补足网络可视化能力 接续推动OT网安升级
- DIGITIMES企划/DIGITIMES企划
因AI/ML、云端、大数据等技术兴起,对工业生产可望带来OEE提升等效益,促使OT逐渐贴近IT、并趋于融合,因而衍生两项难题,其一是如何管理日益复杂的网络基础设施,其次为如何处理OT网络安全议题。
四零四科技(Moxa)工业信息安全解决方案部产品行销经理郭彦徵表示,综观OT工业现场样貌,有几个显着特色,首先同时存在着以太网络、Wi-Fi、串行网络及I/O等多种设备通讯界面,其次还有Modbus、EIP等各类传统通讯协定,为了转换成为适合IT系统的数据格式,故采用越来越多转换器,这些设备运算力不足、多半不做加解密,难免徒留攻击破口。
以往谈到IT网安,首要之务便是实行防毒、应用控制等端点防护措施,但主要偏向Windows设备;反观OT设备多采用嵌入式系统,拥有特殊韧体和通讯协定,因而普遍不适用传统IT防护模式。尤其比较IT与OT网安防御重点,前者致力防堵数据外泄,后者首重可用性,若有导致产线停机疑虑、宁可不做网安,两者着实大不相同。
「以OT现场最重要的三项设备SCADA、HMI及PLC来看,皆有各自的问题,以致无法安装端点防护系统。」郭彦徵说,以疫情做比喻,有些人体质不适合接种疫苗,就需要佩戴口罩,所以考量点应从端点防护转向网络防护,透过OT网络/网安监视、OT NGFW、OT Firewall、OT Switch等设施,加强守护OT现场的弱点环节。
然而不论网安的实施模式再怎麽简单,再怎麽标榜不影响产线运作,多数用户仍有疑虑,系因当前OT现场大多未做网络管理,连工业交换器的部署位置都浑然不知,因而难以接受在进行设备联网后、就直接跳一级做网安;毕竟不知道现今网络长什麽样子,就很难正确布建防火墙、IPS或NGFW等网安设备。
所以郭彦徵建议在推动OT网安前,应先建立网络管理机制,以厘清OT现场的真实样貌。但需要留意的,OT与IT的网络管理考量有所差异,只因OT现场有许多设备并非传统网络交换器,而是I/O或Converter,这些设备一样需要被纳管,如此才能落实资产盘点,达到网络设备网安可视化。他进一步解释,Moxa依循IEC-62443工业网安标准,便于用户透过其MXview网络管理中的安全精灵、迅速设定网安防护等级,后续再搭配颜色标示,让工程人员易于掌握网络设备的网安状态。
做好网络管理后,接着便能着手升级网络网安,可藉由三个方向加以落实。一是将工业IPS设置于关键设备前,协助过滤有害信息,但需留意OT现场仅能容许2~5秒的Timeout,因此IPS须有能力压缩过滤时间。二是借助工业NGFW落实大范围的产线实体隔离。至于第三步,则是透过网安监控/管理系统,达到攻击事件可视化、攻击事件记录等多重目的。Moxa即藉由上述三步骤,逐步完善OT网安环境。
- 练就可视化与零信任基本功 决胜OT网安攻防战
- 依国际标准制定OT管理架构 逐步落实永续网安治理
- 布建端到端自动学习与检查机制 实现OT零信任防御
- Flash内建保护、侦测及还原机能 奠定IoT安全基石
- 补足网络可视化能力 接续推动OT网安升级
- 透过行为分析模式 有效侦测与防护端点攻击
- 掌握五大步骤 可望提升工控网安防御力
- 跳脱传统VPN 形塑安全无虞的OT线上存取模式
- 善用XDR展现跨维度侦测能力 应付日趋复杂的攻击
- 结合VPN、WAN与云端原生网安 思科SASE驱动安全数码转型
- 横跨多云管理流量与安全 彻底实践统一应用交付
- 全面汇集OT网络与设备信息 建立完整工控网安视图
- 台北市政府强化网安治理 有效落实曝险最小化