Skip to main content

IoT 與 OT 安全性:減少攻擊面

OT安全

說到 IT,人人都知道網路安全至關重要;沒有保護資料,後果不堪設想。但是 OT 呢?IT 網路與 OT 網路之間的界限不像以往那般涇渭分明,這表示 OT 防護的重要性現今也不容小覷。試想一下機器與實體安全連接的環境,例如製造商工廠或醫院。但是工廠經理要如何著手預防網路犯罪呢?

其中一種解決方案可能就在 FPGA 中。如果您對這個詞還不熟悉,您馬上就會懂了。我們將和安全性IP和工具開發商 Veridify Security執行長 Louis Parks 以及 FPGA 安全性、通訊和設定技術行銷經理 Mark Frost,一同探討 FPGA 和其他內容。他們將討論 OT 安全性的挑戰、FPGA 在應對這些挑戰時所扮演的角色,乃至於可立即保護您 OT 網路的一些免費選項。因為漏洞無所不在,不肖人士會趁虛而入。

您在現今安全性態勢中看到哪些挑戰?

Mark Frost:顯而易見的是,裝置之間的連線正在迅速擴展。我們發現 OT 與 IT 網路之間的界限變得模糊,但很多人沒有考慮到其中的安全隱憂,尤其是連接新網路的舊網路。一般人的想法是:「這麼做好像行得通,所以一切都沒問題。」但近來網路攻擊事件層出不窮,因此人們勢必得提高警覺。 

OT 安全性為什麼格外困難?

Louis Parks:長話短說,OT 網路已存在數十年之久,但一般都與外界自然隔離或中斷連線;它們在建築物和工業網站等處運作。反觀 IT 網路自始至終都以非常安全的方式開發及定義(防火牆、VPN、惡意軟體偵測),原因在於 HR、會計、患者記錄等資料的感知價值。我想從舊金山或紐約看看我在芝加哥的大樓。如今您正將非常安全的平台(您的 IT 網路)連接到極為不安全的平台(您的 OT 網路)。您正在增加攻擊面,而這正是駭客求之不得的。

另一項挑戰是,不同於 Windows、Linux、Apple 環境那種同質性很高的環境,建築世界中存在著來自許多不同供應商的各式各樣的通訊協定。此外,您使用的是 32 位元或更小的裝置,其中的安全空間微乎其微或完全沒有,但它們如今成了進入系統的閘道。

為什麼現今的解決方案碰到 OT 就無計可施?

Louis Parks:問題出在哪裡?首先,在一個極高的層次上,可能有兩個完全不同的目標。在 IT 空間中,網路安全的目標是保護資料,並控制系統上的裝置。在 OT 世界中,目標可能只是確保一切正常運作,不妨設想一下醫院。在公用事業的 OT 領域中運行,可能是安全的。IT 安全性在市場則已相當成熟。結果您猜怎麼著?我們看到的許多 OT 網路安全性解決方案都來自 IT 市場空間,進入 OT 空間之 IT 產品的用途,與 OT 世界的實際需求之間存在著差異。

我想補充說明,您為確保網路安全所做的任何事都是好事。但是我們看到的典型安全性工具主要是網路型;重要的是,在 IT 世界中,IT 主管或 CESO 知道您是否把裝置從家裡帶來並將其插入網路。這在許多操作中是一大禁忌。在 OT 世界中,人們未曾真正想過會有人從家裡帶來溫控器並插上插頭。

而現今使用的 IT 工具一般會提供觀看權限,這是一大益處。因此,您可以監控、偵測及警示;但它們不會保護資料,因為沒人想到要在 IT 網路上傳送開放式文字,而且它們也無法攔截攻擊。此外,如果您確實獲悉攻擊,在 IT 世界中,您有網路人員、IT 人員坐鎮,嚴陣以待、蓄勢待發。換到 OT 世界,您可能要致電工廠或大樓經理,向對方告知:「嗨,我們透過您的 HVAV 系統看到 23 樓出現無法辨識的資料流量。」他們不太可能採取行動。

請說明什麼是 FPGA 及其在這裡扮演什麼角色。

Mark Frost:FPGA 代表可現場程式化的閘道陣列。它有點像是自訂硬體,您可以透過某些方式編寫程式及設定。我們可以在極高速的應用程式中看見使用案例,例如人們想要處理超級高速的資料,或是需要極低延遲或高確定性的應用程式。通常工業應用程式會有這些特殊要求。

此外,FPGA 也很適合自訂 IO。比方說,如果您想將這裡的 MRI 機器連到那裡的馬達驅動器,不可能到店裡買現成的產品這麼做;那種連接應用程式需要的是自訂硬體,這正是 FPGA 真正發揮作用的地方。

各種應用程式都能見到 FPGA 的蹤影,尤其是工業空間。我的團隊試著思考 FPGA 要怎麼搭配這個應用程式,因此部分解決方案具有工業傾向。我們會考慮諸如功能安全應用程式及長久的使用年限;OT 網路的設計和安裝通常能持續 20 年。FPGA 的優點在於您可以在現場更新;如果找到安全性漏洞,也可以在 FPGA 中更新。

Louis Parks:論及 IT,修補程式、韌體更新,是每週都會發生的家常便飯。在 #OT 的世界,某些情況下,它們根本不存在。因此,使用 FPGA 將處理移到邊緣的能力是無比強大。這就是 Intel® FPGA 的卓越能力之一,我們無須在此時此刻妄自疑猜,純粹期望 10 或 15 年後仍一切順利。遇到問題,我們可以解決。

您預期能推出什麼安全性策略?

Mark Frost:過去 FPGA 人員往往仰賴「晦澀難解即是安全」的安全性概念。FPGA 當初是相當小眾的產品,因此沒有關於如何妥善設定裝置的公開資料。不過近期出現大規模成長,使用 FPGA 裝置的人們如今真的需要開始考量安全性原則。

不過考量的條件各不相同。 有的人搬到城裡,他們往往擁有龐大的安全性團隊可相互合作。有的客戶規模極小,可能一位工程師就要包辦一切。所以問題在於,要怎麼讓執行基本安全性功能變得更容易?

Louis Parks:我們發現另一個問題,那就是負責系統的大樓或工廠經理可能沒有安全性的背景,無法保護 IT 擁有的資料。但是 IT 方面可能並不認為保護 HVAC 系統是他們的權限。

還有個問題,那就是網路分段(一種網路工具的常見反應)在 IT 領域成效良好:這個伺服器上資料有問題,我可以先將它隔離,之後更換伺服器或將作業移到別處。但如果它是在醫院的某個部門運作,我可能無法以同樣的方式隔離。

所以我們在 Veridify 的重點是採用 Intel® FPGA,在邊緣提供安全性以保護裝置。我們也試圖提供一種主動的解決方案,無須更換先前安裝的技術。執行我們技術的 Intel® FPGA 可以作為安全性閘道置於裝置前,提供您在 IT 網路上預期的所有驗證與資料加密,但幾乎像 OT 網路上的 VPN 一般運作。

Intel® FPGA 如何協助支援物聯網安全性工作?

Mark Frost:我們的主要任務是作為推動者。我們努力成為所有不同垂直市場的萬事通,因此裝置也是為多種市場而設計。我們試著思考可支援安全性的基本裝置功能,讓 Louis 和他的團隊隨插即用的基礎元素。

但我們必須在那個基礎元素上做對的事,銜接對的裝置。例如思考慮功能安全性套件等;關於特定的晶片功能、即時處理以及可供 Veridify 建構的其他一切。

Louis Parks:Intel 致力於安全性、確保在 FPGA 上執行的韌體資料安全無虞。我們接著放眼裝置如何與周圍的裝置互動,這是我們的重點。裝置之間的通訊基本上成了我們一般認為的物聯網。

組織如何能夠成功因應 OT 網路的問題?

Louis Parks:市面上有許多方便您查看網路的監測工具,網路級策略也能為您提供一些功能。也有可以增添安全性的通訊協定,但其中有些可能難以執行,田為執行或管理未必是他們的優先要務。

我們打造裝置級的安全性,基本上提供盒裝的網路安全性。只要插入我們的裝置,一切就會自動上線。由於瞭解 IT 和網路技能未必總是可用(在現場或邊緣更是如此),我們完成了零接觸的流程。有 Intel 作為合作夥伴,這成了我們的重點所在。

不過有些免費的事,您可以立即採取行動。不妨試想:我的風險在哪裡?如果有人進入我的網路,風險會是什麼?情況是否嚴重?進行評估。您是否有 OT 網路(您的大樓系統、工廠)的備用方案?任何人都會想到要將 IT 網路備份。

您提到與 Intel 合作;這個合作關係帶來什麼價值?

Louis Parks:我們擁有很多專家學者,我的合作夥伴是數學家暨密碼學家,因此我們將這些專業知識和工程學在實驗室集結。但我們的產品 DOME 之所以應運而生,是因為 Intel 找上我們,表示:「網路邊緣裝置的管理方式存有挑戰,我們認為您具備可以解決這個問題的平台。」也因此,他們不僅將機會帶到我們眼前,為我們開啟嶄新的領域;更重要的是,他們讓我們認識到隨後必須解決的問題。

Intel 團隊觸角的深遠皆無可取代。他們協助我們開發通訊協定和解決方案,幫助我們將其推向市場,這些都是相當珍貴的支援。Mark,謝謝!

Mark Frost:不客氣。從我們的角度來看,我們的首要目標是販售晶片。我們仰賴 Veridify 這樣的合作夥伴,畢竟如果沒有這些吸引市場的超酷解決方案,我們的晶片就無從賣起。我們盡一切可能,透過自家的銷售網路和通路網路,協助 Veridify 擴展到全球市場,但真正的功臣還是他們的團隊和解決方案。

最後還想補充什麼嗎?

Louis Parks:我認為大家都該去思考安全性。遺憾的是,我們處在一個處處皆有安全性威脅的世界。依我看,人們該尋找解決方案,不只要瞭解解決方案能為他們做些什麼,也要理解自己使用及管理這些方案的能力。還有,沒有任何一個解決方案是完美無缺、一體適用的。所以即使您成功了,還是要不斷努力、持續探尋,這是永無止境的。

Mark Frost:我同意;不要輕忽安全性問題。像驗證和加密 FPGA 設定雖然易如反掌,卻能對 FPGA 實施的安全性產生巨大的影響。過去許多備受關注的安全性漏洞,在開始時都是無害的,而且仍有不少人心存僥倖,認為:「不會發生在我身上。」我們樂意協助。

相關內容

如要進一步瞭解 OT 安全性,請收聽揭開 OT 和物聯網安全性與 FPGA 的神秘面紗:與 Veridify 合作。如要瞭解 Veridify 的最新創新技術,請在 Twitter @VeridifyLinkedIn 上追蹤。

 

本文由Erin Noble編審

作者簡介

Christina Cardoza is an Editorial Director for insight.tech. Previously, she was the News Editor of the software development magazine SD Times and IT operations online publication ITOps Times. She received her bachelor’s degree in journalism from Stony Brook University, and has been writing about software development and technology throughout her entire career.

Profile Photo of Christina Cardoza