系統整合商如何化身為物聯網安全英雄

June 4, 2021

Cathie Ericson

物聯網安全性

在工業 4.0 的年代，智慧工廠紛紛將作業設備連線並數位化，讓效能大幅提升。然而，企業連線的系統與裝置愈來愈多，巨大的物聯網安全挑戰隨之而來。

一大主要問題：許多製造商想當然爾認定安全是系統整合商（SI）的責任，而 SI 則想當然爾認定，製造商或甚至是終端客戶會自己處理安全問題，因此沒有人談論過安全性。由於缺少任何緊密整合的安全策略，因此弱點幾乎保證會逐漸累積。

無論是導致嚴重財務損害的資料竊盜，或者甚至是挾持整個基礎架構的勒索軟體攻擊，對網路攻擊來說都是完美的配方。

不過，系統整合商若能主導物聯網安全，就可以防止這一切破壞，並且化身為工業客戶的英雄。

減輕毫無章法方法的物聯網安全挑戰

雖然沒有人希望這種事發生，但是這個過程不難理解。secunet 資深解決方案架構設計師 Jan Ludwig Tiedemann 表示，很多製造現場的自動化過程都是一次一套系統。這個情況可能導致 DIY 設置激增。事實上，Tiedemann 經常看到製造環境的製造現場四處散落龐大的一次性 Raspberry Pi 系統。

雖然此方法短期內可能符合成本效益，但是卻排除了任何類型的全方位安全策略。這意味着您的系統最後可能充斥安全漏洞，而且這些漏洞會不斷累積，最終落到無法收拾的地步。最終，製造商面對攻擊和生產中斷便不堪一擊。

很多公司對於安全性有虛假的安全感這個事實，使得此問題雪上加霜。換句話說，對於自己所作所為並不安全這件事，他們可能渾然未覺。

Tiedemann 以某食品加工公司的體驗為例。他們的生產線在有已經弱點的情況下，充滿執行舊版軟體的設備，但該公司卻對風險渾然未覺。後來，駭客釋放了勒索軟體的攻擊，結果每部有弱點的機器在短短幾分鐘內就無法作業。

這個情況不僅導致停產，更造成了實際的危險。標籤列印系統在攻擊事件中遭受破壞，連帶損毀了其標籤歷史。因此，該公司便無法在發生召回事件時，追蹤已經出貨的產品。

另一個導致安全弱點的問題在於，製造商期待 SI 儘可能壓低預算。Tiedemann 發現，SI 之所以不太願意提起改善安全性的必要性，是因為成本會顯著增加。

他解釋「任何一方主導通常都會陷入為難的處境，因此就演變成了『不問，不說』的情況，也沒有任何人負責。」

然而，潛在的停機時間則是另一個問題。Tiedemann 發現有一間公司幾乎無視於攻擊的存在，反倒是以毫無章法的方式，最低限度地處理了此一問題。讓他們的設備暴露的風險，重要性並未超過停工善後的成本。因此，該公司的系統依舊存在攻擊者，並且在這個情況下繼續運作，可以稱之為是名副其實的大難即將臨頭。

內建物聯網安全的工業個人電腦

所幸這些問題都有解決方案：從內建安全性的平台著手。這也正是 secunet 登場的時刻。secunet 身為安全需求獨特領域（例如工業務聯網、政府和的醫療保健）的專家，看出了對真正安全邊緣解決方案的需求。誕生的平台是 secunet edge 採用安全優先的策略所設計。

平台的核心是強化的的硬體，包括擔任容器應用程式與資料安全性信任錨點的安全元件。此防竄改晶片通過 FIPS140-2 Level 3 或 BSI CC L3 EAL 5 認證，讓遠端使用者信心十足證明，他們已安全儲存及處理雲端服務或類似應用程式的敏感金鑰。

硬體搭配了安全的軟體平台和應用程式環境，將應用程式都封裝於容器中，同時還可防止一個容器的外洩影響其他容器。這些應用程式不僅能支援安全性，例如自動識別網路流量中的異常行為，還能支援關鍵的系統功能。這些功能包括將機器資料傳輸至後端和外部服務，以及連線系統的遠端控制。

由於 secunet edge 採用的是強大可靠的 Intel^® 處理器，因此它除了安全軟體之外，還可以執行各種現有的應用程式。因此，SI 可以建立高度整合的自動化解決方案，兼具高度安全、使用便利和成本效益。

Tiedemann 表示：「secunet edge 讓公司能降低執行現代數位解決方案固有的風險，同時擁抱其優勢。」

此外，secunet 提供各種服務，讓他們的平台能保持最新狀態。此方法意味着，SI 不需要在發現新弱點時擔心系統失去防護，也不需要自行維持所有的基礎技術堆疊。

相反地，secunet 為作業系統和其他元件提供了更新，主動防止任何安全缺陷，並且增加新功能。身為平台維護者，secunet 也執行軟體供應鏈的安全分析，並且針對驗證定期執行滲透測試。

以降低的成本重整，維護物聯網安全

當然，保護工廠不僅是保護新系統的問題而已。現有資產也必須堅不可破。

一個共同的疑慮是如何提供防護，同時避免耗費巨資更換設備。舊式機器通常有專屬過時的協定。這件事使得將舊式系統很難連接至新式物聯網環境，因為新環境必須存取雲端和其他 IT 網域。

為了解決此一問題，secunet 與工業協定專家 PTC 攜手合作。secunet edge 在平台加入 PTC Thingsworx 中介軟體，能夠同時與物聯網和雲端聯繫。這樣一來，資料便可自由流動，同時繼續將舊式機器放在隔離弱點的防護牆後方。

舉例來說，有一家為印鈔及點鈔生產機器的製造商發現，雖然機器的設計可以運轉數十年，但是作業系統老早就已經過時。secunet 並未放棄機器及其代表的資本投資，反倒是協助組織更新物聯網安全性，因此既能保留現有設備，同時還能提供尖端的解決方案。

Tiedemann 表示：「這是經典的使用案例：透過實施保護設備的補償措施重整機器，而不是丟棄機器」，而且他還補充說，此主動措施最終可能避免數百萬美元的損害。（圖 1）

Intel® 技術支援了 secunet edge 小外型規格的設備，方便重整。 — 圖 1. Intel^® 技術支援了 secunet edge 小外型規格的設備，方便重整。（資料來源：secunet）

展望未來，Tiedemann 認為他的公司與 Intel^® 的夥伴關係是持續創新的關鍵。Tiedemann 表示：「Intel 在 IT 方面的歷史悠久，而且在邊緣提供優異的運算能力，其他替代方案多半難以望其項背，」。舉例來說，secunet 近期若採用 Intel^® Core^™ i5 處理器，便能提供甚至效能更高的設備。

「Intel 透過其他人尚無法提供的服務，讓我們成為數位轉型的先驅。」