Skip to main content

安全性

OT 的安全:保護工業 4.0 使其免受攻擊

OT-安全-0

網路安全是當今每個企業的優先考量。然而儘管 IT 的安全性有所改善,監視器與控制工業流程所使用的營運技術(OT)經常處於危險未受保護的狀態。過去幾年,美國網路安全暨基礎設施安全局(CISA)已發出多次有關 OT 系統弱點營運技術設計中的不安全作法,以及勒索軟體對營運技術資產的威脅不斷升高等公開警告。

隨著製造業數位轉型的動作加快,這個問題只會更加惡化,使得工業 4.0 成為網路罪犯、駭客甚至是軍方與國家情治單位感興趣的對象。不過新一代的工業安全裝置有機會為 OT 安全的特殊挑戰帶來解決方案。

IT/OT 融合:協同抑或網路風險?

數位轉型計劃使得現代的工廠充滿了物聯網技術:大量的智慧型感應器從製程中即時收集資料。結果是這些傳統上「非智慧型」的 OT 資產,如今產生著大量的有用資料,可用來與 IT 網路共享,作為報告、分析與流程優化用。

根據 NEXCOM International 的產品經理 Calvin Ma 指出,IT 與 OT 這種網路的結合也稱為 IT/OT 融合,其背後的企業案例也很清楚,該公司為網路與工業 4.0 解決方案的製造商。「公司對於自有的製程可得到更大的掌控。而客戶可以透視工廠,對於進程與品質有更深入的瞭解。」他解釋道。

不過撇開這些好處,IT/OT 的融合也帶來了重大的風險。畢竟智慧型工廠是線上工廠,OT 網路也因此暴露於攻擊之下。這是一個嚴重的問題,因為營運技術是眾所皆知地難以防護,原因諸如傳統設備根本無法執行安全軟體,以及 OT 供應商在安全性上的作法令人堪慮。

除此之外,將一個安全的 IT 網路與 OT 網路結合本身就會帶來問題。「當所有東西連線在一起,」Ma 表示,「本來在 IT 網路中可以輕易控制的網路安全活動,如今會擴散至 OT 網路中,而 OT 網路相形之下較為脆弱。」

不過,不斷擴大的 OT 攻擊面是製造商無法承受的風險。

為什麼 OT 的安全如此難以達成

在已知的難處當中,OT 安全性讓人驚訝的一點在於其與 IT 安全性的相似度。

例如,OT 網路與 IT 網路所面臨的網路威脅類似:勒索軟體與病毒、駭客和後門軟體、蠕蟲和殭屍網路。而 OT 安全的基本解決方案與 IT 端的做法類似:監控網路流量中的可疑資料封包、將網路分段,如此一來可在偵測到惡意封包時予以控制,並且將重要資產放置在更多層的保護之後。

那麼,為什麼 OT 安全性如此具有挑戰?

很大一部分的問題在於 OT 端點在技術上的限制。「這些系統很多在設計時欠缺安全考量,」Ma 表示,並且補充到工廠中許多舊型 OT 資產往往執行的是非標準或舊式的作業系統,導致「無法在上面安裝安全軟體。」

另一個挑戰是工業設施本身的企業文化。對裝置管理人員而言,最重要的 KPI 是產能。然而無論理由有多充分,停機的代價非常昂貴。要說服上層將網路下線進行安全性升級,或是要求他們執行一個未來需要固定網路下線進行維修的解決方案並非易事。

但是這讓製造商面臨著困難的抉擇。他們應該承受代價高昂的停機以提升 OT 安全性,還是孤注一擲,冒著之後全面下線的風險?

很顯然地,這兩個都不是好選擇。不過,一款專為滿足工廠需求而設計、堅固且具有彈性的防火牆/隨插即提供防護的全新工業安全裝置,也許可以為這個難題提供一條出路。

在較短的停機時間下提供 OT 安全性

NEXCOM 的 Hwa Ya 廠實作就是一個很好的例子。

Hwa Ya 是 NEXCOM 的智慧製造展示站,同時也是運作中的生產設施。因此,它具備所有工廠常有的實體挑戰:

  • 在例行作業中具有許多不同類型的設備
  • 嚴苛的高溫環境
  • 空間狹窄難以進入,使得裝置維護變得更為複雜

為了確保 Hwa Ya OT 網路的安全,NEXCOM 使用了自有的 ISA 140 工業安全裝置。整個設施的重要關卡上部署了多組單位,建立起一個微型分段的 OT 網路。裝置上安裝了由開發 TMRTEK 的 eSAF 網路安全軟體套件,因此可以透過與安全軟體在傳統 IT 網路端點上的相同做法,監控與偵測 OT 網路流量(影片 1)。

影片 1. 在 OT 網路中用於微型分段與封包檢查的 ISA 140。(出處:NEXCOM

其成果即為具有高識別度且安全的 OT 網路。不過也很重要的一點在於,Hwa Ya 的部署呈現出 ISA 140 在工廠環境中對企業的好處。

ISA 140 輕巧且容易安裝,因此在實作上不需代價高的下線或龐大的架構升級。安裝到位後,OT 的安全人員可利用頻外(OOB)遠端管理和旁路功能維護裝置,而無須中斷網路。

Ma 將這些好處歸功於 NEXCOM 與 Intel® 的技術合作:「我們使用的 Intel Atom® 處理器具有內建 OOB 功能,讓我們可以在不須擴充電路設計的情況下,開發出可減少停機時間的功能。」

Ma 提到,除此之外,Intel 晶片非常適合工廠環境的實體挑戰:「該 CPU 效能高、非常可靠,而且可承受極端高溫,是工業控制系統(ICS)安全的最佳選擇。」

未來的工業網路安全

隨著製造商轉換至工業 4.0 模式,對 OT 網路的威脅很可能會增加。蓄意不軌者與任何企業一樣,都想趁機利用市場上的機會。不過現代的工業安全裝置,可為企業提供有效且可負擔的方式來保護自己。

未來幾年,隨著 OT 網路變得更複雜且多樣,製造商也將得以使用專為不同使用案例所打造的安全設備。「我們將會看到 OT 安全更趨專業的趨勢,」Ma 表示,該公司目前正在擴充其 ISA 100 系列產品,強化其專門針對 OT 網路安全所設計的無線(ISA 141)和交換器(ISA 142)設備。

「不久的將來,工廠的一切都會在同一個網路上。不過隨著工業安全技術的進步,企業將可擁有適合其所需的各種 OT 情境的自訂解決方案,讓該網路能夠達到真正的零信任——確保未來在工業 4.0 上的安全。」Ma 表示。

 

本文由 insight.tech 編輯副總監 Christina Cardoza 編輯。

作者簡介

Nick Leon Ruiz writes about the Internet of Things, cybersecurity, and digital privacy. He works with established companies as well as start-ups on content strategy, thought leadership, and B2B marketing. Nick’s background in education and academia — a PhD in philosophy and years of experience teaching technical communication courses to STEM majors — underlies his passion for making complex topics accessible to a wide audience.

Profile Photo of Nick Leon Ruiz