些無法上Patch或更新韌體的老舊設備,從外圍阻絕攻擊流量或提供虛擬補丁。

針對通訊網路資安,網通起家的Moxa一向重視網通的資安處理,已推出附帶網口實體控管、ACL、封包分析、VPN等資安功能的網通設備,如今從另一面向出發,與TXOne合作發展出附帶網路功能的「EtherFire」次世代防火牆,內含IPS/IDS、深度封包檢測(DPI)、應用程式白名單等豐富資安功能,並可支援與篩選多樣性工業協議。

至於設備資安的管理,Moxa先推出MXview工業級網管軟體,協助用戶綜覽網路的連線與行為、設備狀態、網路設備的安全等級,近期再以資安為出發點推出MXsecurity管理系統,讓管理者一目瞭然掌握網路的資安狀態、各端點設備的資安設定及特徵碼更新狀況。

有關資安支援團隊,Moxa設立CSRT快速反應小組,專責研究資安漏洞,並依據漏洞與各項Moxa設備的相關性,為用戶提供完整的處理建議,此外嚴格要求自身的產品開發流程須依循資安準則,及早對源碼、韌體進行完整檢測,預先補強產品的潛在漏洞。

未來製造,雲端、物聯、數據蒐集已成關鍵。但是,當生產資訊出得去、外部攻擊進得來……您知道您的工廠,安全嗎?8/8登場的資安論壇,活動主題訂為「保障IIoT安全,加速智慧製造」,邀請中油資訊部經理分享工控系統安全管理經驗、工研院資通所專家探討高科技製造業資安標準,還有重量級業者趨勢、研華、四零四、精品…提出最新市場觀察與解決方案,全程參與聽眾有機會抽中PS4一台!免費活動,歡迎各界報名參加


  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: MOXA 資訊安全