布建端到端自动学习与检查机制 实现OT零信任防御

趋势科技副总裁暨TXOne NetworksCEO刘荣太。DIGITIMES摄

工控网安事件频传，导致相关议题的讨论度急遽增高；但趋势科技副总裁暨TXOne NetworksCEO刘荣太认为，工控网安并非容易之事，只因太过碎片化，从供给端来看，制造业有半导体、汽车、食品...等众多分类，各有不同制程需求；从需求端来看，企业有IT、网安、网络、厂务等不同团队，究竟该谁负责管理工控网安？亦需做一番沟通协调。

此外综观时下趋势，零信任是备受网安业界推崇的做法，但以往主要探讨的是IT场域的实作，如今如何让它在OT场域付诸实践？值得一探究竟。

刘荣太透露，根据趋势科技在2021年上半期间做的30余次统计，发现唯独制造业(含高科技与传统制造)遭遇的网安事件次数一路攀升。深究其因，与IT/OT聚合有关，随着OT现场大量采用IT技术，意谓OT将承受与IT相同的网安风险，但单从防毒软件安装套数来观察，就明显可知OT环境的防护水平远逊于IT。

唯今之计，用户应对OT攻击样貌有更多认识，首先厘清祸首为，主要分为两类，一是受金钱驱使的黑客，现今已发展为Ransomware as a Service生态系，有人擅于窃取口令、有人擅于研发勒索软件，有人擅于布建勒索软件，大家齐力攻破企业。另一是政府指使的黑客，意在对关键基础设施造成破坏。若将OT架构从高到低分为服务、控制器、设备等层次，第一类黑客通常希望从上到下都加密，第二类黑客力求攻进最下层、掌控控制器，企图酿成最大灾害。

OT网安防御之所以难为，在于有许多不易克服的障碍，最显而见的，连最基本的Patching，往往都因设备太老、网络太扁平等因素而无从实施，导致OT网安难以落实。更麻烦的是，近两年因疫情关系，WFH、线上作业逐渐成为常态，加上云服务也日渐蔚为主流，使得不管IT或OT都面临传统防护边界消失的危机，连带让「零信任」成为热门显学。

刘荣太认为，即便IT与OT都该实施零信任，但出发点不同，IT环境做的第一件事情是认证、重点是检查人的行为，反观OT环境则应对机台多做检查，从机台入厂、执行何等应用程序、乃至网络行为等，通通都需要透过自动学习，建立最适当的查核规范，据此严加检查有无偏离正常行为模式的现象，如此才能展现端到端的保全功效，真正落实OT零信任防御架构。

为协助制造业者落实OT零信任，TXOne已提供务实的架构与做法。从机台进厂，就提供便携式USB，协助用户扫描恶意软件。接着透过白名单与工控防毒软件，来保护关键应用服务。再者借助工控网络防骇设备进行网络分段，消弭不同产线交互感染的风险。最后以工控IPS发挥虚拟补丁功效，保护大批难以正常修补漏洞的老旧机台。