善用物联网安全方案 让黑客无机可乘 智能应用 影音
EVmember
Event

善用物联网安全方案 让黑客无机可乘

  • DIGITIMES企划

随着工厂内部机台设备走向IP通讯化,固然有助于拓展诸如线上除错、预知保养等进阶智能应用,但同时也开始接触网络恶意攻击,亟需透过防火墙扞卫工业网络安全。Flow Control
随着工厂内部机台设备走向IP通讯化,固然有助于拓展诸如线上除错、预知保养等进阶智能应用,但同时也开始接触网络恶意攻击,亟需透过防火墙扞卫工业网络安全。Flow Control

在物联网热潮延烧下,接续繁衍工业4.0、Bank 3.0、金融科技(FinTech)与零售4.0等崭新的产业浪潮;若以物联网网安议题而论,尤其以工业4.0跳跃幅度最大,只因制造业过往采用封闭的序列通讯协定,尚可忽视安全课题无妨,如今走向IP通讯化,即需面对从零分到满分的快速进化需求。

不可讳言,从以往各自独立运作的系统,迈入万物皆可互联的物联网时代,其间转变确实相当剧烈,而且这般的变革,对于不论是企业竞争力、人类生活品质,都可谓美事一桩,此乃由于,经由物联网装置所产生数据的分析探勘,可望从中挖掘宝贵的信息,一旦加以善用,将能提升企业组织运作效率,连带强化营运竞争力,同时有助于促使人类生活更趋精采多姿。

尽管从过去一座座「筒仓(Silo)」(意指独立封闭的系统架构),迈入万物互联新局,确实可望触发无穷效益,但在转折过程中,不乏有严峻挑战亟待面对,最显着的考验,无疑正是信息安全,主要是由于,过去筒仓采用自成一格的通讯协定,鲜与外界沟通,黑客对这些封闭语言一无所知,所以无从出手制造任何安全威胁,今天工厂设备走向IP通讯化,不再是与世隔绝的筒仓,至此情势出现大幅逆转。

以现今热门的工业4.0议题为例,制造业导入工业物联网后,使以往蜷缩在一个个不同筒仓里头的机台设备,开始试图藉助工业界标准语言,与外面的世界沟通,沟通的对象不仅含括异质设备、制造执行系统(MES),同时还有更上层的ERP、云端大数据平台,旨在满足线上监控与预防保养等需求;但在追求创新突破之际,也背负「门户洞开」的安全风险。

筒仓走向开放  安全挑战接踵而至

曾有厂务主管透露,伴随工厂设备开始联网,诸如跳电、机器故障等意外插曲,似乎也跟着增多,虽然增加的幅度看似不大,造成的停机时间也不算长,但制造企业对于产线的持续高效率运转,一向极为倚重,只因为停机时间与次数一旦增加,轻则影响产能、压低稼动率,重则导致制程整个报废,让原物料付之一炬,因而蒙受可观财务损失,甚至造成交期延宕、冲击商誉,后果着实不容小觑;深究个中原因,不乏肇因于病毒或恶意程序而引发机台设备故障之例,更可怕的是,如果诸如此类现象一再发生,合理怀疑已有黑客侵门踏户,此时企业便需提高警觉,检视是否有机密智财出现外泄。

意欲清除这些负面因子,则负责企业操作技术(Operation Technology;OT)的人士,实有必要向执掌信息科技(IT)事务的同仁看齐,认真考虑部署相关安全防护设备,从VPN与防火墙的架设作为起步;众所周知,防火墙并非新颖技术,迄今发展历程已超过20年,而且防护实力日益强大,但问题是,制造业者欲以一般商用VPN防火墙系统保护工业控制网络,显然并不适合。

业者解释,一般常见商用防火墙,擅于守护Intranet之内的服务器、个人电脑等众多运算节点,也成为这些节点通向网际网络的唯一出入闸口,因进出流量大,所以防火墙不可能逐一拦阻并详查每个封包,仅能藉由封包来源与目的地来验证其合法与合理性;反观工业控制网络,与Intranet情况大异其趣,内含的设备数量相对有限,传输的数据量也较小,不过单一封包所蕴含的价值,却远比Intranet进出流量要大上许多,所以单凭商用防火墙查看封包位址与去向之模式,肯定不敷需求,必须导入工业用防火墙,藉以识别诸如EtherCAD、Profinet等工业通讯协定,理解不同机台设备惯用的沟通话术,从而深入剖析与细腻检查数据流量,如此才能实时察觉异常现象。

善用工业协定防火墙  有助遏止黑客进犯

比方说,假设工厂内部所采用的机械手臂,按常理所需执行的作业步骤,依序包含了A、B、C、D、E等五道程序,此时如果出现黑客入侵现象,透过恶意程序的施放,意图控制机械手臂将执行步骤改为A、B、C、D、F,等于更动了个中一道程序;对于这般变化,商用防火墙理当难以察觉,只因这类系统对于工业通讯协定的辨认能力不足,反观工业防火墙,即可在第一时间断然制止,不允许有人擅自更改控制规则。

事实上也有少部份商用防火墙,在成立之初,便誓言跳脱单纯的TCP/IP协定,养成足以解析所有网络流量内容的实力,如今得以朝向物联网安全、工业4.0安全等领域靠拢,譬如Palo Alto Networks便是一例。制造企业若将Palo Alto Networks闸道设备布建于工业控制网络,即使面对「Modbus Read Only」(仅容许读取Modbus端信息、不允许写入)的规则条件,也有能力加以识别,并且落实执行,单凭这点,便与一般商用防火墙产品大不相同。

另一方面,Palo Alto Networks面对工业控制网络的防护重任,不管守护对像是工业电脑、SCADA或ICS(工业控制系统),都坚守零信任原则,是假定所有内部使用者都是不安全的,因以每个同仁的一举一动,都必须完全符合既定行为规范,不容许有任何差池,所以万一有任何使用者节点,不慎遭黑客植入恶意程序,意图做出超乎规范的行径,只要踏出第一步,必定立即遭到Palo Alto Networks系统遏阻。

藉助单向闸道器  实现实体网络隔离

Intel Security(原名McAfee)也是甚早跨足物联网安全防护的业者,其标榜以白名单为管控基础,与前述零信任架构颇有异曲同工之妙;所谓白名单,主要是透过一套动态白名单机制,用以锁定物联网装置的原始软件设定,避免被纳管的装置擅自执行未经授权的程序码,借此确保装置的安全性;之所以必须这麽做,道理其实很简单,因为世上没有任何一个安全解决方案,足以100%解决现今与未来所有风险,面对发展方兴未艾的物联网应用,欲妥善管理如此大的不确定性,「强力限缩存取权限」无疑是最理想的做法。

此外,类似像发电厂等以往走封闭路线、如今开始联网(基于智能电力调度)的关键基础设施,由于关键性非同小可,完全不容许一丝一毫遭到黑客染指,故防护措施必须更加严谨;着眼于此,有业者开始援引Waterfall单向网络安全闸道器,形塑一种诉求「实体网络隔离」的解决方案。

据悉,现阶段面对关键维运作业数据实时交换需求,意欲防止遭受网络攻击,企业通常采取两种做法。一是藉由防火墙,将该网络区域划分成一个隔离的网络环境,接着运用防火墙规则来限制个中存取行为,然而此做法的疑虑,在于隔离与非隔离网络环境的实体层依然相通,倘若防火墙规则有所疏漏,仍可能导致两个网络环境的界线趋于模糊。另一做法,则是直接以实体隔离方式,切断机敏网络区段的对外通讯,但此举将对内外网数据交换构成阻碍,这时企业只好以可携式储存装置来满足交换需求,反而导致追踪与稽核不易,衍生更大风险。

透过单向网络安全闸道器,则迫使任何数据仅能从TX Gateway复写到RX Gateway,完全杜绝了任何反向通讯的可能性,如此一来,黑客欲利用传统三向交握机制的盲点,从中找寻可供切入的缝隙,势将铩羽而归。