因应工业环境特殊性 选用正确设备以强化工控安全
随IIoT、智能生产趋势所形,让OT环境从封闭走向开放,连带使攻击路径愈趋多元;麻烦的是,虽有不少企业意识到工控系统安全议题,已开始推动相关专案,但实施成效不显着。
四零四科技(Moxa)产品行销经理郭彦徵分析,工控安全之所以难为,在于蕴含许多迷思,企业若未厘清这些症结,仅沿用IT惯用方法来建立OT安全架构,极易陷入瓶颈。首先企业应颠覆一些既定认知,须知道黑客早已开始研究工控系统、多数的ICS漏洞都可被轻易利用,再者黑客攻击对象已不再限于SCADA,举凡PLC、I/O或Sensor都可能遭袭击。
此外不管企业或网安方案夥伴,亦须有所体认,工业环境有特殊的网安需求,若未充分考量,很难对症下药。比方说工控环境的首要目标是「不中断的营运」,无论设备韧体更新、漏洞修补或网安设备升级,若会造成设备重启、产线停顿,显然都行不通,所以网安方案须考量对产线运行的影响,另须兼顾OT特有的通讯协定、软硬件设计,并符合工业环境耐受性(如高温、高湿、高震动)。
企业如何考量工业网安方案?郭彦徵建议,除应选择适合OT的网安方案外,且应按自身技术程度、资源多寡而分阶段投入。一套完整的工控网安架构,从低到高有Secure、Defend、Contain、Manage及Anticipate五大阶层,层次愈高、成本愈重,企业可从基本功开始做起,先依IEC 62443-4-2标准来选用网络方案,确保所用的网通设备、Serial-to-Ethernet、线上I/O、协议转换器等等产品都不会沦为黑客入侵点,再循序建立区域防火墙、应用白名单、网安事件控管、入侵侦测系统等机制,逐步提升防御力。
Moxa不仅遵循IEC 62443-4-2设计完整产品线,也在一向擅长的工业网通设备中融入网口实体控管、ACL、封包分析、VPN等基本网安功能,如今更以OT为出发点设计次时代防火墙(内含IDS/IPS、DPI、应用程序白名单等功能),期望协助用户破解迷思、兼顾工控环境持殊性,迅速建立真正合用的工控安全架构。