TCG
活动+
 

布局工业网络安全 补强OT环境的防护缺口成新趋势

四零四科技(Moxa)亚太区事业处工业物联网解决方案处产品营销经理郭彦征。

随著工业物联网(IoT)、工业 4.0、智能工厂浪潮席卷,愈来愈多制造型企业投入数码转型,让OT与IT介接,导致生产环境从封闭走向开放,迫使OT业者开始正视网络安全(Cyber Security)议题,但不少OT安全专案进行得不甚顺利。

针对OT资安议题,四零四科技(Moxa)亚太区事业处工业物联网解决方案处产品营销经理郭彦征表示,OT安全之所以不易实现,系因一些盲点所致,如OT人员经常求助 IT团队协助设计安全架构,怎料IT做的每项规划,不论灌防毒软件、架设IDS等等,皆迫使产线停机,频频踩到OT的红线(最重视产线可用性),导致专案卡关;再者IT偏重Windows系统防护,对于象是Modbus协议、Serial-to-Ethernet(S2E)模块…等等陌生环节,缺乏对应安全规划。

 点击图片放大观看

IT 和 OT 的巨大差异。

资安防护成熟度。

段标: 解决资安问题 OT与IT思维大不同

鉴于资安越来越重要,对资安规划向来较少接触的OT管理者,往往只能向IT业者求救。但IT与OT系统的建置目标有许多不同,因此许多IT资安方案、设备往往难以顾及OT系统所需。例如OT系统以可用性为主,OT管理者目标尽可能提高稼动率,减少设备停机时间,以使产能最大化。

反观IT资安系统以信息的机密性及完整性为重, 而可用性为副。因此IT资安方案导入时常需要大幅修改网络配置并进行长时间的测试,产线停止运行的压力往往造成OT人员无法顺利导入资安方案。另一方面而且许多IT资安方案都为IT专业人员设计,例如: 导入IT使用的入侵侦测系统(IDS)针对网络上可疑活动进行侦测、记录与分析, 如OT人员无法有能力进一步处理记录及分析的结果,往往造成大量人员及时间的投入,但无法达成方案的有效性。

IT方案无法顺利导入,又找不到OT资安专属的解决方案, 成为制造业者现在的困境。然而现今工厂早已导入大量连网设备及OT/IT系统集成的自动化控制系统,OT管理者只能让系统在极高风险的隐忧中持续运行。而许多尚未导入自动化或智能制造的业者则在资安考量下,往往于评估阶段就先停下观望,等待最佳解决方案。

由于Moxa深耕工业自动化市场30余年,理解用户对于架构或配置的更动,确实多所顾虑,所以比IT更擅于拿捏配置与停机之间的最佳平衡,是为「软实力」;另 Moxa投资IEC 62443多年,至今发展一系列符合此规范的产品线,涵盖 S2E、I/O、协议转换器、无线通讯、交换器、安全路由器等完整项目,齐全度堪称业界少见,是为「硬实力」。

依循IEC 62443-4-2,打造业界最完整产品线

郭彦征指出,在IT资安世界,已有不少成熟规范与理论基础,惟套用到OT环境经常格格不入;譬如 ISO 27000尽管涵盖网络布建、系统布建、人员安排等等众多资安构面,但对于工业应用环境格外重视的产品 / 元件层级安全议题,明显有所欠缺。

为此国际电工委员会锁定工业级应用的网络防护,专门制定IEC 62443规范,其中列出底层产品设计应遵循之七大准则,要求设备本身需具有办识及验证控制、使用者控制、资料完整性、机密性、限制资料流、适时回应事件、网络信息可用性等机制。而Moxa便依据IEC 62443-4-2标准打造完整产品组合,帮助用户提升OT网络基础系统的安全防护。

谈及网络安全成熟度,业界经常引用一个由五阶梯拾级而上的模型,象征企业从无到有布建防护架构的过程,分别历经Secure、Defend、Contain、Manage及 Anticipate不同阶段;最高阶部分涵盖威胁情资、异常侦测等先进系统,IT厂商总是建议工业用户从这边着手做起,忽略掉OT普遍缺乏资安知识,即使从先进系统看到红灯警示,也不知下一步如何因应,反而无法发挥成效。

考量及此,Moxa习惯辅导客户从最初阶「Secure」出发,先做好实体防护、设备强化(Device Hardening)等基本功,再循序推进到「Defend」、「Contain」等不同阶层,接连实现存取控制、连接埠安全(Port Security)、资料加密等功能,一步步堆叠上去。而Moxa深知OT客群对资安的理解能力不同于IT,故在开发基于IEC 62443-4-2 标准的防火墙、VPN等产品时,特别采取Web页面设计、舍弃Command-Line模式,以期帮助OT人员更快上手,有助于把网络防护做得更完整扎实。

同时,Moxa针对管理面、服务面有所布局,一方面透过NMS网络管理软件,便于用户集中管控所有设备、确保个个发挥预期防护功能;二方面成立CSRT快速反应小组,持续研究安全漏洞,评估这些漏洞对Moxa内部产品开发团单位、外部客户的影响性,从而采取适当因应对策。

众所皆知,Moxa与趋势科技合资设立TXOne Networks,希冀藉由双方的优势互补,致力解决IIoT应用环境的资安需求;共同开发的新产品- EtherGuard预计于9月推出新产品,为一项外挂装置,用于保护一些已经定型、很难加入安全功能的生产设备或终端(如电表)。展望今后,针对新一代防火墙、新一代维运管理方式等进阶议题,Moxa都有Roadmap规划,足以持续协助用户提升安全防护水平。

  •     按赞加入DIGITIMES智能应用粉丝团
更多关键字报导: MOXA 四零四科技 资安 物联网