结合设备网通网安、管理系统支持服务 消弭五大OT威胁
- DIGITIMES企划
-
随着工业4.0、工业物联网(IIoT)、工厂自动化等浪潮席卷,促使从前泾渭分明的OT与IT系统如今频繁介接,让OT环境不再封闭,因而开始滋生潜在风险;四零四科技(Moxa)亚太区事业处工业物联网解决方案处高级工程师郭彦徵归纳,这些OT风险来自几个大面向。
首先是「OT的灰色地带」,亦可称「Shadow OT」,系因OT网络架构简单、网安设计不完整,导致工业现场有许多设备或连线未被控管,经常潜藏漏洞、易于被查找到,让黑客无需动用高深技巧,便能轻易入侵得逞。其次是「不安全的身份认证」,IT系统设计上皆已导入权限管理概念,OT则不然,只求系统连接得上、系统与系统间能交互沟通,即可满足生产需求,因此不时可见工程师自带电脑到现场,一旦连上网便能存取整个OT网络。
第三是「不安全的协议」,许多OT通讯协议早在20、30年前问世,当初从Series考量而设计,未涵盖加密、身份确认等要素。第四是「缺乏保护的设备」,OT设备本身的防护相对薄弱,外围防护措施也少,起因是早期OT设备所处环境相对封闭隔离,不太需要强化外部入侵防护,故IT世界常见的防火墙、IPS、防毒...种种措施,OT世界鲜少有对应方案。最后是「不安全的第三方软件」,不少工厂常有受信任的第三方供应商或维护者进出,他们所带入的装置或软件,可能成为散播恶意软件的媒介。
「不只OT设备存在风险,OT控制系统也有不少弱点,」郭彦徵说,一来OT系统搭配的DHCP或DNS服务器容易沦为攻击目标,二来许多OT系统采用老旧OS,已无对应Patch可供修补,自然无力承受日益精进的漏洞攻击。
布局四层防御,从点、线到面绝阻网安风险
郭彦徵进一步指出,Moxa不仅富含30年工业网通设备研发经验,深切了解OT环境,也意识到OT网安风险不断升高,于是由底端而上依序布局「设备网安」、「通讯网络网安」、「设备网安管理」及「网安支持团队」等四层防御机制。
针对设备网安,Moxa一方面遵循IEC 62443-4-2规范打造S2E、I/O、协议转换器、无线通讯、交换器...等等各类设备,使之内建基础的防护能力,二方面与TXOne Networks合力催生「EtherGuard」IPS/IDS,帮助一些无法上Patch或更新韧体的老旧设备,从外围阻绝攻击流量或提供虚拟补丁。
针对通讯网络网安,网通起家的Moxa一向重视网通的网安处理,已推出附带网口实体控管、ACL、封包分析、VPN等网安功能的网通设备,如今从另一面向出发,与TXOne合作发展出附带网络功能的「EtherFire」次时代防火墙,内含IPS/IDS、深度封包检测(DPI)、应用程序白名单等丰富网安功能,并可支持与筛选多样性工业协议。
至于设备网安的管理,Moxa先推出MXview工业级网管软件,协助用户综览网络的连线与行为、设备状态、网络设备的安全等级,近期再以网安为出发点推出MXsecurity管理系统,让管理者一目了然掌握网络的网安状态、各端点设备的网安设定及特徵码更新状况。
有关网安支持团队,Moxa设立CSRT快速反应小组,专责研究网安漏洞,并依据漏洞与各项Moxa设备的相关性,为用户提供完整的处理建议,此外严格要求自身的产品开发流程须依循网安准则,及早对源码、韧体进行完整检测,预先补强产品的潜在漏洞。
未来制造,云端、物联、数据蒐集已成关键。但是,当生产信息出得去、外部攻击进得来……您知道您的工厂,安全吗?8/8登场的网安论坛,活动主题订为「保障IIoT安全,加速智能制造」,邀请中油信息部经理分享工控系统安全管理经验、工研院资通所专家探讨高科技制造业网安标准,还有重量级业者趋势、研华、四零四、精品…提出最新市场观察与解决方案,全程参与听众有机会抽中PS4一台!免费活动,欢迎各界报名参加。
