善用物聯網安全方案 讓駭客無機可乘

隨著工廠內部機台設備走向IP通訊化，固然有助於拓展諸如遠端除錯、預知保養等進階智慧應用，但同時也開始接觸網路惡意攻擊，亟需透過防火牆捍衛工業網路安全。Flow Control

在物聯網熱潮延燒下，接續繁衍工業4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產業浪潮；若以物聯網資安議題而論，尤其以工業4.0跳躍幅度最大，只因製造業過往採用封閉的序列通訊協定，尚可忽視安全課題無妨，如今走向IP通訊化，即需面對從零分到滿分的快速進化需求。

不可諱言，從以往各自獨立運作的系統，邁入萬物皆可互聯的物聯網時代，其間轉變確實相當劇烈，而且這般的變革，對於不論是企業競爭力、人類生活品質，都可謂美事一樁，此乃由於，經由物聯網裝置所產生數據的分析探勘，可望從中挖掘寶貴的資訊，一旦加以善用，將能提升企業組織運作效率，連帶強化營運競爭力，同時有助於促使人類生活更趨精采多姿。

儘管從過去一座座「筒倉(Silo)」(意指獨立封閉的系統架構)，邁入萬物互聯新局，確實可望觸發無窮效益，但在轉折過程中，不乏有嚴峻挑戰亟待面對，最顯著的考驗，無疑正是資訊安全，主要是由於，過去筒倉採用自成一格的通訊協定，鮮與外界溝通，駭客對這些封閉語言一無所知，所以無從出手製造任何安全威脅，今天工廠設備走向IP通訊化，不再是與世隔絕的筒倉，至此情勢出現大幅逆轉。

以現今熱門的工業4.0議題為例，製造業導入工業物聯網後，使以往蜷縮在一個個不同筒倉裡頭的機台設備，開始試圖藉助工業界標準語言，與外面的世界溝通，溝通的對象不僅含括異質設備、製造執行系統(MES)，同時還有更上層的ERP、雲端大數據平台，旨在滿足遠端監控與預防保養等需求；但在追求創新突破之際，也背負「門戶洞開」的安全風險。

筒倉走向開放  安全挑戰接踵而至

曾有廠務主管透露，伴隨工廠設備開始聯網，諸如跳電、機器故障等意外插曲，似乎也跟著增多，雖然增加的幅度看似不大，造成的停機時間也不算長，但製造企業對於產線的持續高效率運轉，一向極為倚重，只因為停機時間與次數一旦增加，輕則影響產能、壓低稼動率，重則導致製程整個報廢，讓原物料付之一炬，因而蒙受可觀財務損失，甚至造成交期延宕、衝擊商譽，後果著實不容小覷；深究箇中原因，不乏肇因於病毒或惡意程式而引發機台設備故障之例，更可怕的是，如果諸如此類現象一再發生，合理懷疑已有駭客侵門踏戶，此時企業便需提高警覺，檢視是否有機密智財出現外洩。

意欲清除這些負面因子，則負責企業操作技術(Operation Technology；OT)的人士，實有必要向執掌資訊科技(IT)事務的同仁看齊，認真考慮部署相關安全防護設備，從VPN與防火牆的架設作為起步；眾所周知，防火牆並非新穎技術，迄今發展歷程已超過20年，而且防護實力日益強大，但問題是，製造業者欲以一般商用VPN防火牆系統保護工業控制網路，顯然並不適合。

業者解釋，一般常見商用防火牆，擅於守護Intranet之內的伺服器、個人電腦等眾多運算節點，也成為這些節點通向網際網路的唯一出入閘口，因進出流量大，所以防火牆不可能逐一攔阻並詳查每個封包，僅能藉由封包來源與目的地來驗證其合法與合理性；反觀工業控制網路，與Intranet情況大異其趣，內含的設備數量相對有限，傳輸的資料量也較小，不過單一封包所蘊含的價值，卻遠比Intranet進出流量要大上許多，所以單憑商用防火牆查看封包位址與去向之模式，肯定不敷需求，必須導入工業用防火牆，藉以辨識諸如EtherCAD、Profinet等工業通訊協定，理解不同機台設備慣用的溝通話術，從而深入剖析與細膩檢查資料流量，如此才能即時察覺異常現象。

善用工業協定防火牆  有助遏止駭客進犯

比方說，假設工廠內部所採用的機械手臂，按常理所需執行的作業步驟，依序包含了A、B、C、D、E等五道程序，此時如果出現駭客入侵現象，透過惡意程式的施放，意圖控制機械手臂將執行步驟改為A、B、C、D、F，等於更動了箇中一道程序；對於這般變化，商用防火牆理當難以察覺，只因這類系統對於工業通訊協定的辨認能力不足，反觀工業防火牆，即可在第一時間斷然制止，不允許有人擅自更改控制規則。

事實上也有少部份商用防火牆，在成立之初，便誓言跳脫單純的TCP/IP協定，養成足以解析所有網路流量內容的實力，如今得以朝向物聯網安全、工業4.0安全等領域靠攏，譬如Palo Alto Networks便是一例。製造企業若將Palo Alto Networks閘道設備佈建於工業控制網路，即使面對「Modbus Read Only」(僅容許讀取Modbus端資訊、不允許寫入)的規則條件，也有能力加以辨識，並且落實執行，單憑這點，便與一般商用防火牆產品大不相同。

另一方面，Palo Alto Networks面對工業控制網路的防護重任，不管守護對象是工業電腦、SCADA或ICS(工業控制系統)，都堅守零信任原則，是假定所有內部使用者都是不安全的，因以每個同仁的一舉一動，都必須完全符合既定行為規範，不容許有任何差池，所以萬一有任何使用者節點，不慎遭駭客植入惡意程式，意圖做出超乎規範的行徑，只要踏出第一步，必定立即遭到Palo Alto Networks系統遏阻。

藉助單向閘道器  實現實體網路隔離

Intel Security(原名McAfee)也是甚早跨足物聯網安全防護的業者，其標榜以白名單為管控基礎，與前述零信任架構頗有異曲同工之妙；所謂白名單，主要是透過一套動態白名單機制，用以鎖定物聯網裝置的原始軟體設定，避免被納管的裝置擅自執行未經授權的程式碼，藉此確保裝置的安全性；之所以必須這麼做，道理其實很簡單，因為世上沒有任何一個安全解決方案，足以100%解決現今與未來所有風險，面對發展方興未艾的物聯網應用，欲妥善管理如此大的不確定性，「強力限縮存取權限」無疑是最理想的做法。

此外，類似像發電廠等以往走封閉路線、如今開始聯網(基於智慧電力調度)的關鍵基礎設施，由於關鍵性非同小可，完全不容許一絲一毫遭到駭客染指，故防護措施必須更加嚴謹；著眼於此，有業者開始援引Waterfall單向網路安全閘道器，形塑一種訴求「實體網路隔離」的解決方案。

據悉，現階段面對關鍵維運作業資料即時交換需求，意欲防止遭受網路攻擊，企業通常採取兩種做法。一是藉由防火牆，將該網路區域劃分成一個隔離的網路環境，接著運用防火牆規則來限制箇中存取行為，然而此做法的疑慮，在於隔離與非隔離網路環境的實體層依然相通，倘若防火牆規則有所疏漏，仍可能導致兩個網路環境的界線趨於模糊。另一做法，則是直接以實體隔離方式，切斷機敏網路區段的對外通訊，但此舉將對內外網資料交換構成阻礙，這時企業只好以可攜式儲存裝置來滿足交換需求，反而導致追蹤與稽核不易，衍生更大風險。

透過單向網路安全閘道器，則迫使任何資料僅能從TX Gateway複寫到RX Gateway，完全杜絕了任何反向通訊的可能性，如此一來，駭客欲利用傳統三向交握機制的盲點，從中找尋可供切入的縫隙，勢將鎩羽而歸。