結合設備網通資安、管理系統支援服務 消弭五大OT威脅
- DIGITIMES企劃
-
隨著工業4.0、工業物聯網(IIoT)、工廠自動化等浪潮席捲,促使從前涇渭分明的OT與IT系統如今頻繁介接,讓OT環境不再封閉,因而開始滋生潛在風險;四零四科技(Moxa)亞太區事業處工業物聯網解決方案處高級工程師郭彥徵歸納,這些OT風險來自幾個大面向。
首先是「OT的灰色地帶」,亦可稱「Shadow OT」,係因OT網路架構簡單、資安設計不完整,導致工業現場有許多設備或連線未被控管,經常潛藏漏洞、易於被搜尋到,讓駭客無需動用高深技巧,便能輕易入侵得逞。其次是「不安全的身份認證」,IT系統設計上皆已導入權限管理概念,OT則不然,只求系統連接得上、系統與系統間能交互溝通,即可滿足生產需求,因此不時可見工程師自帶電腦到現場,一旦連上網便能存取整個OT網路。
第三是「不安全的協議」,許多OT通訊協議早在20、30年前問世,當初從Series考量而設計,未涵蓋加密、身份確認等要素。第四是「缺乏保護的設備」,OT設備本身的防護相對薄弱,外圍防護措施也少,起因是早期OT設備所處環境相對封閉隔離,不太需要強化外部入侵防護,故IT世界常見的防火牆、IPS、防毒...種種措施,OT世界鮮少有對應方案。最後是「不安全的第三方軟體」,不少工廠常有受信任的第三方供應商或維護者進出,他們所帶入的裝置或軟體,可能成為散播惡意軟體的媒介。
「不只OT設備存在風險,OT控制系統也有不少弱點,」郭彥徵說,一來OT系統搭配的DHCP或DNS伺服器容易淪為攻擊目標,二來許多OT系統採用老舊OS,已無對應Patch可供修補,自然無力承受日益精進的漏洞攻擊。
布局四層防禦,從點、線到面絕阻資安風險
郭彥徵進一步指出,Moxa不僅富含30年工業網通設備研發經驗,深切了解OT環境,也意識到OT資安風險不斷升高,於是由底端而上依序布局「設備資安」、「通訊網路資安」、「設備資安管理」及「資安支援團隊」等四層防禦機制。
針對設備資安,Moxa一方面遵循IEC 62443-4-2規範打造S2E、I/O、協議轉換器、無線通訊、交換器...等等各類設備,使之內建基礎的防護能力,二方面與TXOne Networks合力催生「EtherGuard」IPS/IDS,幫助一些無法上Patch或更新韌體的老舊設備,從外圍阻絕攻擊流量或提供虛擬補丁。
針對通訊網路資安,網通起家的Moxa一向重視網通的資安處理,已推出附帶網口實體控管、ACL、封包分析、VPN等資安功能的網通設備,如今從另一面向出發,與TXOne合作發展出附帶網路功能的「EtherFire」次世代防火牆,內含IPS/IDS、深度封包檢測(DPI)、應用程式白名單等豐富資安功能,並可支援與篩選多樣性工業協議。
至於設備資安的管理,Moxa先推出MXview工業級網管軟體,協助用戶綜覽網路的連線與行為、設備狀態、網路設備的安全等級,近期再以資安為出發點推出MXsecurity管理系統,讓管理者一目瞭然掌握網路的資安狀態、各端點設備的資安設定及特徵碼更新狀況。
有關資安支援團隊,Moxa設立CSRT快速反應小組,專責研究資安漏洞,並依據漏洞與各項Moxa設備的相關性,為用戶提供完整的處理建議,此外嚴格要求自身的產品開發流程須依循資安準則,及早對源碼、韌體進行完整檢測,預先補強產品的潛在漏洞。
未來製造,雲端、物聯、數據蒐集已成關鍵。但是,當生產資訊出得去、外部攻擊進得來……您知道您的工廠,安全嗎?8/8登場的資安論壇,活動主題訂為「保障IIoT安全,加速智慧製造」,邀請中油資訊部經理分享工控系統安全管理經驗、工研院資通所專家探討高科技製造業資安標準,還有重量級業者趨勢、研華、四零四、精品…提出最新市場觀察與解決方案,全程參與聽眾有機會抽中PS4一台!免費活動,歡迎各界報名參加。
