Skip to main content

系統整合商如何化身為物聯網安全英雄

物聯網安全性

在工業 4.0 的年代,智慧工廠紛紛將作業設備連線並數位化,讓效能大幅提升。然而,企業連線的系統與裝置愈來愈多,巨大的物聯網安全挑戰隨之而來。

一大主要問題:許多製造商想當然爾認定安全是系統整合商(SI)的責任,而 SI 則想當然爾認定,製造商或甚至是終端客戶會自己處理安全問題,因此沒有人談論過安全性。由於缺少任何緊密整合的安全策略,因此弱點幾乎保證會逐漸累積。

無論是導致嚴重財務損害的資料竊盜,或者甚至是挾持整個基礎架構的勒索軟體攻擊,對網路攻擊來說都是完美的配方。

不過,系統整合商若能主導物聯網安全,就可以防止這一切破壞,並且化身為工業客戶的英雄。

減輕毫無章法方法的物聯網安全挑戰

雖然沒有人希望這種事發生,但是這個過程不難理解。secunet 資深解決方案架構設計師 Jan Ludwig Tiedemann 表示,很多製造現場的自動化過程都是一次一套系統。這個情況可能導致 DIY 設置激增。事實上,Tiedemann 經常看到製造環境的製造現場四處散落龐大的一次性 Raspberry Pi 系統。

雖然此方法短期內可能符合成本效益,但是卻排除了任何類型的全方位安全策略。這意味着您的系統最後可能充斥安全漏洞,而且這些漏洞會不斷累積,最終落到無法收拾的地步。最終,製造商面對攻擊和生產中斷便不堪一擊。

很多公司對於安全性有虛假的安全感這個事實,使得此問題雪上加霜。換句話說,對於自己所作所為並不安全這件事,他們可能渾然未覺。

Tiedemann 以某食品加工公司的體驗為例。他們的生產線在有已經弱點的情況下,充滿執行舊版軟體的設備,但該公司卻對風險渾然未覺。後來,駭客釋放了勒索軟體的攻擊,結果每部有弱點的機器在短短幾分鐘內就無法作業。

這個情況不僅導致停產,更造成了實際的危險。標籤列印系統在攻擊事件中遭受破壞,連帶損毀了其標籤歷史。因此,該公司便無法在發生召回事件時,追蹤已經出貨的產品。

另一個導致安全弱點的問題在於,製造商期待 SI 儘可能壓低預算。Tiedemann 發現,SI 之所以不太願意提起改善安全性的必要性,是因為成本會顯著增加。

他解釋「任何一方主導通常都會陷入為難的處境,因此就演變成了『不問,不說』的情況,也沒有任何人負責。」

然而,潛在的停機時間則是另一個問題。Tiedemann 發現有一間公司幾乎無視於攻擊的存在,反倒是以毫無章法的方式,最低限度地處理了此一問題。讓他們的設備暴露的風險,重要性並未超過停工善後的成本。因此,該公司的系統依舊存在攻擊者,並且在這個情況下繼續運作,可以稱之為是名副其實的大難即將臨頭。

內建物聯網安全的工業個人電腦

所幸這些問題都有解決方案:從內建安全性的平台著手。這也正是 secunet 登場的時刻。secunet 身為安全需求獨特領域(例如工業務聯網、政府和的醫療保健)的專家,看出了對真正安全邊緣解決方案的需求。誕生的平台是 secunet edge 採用安全優先的策略所設計。

平台的核心是強化的的硬體,包括擔任容器應用程式與資料安全性信任錨點的安全元件。此防竄改晶片通過 FIPS140-2 Level 3 或 BSI CC L3 EAL 5 認證,讓遠端使用者信心十足證明,他們已安全儲存及處理雲端服務或類似應用程式的敏感金鑰。

硬體搭配了安全的軟體平台和應用程式環境,將應用程式都封裝於容器中,同時還可防止一個容器的外洩影響其他容器。這些應用程式不僅能支援安全性,例如自動識別網路流量中的異常行為,還能支援關鍵的系統功能。這些功能包括將機器資料傳輸至後端和外部服務,以及連線系統的遠端控制。

由於 secunet edge 採用的是強大可靠的 Intel® 處理器,因此它除了安全軟體之外,還可以執行各種現有的應用程式。因此,SI 可以建立高度整合的自動化解決方案,兼具高度安全、使用便利和成本效益。

Tiedemann 表示:「secunet edge 讓公司能降低執行現代數位解決方案固有的風險,同時擁抱其優勢。」

此外,secunet 提供各種服務,讓他們的平台能保持最新狀態。此方法意味着,SI 不需要在發現新弱點時擔心系統失去防護,也不需要自行維持所有的基礎技術堆疊。

相反地,secunet 為作業系統和其他元件提供了更新,主動防止任何安全缺陷,並且增加新功能。身為平台維護者,secunet 也執行軟體供應鏈的安全分析,並且針對驗證定期執行滲透測試。

以降低的成本重整,維護物聯網安全

當然,保護工廠不僅是保護新系統的問題而已。現有資產也必須堅不可破。

一個共同的疑慮是如何提供防護,同時避免耗費巨資更換設備。舊式機器通常有專屬過時的協定。這件事使得將舊式系統很難連接至新式物聯網環境,因為新環境必須存取雲端和其他 IT 網域。

為了解決此一問題,secunet 與工業協定專家 PTC 攜手合作。secunet edge 在平台加入 PTC Thingsworx 中介軟體,能夠同時與物聯網和雲端聯繫。這樣一來,資料便可自由流動,同時繼續將舊式機器放在隔離弱點的防護牆後方。

舉例來說,有一家為印鈔及點鈔生產機器的製造商發現,雖然機器的設計可以運轉數十年,但是作業系統老早就已經過時。secunet 並未放棄機器及其代表的資本投資,反倒是協助組織更新物聯網安全性,因此既能保留現有設備,同時還能提供尖端的解決方案。

Tiedemann 表示:「這是經典的使用案例:透過實施保護設備的補償措施重整機器,而不是丟棄機器」,而且他還補充說,此主動措施最終可能避免數百萬美元的損害。(圖 1)

Intel® 技術支援了 secunet edge 小外型規格的設備,方便重整。
圖 1. Intel® 技術支援了 secunet edge 小外型規格的設備,方便重整。(資料來源:secunet

展望未來,Tiedemann 認為他的公司與 Intel® 的夥伴關係是持續創新的關鍵。Tiedemann 表示:「Intel 在 IT 方面的歷史悠久,而且在邊緣提供優異的運算能力,其他替代方案多半難以望其項背,」。舉例來說,secunet 近期若採用 Intel® Core i5 處理器,便能提供甚至效能更高的設備。

「Intel 透過其他人尚無法提供的服務,讓我們成為數位轉型的先驅。」

作者簡介

Cathie Ericson is a freelance writer who creates articles, white papers, and other B2B content. Her expertise spans retail, education, finance, HR, and real estate fields for companies of all sizes. In addition her work regularly appears on websites that include U.S. News & World Report, MSN, Business Insider, Yahoo Finance, Market Watch, Fast Company, and more.

Profile Photo of Cathie Ericson