结合设备网通网安、管理系统支持服务 消弭五大OT威胁 智能应用 影音
EVmember
member

结合设备网通网安、管理系统支持服务 消弭五大OT威胁

  • DIGITIMES企划

四零四科技亚太区事业处工业物联网解决方案处高级工程师郭彦徵指出,OT环境长年存在Shadow OT、不安全的身份认证、不安全的协议、缺乏保护的设备,及不安全的第三方软件等五大风险。
四零四科技亚太区事业处工业物联网解决方案处高级工程师郭彦徵指出,OT环境长年存在Shadow OT、不安全的身份认证、不安全的协议、缺乏保护的设备,及不安全的第三方软件等五大风险。

随着工业4.0、工业物联网(IIoT)、工厂自动化等浪潮席卷,促使从前泾渭分明的OT与IT系统如今频繁介接,让OT环境不再封闭,因而开始滋生潜在风险;四零四科技(Moxa)亚太区事业处工业物联网解决方案处高级工程师郭彦徵归纳,这些OT风险来自几个大面向。

首先是「OT的灰色地带」,亦可称「Shadow OT」,系因OT网络架构简单、网安设计不完整,导致工业现场有许多设备或连线未被控管,经常潜藏漏洞、易于被查找到,让黑客无需动用高深技巧,便能轻易入侵得逞。其次是「不安全的身份认证」,IT系统设计上皆已导入权限管理概念,OT则不然,只求系统连接得上、系统与系统间能交互沟通,即可满足生产需求,因此不时可见工程师自带电脑到现场,一旦连上网便能存取整个OT网络。

第三是「不安全的协议」,许多OT通讯协议早在20、30年前问世,当初从Series考量而设计,未涵盖加密、身份确认等要素。第四是「缺乏保护的设备」,OT设备本身的防护相对薄弱,外围防护措施也少,起因是早期OT设备所处环境相对封闭隔离,不太需要强化外部入侵防护,故IT世界常见的防火墙、IPS、防毒...种种措施,OT世界鲜少有对应方案。最后是「不安全的第三方软件」,不少工厂常有受信任的第三方供应商或维护者进出,他们所带入的装置或软件,可能成为散播恶意软件的媒介。

「不只OT设备存在风险,OT控制系统也有不少弱点,」郭彦徵说,一来OT系统搭配的DHCP或DNS服务器容易沦为攻击目标,二来许多OT系统采用老旧OS,已无对应Patch可供修补,自然无力承受日益精进的漏洞攻击。

布局四层防御,从点、线到面绝阻网安风险

郭彦徵进一步指出,Moxa不仅富含30年工业网通设备研发经验,深切了解OT环境,也意识到OT网安风险不断升高,于是由底端而上依序布局「设备网安」、「通讯网络网安」、「设备网安管理」及「网安支持团队」等四层防御机制。

针对设备网安,Moxa一方面遵循IEC 62443-4-2规范打造S2E、I/O、协议转换器、无线通讯、交换器...等等各类设备,使之内建基础的防护能力,二方面与TXOne Networks合力催生「EtherGuard」IPS/IDS,帮助一些无法上Patch或更新韧体的老旧设备,从外围阻绝攻击流量或提供虚拟补丁。

针对通讯网络网安,网通起家的Moxa一向重视网通的网安处理,已推出附带网口实体控管、ACL、封包分析、VPN等网安功能的网通设备,如今从另一面向出发,与TXOne合作发展出附带网络功能的「EtherFire」次时代防火墙,内含IPS/IDS、深度封包检测(DPI)、应用程序白名单等丰富网安功能,并可支持与筛选多样性工业协议。

至于设备网安的管理,Moxa先推出MXview工业级网管软件,协助用户综览网络的连线与行为、设备状态、网络设备的安全等级,近期再以网安为出发点推出MXsecurity管理系统,让管理者一目了然掌握网络的网安状态、各端点设备的网安设定及特徵码更新状况。

有关网安支持团队,Moxa设立CSRT快速反应小组,专责研究网安漏洞,并依据漏洞与各项Moxa设备的相关性,为用户提供完整的处理建议,此外严格要求自身的产品开发流程须依循网安准则,及早对源码、韧体进行完整检测,预先补强产品的潜在漏洞。

未来制造,云端、物联、数据蒐集已成关键。但是,当生产信息出得去、外部攻击进得来……您知道您的工厂,安全吗?8/8登场的网安论坛,活动主题订为「保障IIoT安全,加速智能制造」,邀请中油信息部经理分享工控系统安全管理经验、工研院资通所专家探讨高科技制造业网安标准,还有重量级业者趋势、研华、四零四、精品…提出最新市场观察与解决方案,全程参与听众有机会抽中PS4一台!免费活动,欢迎各界报名参加

关键字