禾伸堂藉助Nozomi 实时监测OT网安威胁

Nozomi Networks的可视化特性提供了一目了然的网络拓扑图。

伴随工业4.0浪潮席卷，各制造业厂商逐步推动OT和IT网络融合，导致越来越多恶意程序流窜到OT场域，使工业控制系统（ICS）网安议题转趋严重。

长年聚焦生产利基型积层陶瓷电容（MLCC）的禾伸堂企业，五年前投入IT与OT融合，陆续展开诸多自动化、智能化专案，同时高度重视OT网安课题，积极研究相关防护方案；历经严谨评估和测试，于2020年底拍板定案，引进精诚信息代理的Nozomi Networks网安与可视化方案。

禾伸堂信息中心资深副理彭志泓表示，2016年禾伸堂经营高层决定付诸实践工业4.0，亟欲找到合适「中间人」协助串接IT和OT系统，并经信息中心协理郭建中询问过去长期服务于IT团队的他，因而决定挺身承担这项挑战。

彭志泓历经多时摸索与磨合，得以熟悉OT环境，理解MLCC复杂制程中，许多环节仰赖操作员（OP）以人力做衔接，例如手动将参数Key-in到生产机台电脑，或每隔1~2小时抄录一次机台状态信息；心想若OP出现手误，恐对产线造成影响，因而推动优化措施，改由机台向MES询问参数到机台电脑，并与团队主任刘伦华另行开发监控系统，主动监测所有机台状态。

深具IT管理历练的他，认为OT网安防护水平急待提升，否则可能酿成网安事件，轻则产线停摆、重则工安意外。综观MLCC制程，从调浆粉、制薄带、印刷电路、叠层、压实到切割，接着进入烧除，万一此时黑客入侵控制烧结炉，使之温度持续飙高，即可能造成爆炸危险。

为此彭志泓着手评估OT网安方案，发现多数产品由IT演化而来，对底层工控协定的识别能力不足，再者都定位为OT领域的IDS入侵侦测系统，虽可侦测恶意行为发生，但仅限于此，无力呈现更深层内容。

由工控安全技术顾问夥伴汉昕科技推荐的Nozomi Networks方案，明显与其他产品有所区隔，首先它对工业资产与网络协定具备更准更深的识别能力，能看见更底层信息，从而迅速将所有事件加以关联、便于后续分析 ; 其次Nozomi的可视化特性提供了一目了然的网络拓扑图，显示不同设备之间的沟通行为及数据流，并以绿、橘、红等颜色标示，且用户可立即Drill Down探究个中细节。

再者Nozomi Networks强调「非侵入式」监测，仅被动收集信息，一次就能从封包内容看出深层端倪，完全不干扰OT ICS的运作。Nozomi Networks除了网安监控外，也能执行营运状态监测。不只能洞察威胁入侵，还可实时清楚点出哪些控制指令遭到擅改或数值发生偏差、哪些连线行为异于Baseline，满足OT场域安全性及高可用性的需求。

更特别的，彭志泓由于对此解决方案颇感兴趣，争取延长POC期限，有幸获得总代理精诚信息居间协调，获得Nozomi Networks原厂首肯，让禾伸堂拥有足够时间，好整以暇与原厂、工控安全技术顾问夥伴汉昕科技携手合作，将侦测与告警机制调校到最佳状态。

基于上述缘由，禾伸堂最终选定Nozomi Networks，之后还获得意外惊喜，只因它在2020年改版后新增威胁情资(Thread Intelligence)比对功能，也强化原有资产识别功能(Asset Intelligence)、将IoT设备纳入识别范围，让禾伸堂更能化被动为主动，透过实时监控与分析，立即掌握OT场域各种异状，例如：黑客入侵、马达转速失常、烧结炉温度过高等等。