布局工業網路安全 補強OT環境的防護缺口成新趨勢 智慧應用 影音
D Book
繁體版 简体版
評估申請
快捷顧問
登入
236
AIEXPO2024
member
熱門關鍵字
#面板
#MIPS CPU
#記憶體
#電動車
#AI PC
#NB
#半導體
#台積電
#伺服器
#AI

布局工業網路安全 補強OT環境的防護缺口成新趨勢

四零四科技(Moxa)亞太區事業處工業物聯網解決方案處產品行銷經理郭彥徵。
四零四科技(Moxa)亞太區事業處工業物聯網解決方案處產品行銷經理郭彥徵。

隨著工業物聯網(IoT)、工業 4.0、智慧工廠浪潮席捲,愈來愈多製造型企業投入數位轉型,讓OT與IT介接,導致生產環境從封閉走向開放,迫使OT業者開始正視網路安全(Cyber Security)議題,但不少OT安全專案進行得不甚順利。

針對OT資安議題,四零四科技(Moxa)亞太區事業處工業物聯網解決方案處產品行銷經理郭彥徵表示,OT安全之所以不易實現,係因一些盲點所致,如OT人員經常求助 IT團隊協助設計安全架構,怎料IT做的每項規劃,不論灌防毒軟體、架設IDS等等,皆迫使產線停機,頻頻踩到OT的紅線(最重視產線可用性),導致專案卡關;再者IT偏重Windows系統防護,對於像是Modbus協議、Serial-to-Ethernet(S2E)模組…等等陌生環節,缺乏對應安全規劃。

IT 和 OT 的巨大差異。

IT 和 OT 的巨大差異。

資安防護成熟度。

資安防護成熟度。

段標: 解決資安問題 OT與IT思維大不同

鑒於資安越來越重要,對資安規劃向來較少接觸的OT管理者,往往只能向IT業者求救。但IT與OT系統的建置目標有許多不同,因此許多IT資安方案、設備往往難以顧及OT系統所需。例如OT系統以可用性為主,OT管理者目標儘可能提高稼動率,減少設備停機時間,以使產能最大化。

反觀IT資安系統以資訊的機密性及完整性為重, 而可用性為副。因此IT資安方案導入時常需要大幅修改網路配置並進行長時間的測試,產線停止運行的壓力往往造成OT人員無法順利導入資安方案。另一方面而且許多IT資安方案都為IT專業人員設計,例如: 導入IT使用的入侵偵測系統(IDS)針對網路上可疑活動進行偵測、記錄與分析, 如OT人員無法有能力進一步處理記錄及分析的結果,往往造成大量人員及時間的投入,但無法達成方案的有效性。

IT方案無法順利導入,又找不到OT資安專屬的解決方案, 成為製造業者現在的困境。然而現今工廠早已導入大量連網設備及OT/IT系統整合的自動化控製系統,OT管理者只能讓系統在極高風險的隱憂中持續運作。而許多尚未導入自動化或智慧製造的業者則在資安考量下,往往於評估階段就先停下觀望,等待最佳解決方案。

由於Moxa深耕工業自動化市場30餘年,理解用戶對於架構或配置的更動,確實多所顧慮,所以比IT更擅於拿捏配置與停機之間的最佳平衡,是為「軟實力」;另 Moxa投資IEC 62443多年,至今發展一系列符合此規範的產品線,涵蓋 S2E、I/O、協議轉換器、無線通訊、交換器、安全路由器等完整項目,齊全度堪稱業界少見,是為「硬實力」。

依循IEC 62443-4-2,打造業界最完整產品線

郭彥徵指出,在IT資安世界,已有不少成熟規範與理論基礎,惟套用到OT環境經常格格不入;譬如 ISO 27000儘管涵蓋網路佈建、系統佈建、人員安排等等眾多資安構面,但對於工業應用環境格外重視的產品/元件層級安全議題,明顯有所欠缺。

為此國際電工委員會鎖定工業級應用的網路防護,專門制定IEC 62443規範,其中列出底層產品設計應遵循之七大準則,要求設備本身需具有辦識及驗證控制、使用者控制、資料完整性、機密性、限制資料流、適時回應事件、網路資訊可用性等機制。而Moxa便依據IEC 62443-4-2標準打造完整產品組合,幫助用戶提升OT網路基礎系統的安全防護。

談及網路安全成熟度,業界經常引用一個由五階梯拾級而上的模型,象徵企業從無到有佈建防護架構的過程,分別歷經Secure、Defend、Contain、Manage及 Anticipate不同階段;最高階部分涵蓋威脅情資、異常偵測等先進系統,IT廠商總是建議工業用戶從這邊著手做起,忽略掉OT普遍缺乏資安知識,即使從先進系統看到紅燈警示,也不知下一步如何因應,反而無法發揮成效。

考量及此,Moxa習慣輔導客戶從最初階「Secure」出發,先做好實體防護、設備強化(Device Hardening)等基本功,再循序推進到「Defend」、「Contain」等不同階層,接連實現存取控制、連接埠安全(Port Security)、資料加密等功能,一步步堆疊上去。而Moxa深知OT客群對資安的理解能力不同於IT,故在開發基於IEC 62443-4-2 標準的防火牆、VPN等產品時,特別採取Web頁面設計、捨棄Command-Line模式,以期幫助OT人員更快上手,有助於把網路防護做得更完整扎實。

同時,Moxa針對管理面、服務面有所布局,一方面透過NMS網路管理軟體,便於用戶集中管控所有設備、確保個個發揮預期防護功能;二方面成立CSRT快速反應小組,持續研究安全漏洞,評估這些漏洞對Moxa內部產品開發團單位、外部客戶的影響性,從而採取適當因應對策。

眾所皆知,Moxa與趨勢科技合資設立TXOne Networks,希冀藉由雙方的優勢互補,致力解決IIoT應用環境的資安需求;共同開發的新產品- EtherGuard預計於9月推出新產品,為一項外掛裝置,用於保護一些已經定型、很難加入安全功能的生產設備或終端(如電表)。展望今後,針對新一代防火牆、新一代維運管理方式等進階議題,Moxa都有Roadmap規劃,足以持續協助用戶提升安全防護水準。


關鍵字
加入已選取到「關鍵字追蹤」 什麼是「關鍵字追蹤」