2017年日本知名汽車製造廠被勒索軟體侵入、2018年半導體機台被病毒感染,伴隨工業4.0而來的資安危機,將成為製造業難以迴避的課題,而唯有透過適合的OT解決方案,才能讓製造系統的效能與安全兼具。
工業4.0掀起全球製造業智慧化趨勢,工業物聯網被視為製造領域未來的核心骨幹。工業物聯網的運作結合企業中IT與OT兩大系統,讓製造系統的資訊可被最大化應用,進而提升系統效能,不過四零四科技(Moxa)亞太區物聯網解決方案處產品行銷經理郭彥徵表示,這兩大系統各有高度專業,整合本來就不容易,而整合後也須面臨過去自動化時代未曾遇過的各種問題,工業資訊安全又是其中之重,系統一旦出現漏洞,所產生的傷害有可能遠高於現在的IT系統資安事件。
智慧製造時代 OT系統迎來新挑戰
郭彥徵指出OT製造系統的需求與一般企業IT平台極為不同。OT系統對於穩定度、即時性有高度要求,設備選用需考量是否能在大量電磁干擾的環境下穩定使用,甚至工業系統內存在許多特殊的通訊協定(Protocols),這些通訊協定都是鮮少在IT系統中被使用的。
IT系統從網際網路風行以來,早已逐步建立了完整的資安機制。相較之下,過往OT製造系統僅需於製造現場運作,並不須要與外界系統鏈接,此封閉架構讓工業系統專注於本身運行,帶來最大化生產效能的好處。也因為系統的封閉性,駭客相對不熟悉工控系統,且很少聽聞有針對工控系統設計的病毒,導致OT工程師認為安全無虞而較缺乏資安意識。但隨著自動化的發展與智慧製造的技術突破,愈來愈多的設備開始連網,製造系統已不如過去OT工程師想像中的封閉,且工業物聯網的架構中,無論是連上公有雲或私有雲,工廠進行設備及資料可視化、可預測及遠端管理,使IT與OT系統的整合成為必然趨勢。除了OT應用及系統環境的改變,更令人擔心的是攻擊者已經開始熟悉工控系統的各項設備。OT工程師已不能沈浸在過去的迷思中,認為工控系統是十分封閉且安全的環境。
現今工業設備連網已是存在的事實,OT與IT的整合等於讓製造系統對外開了一道門,除了製造資訊可以出的去,外界資訊也進得來。2010年以來,全球爆發了多起手法高超的網路攻擊,例如瞄準工業控制系統(ICS)網路的攻擊事件,包括震網超級病毒(Stuxnet)和工業毀壞者惡意軟體(Industroyer)。這些攻擊事件提醒著擁有關鍵應用的企業,廠內設施根本無法承受幾秒鐘的停工,否則會對企業營運造成莫大的負面影響。此外,這些事件背後更隱含了網路攻擊的轉變。資安事件已從攻擊Windows/ Linux 平台下的軟體服務 (如:SCADA、HMI),延伸至對於工業設備弱點的針對性攻擊。此外,從美國政府機構展開的「工業控制系統網路緊急應變團隊」(ICS-CERT) 研究指出,關鍵製造業和能源產業所遭受的網路攻擊數量遠高於其他產業。為此 IT和OT控制工程師急需開始共同研擬並部署各種安全措施,確保工業網路安全。
鑒於資安越來越重要,對資安規劃向來較少接觸的OT管理者,往往只能向IT業者求救。但IT與OT系統的建置目標有許多不同,因此許多IT資安方案、設備往往難以顧及OT系統所需。例如OT系統以”可用性”為主,OT管理者目標盡可能提高稼動率,減少設備停機時間,以使產能最大化。反觀IT資安系統以資訊的”機密性”及”完整性”為重,而”可用性”為副。因此IT資安方案導入時常需要大幅修改網路配置並進行長時間的測試,產線停止運行的壓力往往造成OT人員無法順利導入資安方案。另一方面而且許多IT資安方案都為IT專業人員設計,例如: 導入IT使用的入侵偵測系統(IDS)針對網路上可疑活動進行偵測、記錄與分析,如OT人員無法有能力進一步處理記錄及分析的結果,往往造成大量人員及時間的投入,但無法達成方案的有效性。
IT方案無法順利導入,又找不到OT資安專屬的解決方案,成為製造業者現在的困境。然而現今工廠早已導入大量連網設備及OT/IT系統整合的自動化控製系統,OT管理者只能讓系統在極高風險的隱憂中持續運作。而許多尚未導入自動化或智慧製造的業者則在資安考量下,往往於評估階段就先停下觀望,等待最佳解決方案。
理解OT產業特點有效解決資安問題
專業問題專業解決,OT問題當然也要由OT專家來解決。郭彥徵表示,現在還沒有任何方法或途徑,可以100%避免網路攻擊或人為疏失的資安風險。然而,最適的工業資安解決方案必需滿足OT人員的考量,廠商需深入了解OT網路架構的安全弱點,提出從點到線的”縱深防禦” 措施,並落實最佳實作,立即提升網路安全性,避免受到惡意攻擊的機會。
首先企業內部應確保工程師充分理解工業網路安全的重要性,以及企業(IT)網路與工業(OT)網路的差異,並了解如何運用各項方案保護工業網路。網路威脅隨時可能發生,基於工業設備類型、功能各異,不如Windows/Linux有統一平台,可尋求設備廠商依其設備特性提供資訊安全方案。
四零四科技(Moxa)是工業設備連結與網通市場領導廠商。自1987年成立,32年以來就只做工業設備通訊這件事,旗下產品早已行銷各國,技術也一直是產業領先者之一。長期聚焦製造業的四零四科技累積了大量OT系統經驗,理解OT管理者的需求與考量。其在工業資安解決方案涵蓋了設備安全防護、網路架構安全防護、及網路安全管理等3大層面。在設備安全方面,四零四科技提供一系列符合國際工業控制安全標準IEC-62443的產品,產品依IEC-62443規範提供安全防護功能,如序列網路轉換器、通訊閘道器、網路設備等均含其中。在網路架構安全防護上,相關產品貼近對資安功能相對不熟悉的OT人員,如採用網頁點選介面配置 實體乙太網口鎖定、ACL(Access Control List;存取控制安全機制)、Firewall (防火牆)等資安功能,讓OT人員不需學習如何使用命令行界面(Command-Line Interface) 即可管理網路行為,防堵病毒或有心人士的進入。最後於網路安全管理,四零四科技除了提供網路可視化方案,更提供資安確認 (Security Check)的功能,確保網路運行順暢且設備資安功能均已啟用並達到IEC-62443標準。
隨著創新技術的導入,工業4.0 及智能製造的確帶來生產效率及效益的提升,但同時也帶來新的資安隱憂,因此四零四科技除現有的資安方案外,將進一步拓展針對工業控制系統(ICS)安全布局。從現在的網通設備、網路架構層、及管理等3大面向,延伸到OT設備系統層面的保謢。以提供高安全、高效能的設備連網方案為首要任務,四零四科技更與IT領域的資安專家趨勢科技合資成立TXOne Networks,共同開發工業入侵防護 (Industrial IPS) 產品,目前此產品已在測試版階段,可讓營運技術(OT)環境俱備偵測及攔截軟體漏洞攻擊的能力,並提供虛擬修補防護與支援通訊協定白名單來彌補相對薄弱的認證機制。該產品於上個月已在日本IoT/M2M Expo展會中亮相,引發熱烈關注。
隨著創新技術的導入,工業4.0 及智能製造的確帶來生產效率及效益的提升,但同時也帶來新的資安隱憂,因此四零四科技除現有的資安方案外,將進一步拓展針對工業控制系統(ICS)安全布局。從現在的網通設備、網路架構層、及管理等3大面向,延伸到OT設備系統層面的保謢。以提供高安全、高效能的設備連網方案為首要任務,四零四科技更與IT領域的資安專家趨勢科技合資成立TXOne Networks,共同開發工業入侵防護 (Industrial IPS) 產品,目前此產品已在測試版階段,可讓營運技術 (OT) 環境俱備偵測及攔截軟體漏洞攻擊的能力,並提供虛擬修補防護與支援通訊協定白名單來彌補相對薄弱的認證機制。該產品於上個月已在日本IoT/M2M Expo 展會中亮相,引發熱烈關注。
近年來製造業資安事件頻傳,及因應國內資安管理法規上路,不少業者已開始關注工業資安的議題,紛紛詢問解決方案,四零四科技持續不斷專注提供更安全的網路及設備防謢解決方案,全方位防堵外界的惡意攻擊。協助客戶在OT與IT系統發揮整合效能的同時,確保整體架構及工業控制系統與設備的安全性,落實智慧化願景。
圖二 : IT 和 OT 的巨大差異四零四科技工業亞太區物聯網解決方案處產品行銷經理郭彥徵表示,資安是建置工業物聯網的重要課題。(攝影/林鼎皓) |
|