参照IEC-62443标准 建构坚强的OT防护堡垒
据SANS Institute调查,超过72%工业现场采用以IP为基础的通讯,针对工业设备进行控制、设定和数据采集;但高达79%用户对于管理IIoT设备的网安缺乏信心。显见网安问题已为IIoT营运模式带来重大考验。
工业网通大厂四零四科技(Moxa)产品行销经理郭彦徵指出,随着近年工业网安事件频传,可从中观察到一个值得忧虑的趋势,以往事件多属于「非目标式攻击」,受害者只是无辜遭惹横祸,但近1~2年情势生变,「锁定性攻击」出现频率激增,意谓黑客会针对工业场域量身订制攻击计划,使防护难度更高,业主更需多加小心。
单点式解法,无法涵盖OT网安全貌
深究工业场域对恶意攻击的防御力较为薄弱,症结在于过去工业系统以任务性为设计导向,网安仅为次要考量。譬如PLC设计出发点为「精确控制」,工业通讯协定讲求「有效传输」,工业网络设计重点为「稳定方便」,着眼点都不是网安,也不会特别规划防护措施;加上多数业主偏重可用性考量,把网安防护或补丁视为可能造成系统不稳定的因子,实务上难以频繁变动运行中的产线,于是导致网安机制偏弱。
如今虽有不少业主急欲加强OT网安防护,但多倾向采取单点式解法,认为引进一套解决方案就能趋吉避凶。郭彦徵提醒,以单点思维来看待OT防护,是闭门造车的做法,难以综观OT网安全貌,也无法发挥网安概念中的纵深防御效果。
他强调,一些从未受到时间或市场检验的网安配置,容易产生盲点。比方说有些人以为发展私有加密方式,能让攻击者难以理解加密信息、无从发动攻势,或采用特殊网络配置,就可让攻击者无法进入;但事实证明,这些做法遭破解的机率颇大,意谓我们需要以更正规的方法与黑客对决。
遵照IEC-62443,循序构筑工业网安架构
启动OT网安防护的最理想做法,便是参照已经过验证的规范、准则及设备,先导入统一的框架、系统模型与规划,再辅以统一的技术、设备来实施防御,才能让OT网安破口减至最低。
最值得参照的OT网安标准是IEC-62443,它内含四个章节,其中IEC-62443-1定义系统架构和用语;IEC-62443-2定义如何建立网安管理系统(包含组织、人员、流程);IEC-62443-3定义如何建置工业系统网安,涵盖建构安全网络、网安技术导入;IEC-62443-4属于组件层定义,制定产品供应商必须符合的产品开发要求、产品技术要求,如Moxa便是全台首家通过IEC-62443-4-1认证的业者。
郭彦徵表示,前述IEC-62443-3,是非常适合OT场域参酌的规范,业主可依据个中指引,循序布建端点防护、安全架构及威胁侦测,确保场域内不论端点设备、嵌入式设备及网络设备,皆受严密防护。虽然OT系统中包含PLC / 转换器等崁入式系统设备,因此端点防护实施不易,但有监于OT网安防护需要全盘考量,Moxa以丰富的网通经验建议业主以单点加上整体网络架构来提升网络防护能力。
例如可以透过IPS/IDS发挥病毒侦测暨阻挡、虚拟补丁、通讯白名单管控等功效,防范端点安全;接着部署防火墙、安全路由器及强固可靠的工业网络交换机,打造安全架构;再来部署OT Network-based IDS,建立威胁侦测机制。透过层层管控和防御,让黑客没有乘隙而入的空间。