补足网络可视化能力 接续推动OT网安升级

四零四科技(Moxa)工业信息安全解决方案部产品行销经理郭彦徵表示，在推动OT网安前，应先建立网络管理机制，以厘清OT现场的真实样貌。DIGITIMES摄

因AI/ML、云端、大数据等技术兴起，对工业生产可望带来OEE提升等效益，促使OT逐渐贴近IT、并趋于融合，因而衍生两项难题，其一是如何管理日益复杂的网络基础设施，其次为如何处理OT网络安全议题。

四零四科技(Moxa)工业信息安全解决方案部产品行销经理郭彦徵表示，综观OT工业现场样貌，有几个显着特色，首先同时存在着以太网络、Wi-Fi、串行网络及I/O等多种设备通讯界面，其次还有Modbus、EIP等各类传统通讯协定，为了转换成为适合IT系统的数据格式，故采用越来越多转换器，这些设备运算力不足、多半不做加解密，难免徒留攻击破口。

以往谈到IT网安，首要之务便是实行防毒、应用控制等端点防护措施，但主要偏向Windows设备；反观OT设备多采用嵌入式系统，拥有特殊韧体和通讯协定，因而普遍不适用传统IT防护模式。尤其比较IT与OT网安防御重点，前者致力防堵数据外泄，后者首重可用性，若有导致产线停机疑虑、宁可不做网安，两者着实大不相同。

「以OT现场最重要的三项设备SCADA、HMI及PLC来看，皆有各自的问题，以致无法安装端点防护系统。」郭彦徵说，以疫情做比喻，有些人体质不适合接种疫苗，就需要佩戴口罩，所以考量点应从端点防护转向网络防护，透过OT网络/网安监视、OT NGFW、OT Firewall、OT Switch等设施，加强守护OT现场的弱点环节。

然而不论网安的实施模式再怎麽简单，再怎麽标榜不影响产线运作，多数用户仍有疑虑，系因当前OT现场大多未做网络管理，连工业交换器的部署位置都浑然不知，因而难以接受在进行设备联网后、就直接跳一级做网安；毕竟不知道现今网络长什麽样子，就很难正确布建防火墙、IPS或NGFW等网安设备。

所以郭彦徵建议在推动OT网安前，应先建立网络管理机制，以厘清OT现场的真实样貌。但需要留意的，OT与IT的网络管理考量有所差异，只因OT现场有许多设备并非传统网络交换器，而是I/O或Converter，这些设备一样需要被纳管，如此才能落实资产盘点，达到网络设备网安可视化。他进一步解释，Moxa依循IEC-62443工业网安标准，便于用户透过其MXview网络管理中的安全精灵、迅速设定网安防护等级，后续再搭配颜色标示，让工程人员易于掌握网络设备的网安状态。

做好网络管理后，接着便能着手升级网络网安，可藉由三个方向加以落实。一是将工业IPS设置于关键设备前，协助过滤有害信息，但需留意OT现场仅能容许2~5秒的Timeout，因此IPS须有能力压缩过滤时间。二是借助工业NGFW落实大范围的产线实体隔离。至于第三步，则是透过网安监控/管理系统，达到攻击事件可视化、攻击事件记录等多重目的。Moxa即藉由上述三步骤，逐步完善OT网安环境。