工控物聯網資安照步來 國際化準則融合OT/IT安全

2022-12-20
近年來工控場域接連遭受資安威脅及勒索軟體感染,促使企業、主管機關開始正視資安防護議題,不僅上市櫃公司須設立資安長與專責單位,本土製造業亦陸續成立聯盟、聯誼會,相互交流威脅情資,為營運場域強化韌性。

制定管理辦法與部署防護措施之前,首要得先釐清工業網路環境存在的弱點。Rockwell客戶工程服務部資深工程師黃彥凱指出,工業領域的威脅型態可區分為內部與外部,內部通常是由IT環境擴散到OT場域所導致。過去企業投入資源部署IT防護技術時很少考量到OT場域,主要因素是誤以為封閉式網路理應安全無虞,但實際上卻是漏洞百出。例如工廠常見部署NTP(Network Time Protocol)伺服器用來同步所有設備時間,卻經常成為駭客攻擊跳板,核心問題在於網路層並未完全隔離,惡意程式只要能滲透進入IT網路環境,即可橫向擴散到NTP伺服器感染工控場域。

參考普渡模型進行規畫IT/OT協作

隨著近年來工業4.0浪潮驅動製造業數位轉型,為了提高業務敏捷性、最佳化生產流程,工廠直接連網已成趨勢。「為了協助工廠降低資安風險,Rockwell與Cisco合作共同設計了全廠融合乙太網(Converged Plantwide Ethernet, CPwE)藍圖,依據普渡(Purdue)模型定義,第0層到第3層為OT場域,第4、5層為IT範疇,指引規畫設計讓IT與OT網路環境可整合與協作。」黃彥凱說。

工控資安議題吸引IT與OT相關技術人員積極參與

四零四科技(Moxa)工業資訊安全解決方案部產品行銷經理郭彥徵(圖1)亦指出,工控場域通常得先經過「數字化」,也就是利用工具蒐集機台產生的資料,而非以往人工抄寫模式。進而演進到數位化,相較數字化的差異是把製造現場產生的數據予以整合,並且分享給不同單位運用,甚至產生無人搬運車(AGV)等應用。核心策略目標皆是為了朝向工業4.0邁進,寄望運用機器學習與人工智慧,引導製程達到最佳化、提供營運決策建議。

實際上,發展到數位化應用,絕大多數製造現場設備已開始接取內部網路,意味著一旦IT或OT環境的聯網裝置遭滲透侵入,即可橫向擴散到關鍵的營運場域。郭彥徵強調,Moxa為產業數位轉型需求提供邊緣聯網、工業網路裝置,完整蒐集現場設備產生的資料,搭配邊緣運算、工業資安方案,可協助企業保障智慧分析應用安全性。

建構技術人員可發揮專長環境

郭彥徵說明,工業現場有許多設備並非Windows作業系統,例如可程式控制器(PLC)、人機介面(HMI)、感測器等,搭載的韌體由技術供應商專有開發,難以透過通用工具完整掌控,勢必成為盲點。此外,IT資安人員傾向在內部網路部署防火牆等防護設備,來最大化抵禦惡意程式攻擊。問題是OT現場的工程師更關注的焦點是產線穩定順暢地運行,不希望工作流程中增添的安全措施影響到現場工作效率。

圖1 Moxa四零四科技工業資訊安全解決方案部產品行銷經理郭彥徵觀察,產業數位轉型而在自動化場域部署大量聯網裝置,常被當作攻擊入侵跳板,驅使企業高度關注資安議題

如今工控場域大多參考普渡模型實作IT與OT融合,才得以釐清弱點環節、運用安全技術來防護。實務上,欲導入工控資安防護機制,必須同時懂得工廠作業流程與資安技術,但多數企業不具備同時擁有兩種技能的人才,使得工控場域安全性難以有效地防護。

黃彥凱建議,著手規畫防護措施之前須先釐清設備種類,或是拆解控制系統的組成元件與通訊方式來進行風險評估,例如純水控制系統,大多包含PLC、馬達、變頻器等組件,採用的是Modbus、Profibus等通訊協定,盡可能讓物理環境與邏輯框架保持一致,才不至於影響OT場域工程師既有的工作程序。

郭彥徵則認為可引進國際資安標準準則,以工控領域來說,最受關注的當屬IEC 62443,為針對OT現場制定的通用準則,再參考垂直領域相關規範,例如電力、廢水、鐵道等,建構適用於自家工業現場的資安管理辦法,如此一來,可讓擁有不同領域知識的技術人員發揮所長。他進一步說明,IT人員學習新興資訊科技的速度較快,擁有資料處理、資安防護的相關知識,但是OT現場工程師熟悉自家產業的製程,只是較缺乏資安風險認知。引進國際通用的資安規範,讓OT場域制定資安管理辦法時有準則可參考,不僅更具說服力,亦可確保適用性。

第五屆物聯網安全高峰論壇現場熱烈交流互動

必維國際檢驗集團(Bureau Veritas)新事業發展處技術經理李培寧指出,當前供應鏈潛在的安全疑慮,核心因素來自韌體大多採用開源套件開發,再加上未在產品研發設計初期納入安全性考量,使得原生漏洞過多導致最終用戶受駭,IEC 62443-4-1認證檢驗即是用於確保安全產品開發流程。其次是IEC 62443-2-4標準規範用意在於建立工控系統資安計畫,以免產線停擺。

李培寧提醒,以IEC 62443打造國際認可的工控資安防線,首要步驟為風險評估,才可能引進正確的控制措施。例如已遭受勒索軟體滲透的企業,必須先調查釐清入侵管道,再施以防護機制才可發揮效益,藉由持續不斷地改善資安體質,以建構抵禦外部威脅的韌性。

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!