OT 的安全：保護工業 4.0 使其免受攻擊

October 11, 2022

Nick Leon Ruiz

OT-安全-0

網路安全是當今每個企業的優先考量。然而儘管 IT 的安全性有所改善，監視器與控制工業流程所使用的營運技術（OT）經常處於危險未受保護的狀態。過去幾年，美國網路安全暨基礎設施安全局（CISA）已發出多次有關 OT 系統弱點、營運技術設計中的不安全作法，以及勒索軟體對營運技術資產的威脅不斷升高等公開警告。

隨著製造業數位轉型的動作加快，這個問題只會更加惡化，使得工業 4.0 成為網路罪犯、駭客甚至是軍方與國家情治單位感興趣的對象。不過新一代的工業安全裝置有機會為 OT 安全的特殊挑戰帶來解決方案。

IT/OT 融合：協同抑或網路風險？

數位轉型計劃使得現代的工廠充滿了物聯網技術：大量的智慧型感應器從製程中即時收集資料。結果是這些傳統上「非智慧型」的 OT 資產，如今產生著大量的有用資料，可用來與 IT 網路共享，作為報告、分析與流程優化用。

根據 NEXCOM International 的產品經理 Calvin Ma 指出，IT 與 OT 這種網路的結合也稱為 IT/OT 融合，其背後的企業案例也很清楚，該公司為網路與工業 4.0 解決方案的製造商。「公司對於自有的製程可得到更大的掌控。而客戶可以透視工廠，對於進程與品質有更深入的瞭解。」他解釋道。

不過撇開這些好處，IT/OT 的融合也帶來了重大的風險。畢竟智慧型工廠是線上工廠，OT 網路也因此暴露於攻擊之下。這是一個嚴重的問題，因為營運技術是眾所皆知地難以防護，原因諸如傳統設備根本無法執行安全軟體，以及 OT 供應商在安全性上的作法令人堪慮。

除此之外，將一個安全的 IT 網路與 OT 網路結合本身就會帶來問題。「當所有東西連線在一起，」Ma 表示，「本來在 IT 網路中可以輕易控制的網路安全活動，如今會擴散至 OT 網路中，而 OT 網路相形之下較為脆弱。」

不過，不斷擴大的 OT 攻擊面是製造商無法承受的風險。

為什麼 OT 的安全如此難以達成

在已知的難處當中，OT 安全性讓人驚訝的一點在於其與 IT 安全性的相似度。

例如，OT 網路與 IT 網路所面臨的網路威脅類似：勒索軟體與病毒、駭客和後門軟體、蠕蟲和殭屍網路。而 OT 安全的基本解決方案與 IT 端的做法類似：監控網路流量中的可疑資料封包、將網路分段，如此一來可在偵測到惡意封包時予以控制，並且將重要資產放置在更多層的保護之後。

那麼，為什麼 OT 安全性如此具有挑戰？

很大一部分的問題在於 OT 端點在技術上的限制。「這些系統很多在設計時欠缺安全考量，」Ma 表示，並且補充到工廠中許多舊型 OT 資產往往執行的是非標準或舊式的作業系統，導致「無法在上面安裝安全軟體。」

另一個挑戰是工業設施本身的企業文化。對裝置管理人員而言，最重要的 KPI 是產能。然而無論理由有多充分，停機的代價非常昂貴。要說服上層將網路下線進行安全性升級，或是要求他們執行一個未來需要固定網路下線進行維修的解決方案並非易事。

但是這讓製造商面臨著困難的抉擇。他們應該承受代價高昂的停機以提升 OT 安全性，還是孤注一擲，冒著之後全面下線的風險？

很顯然地，這兩個都不是好選擇。不過，一款專為滿足工廠需求而設計、堅固且具有彈性的防火牆/隨插即提供防護的全新工業安全裝置，也許可以為這個難題提供一條出路。

在較短的停機時間下提供 OT 安全性

NEXCOM 的 Hwa Ya 廠實作就是一個很好的例子。

Hwa Ya 是 NEXCOM 的智慧製造展示站，同時也是運作中的生產設施。因此，它具備所有工廠常有的實體挑戰：

在例行作業中具有許多不同類型的設備
嚴苛的高溫環境
空間狹窄難以進入，使得裝置維護變得更為複雜

為了確保 Hwa Ya OT 網路的安全，NEXCOM 使用了自有的 ISA 140 工業安全裝置。整個設施的重要關卡上部署了多組單位，建立起一個微型分段的 OT 網路。裝置上安裝了由開發 TMRTEK 的 eSAF 網路安全軟體套件，因此可以透過與安全軟體在傳統 IT 網路端點上的相同做法，監控與偵測 OT 網路流量（影片 1）。