因應工業環境特殊性 選用正確設備以強化工控安全
隨IIoT、智慧生產趨勢所形,讓OT環境從封閉走向開放,連帶使攻擊路徑愈趨多元;麻煩的是,雖有不少企業意識到工控系統安全議題,已開始推動相關專案,但實施成效不顯著。
四零四科技(Moxa)產品行銷經理郭彥徵分析,工控安全之所以難為,在於蘊含許多迷思,企業若未釐清這些癥結,僅沿用IT慣用方法來建立OT安全架構,極易陷入瓶頸。首先企業應顛覆一些既定認知,須知道駭客早已開始研究工控系統、多數的ICS漏洞都可被輕易利用,再者駭客攻擊對象已不再限於SCADA,舉凡PLC、I/O或Sensor都可能遭襲擊。
此外不管企業或資安方案夥伴,亦須有所體認,工業環境有特殊的資安需求,若未充分考量,很難對症下藥。比方說工控環境的首要目標是「不中斷的營運」,無論設備韌體更新、漏洞修補或資安設備升級,若會造成設備重啟、產線停頓,顯然都行不通,所以資安方案須考量對產線運行的影響,另須兼顧OT特有的通訊協定、軟硬體設計,並符合工業環境耐受性(如高溫、高濕、高震動)。
企業如何考量工業資安方案?郭彥徵建議,除應選擇適合OT的資安方案外,且應按自身技術程度、資源多寡而分階段投入。一套完整的工控資安架構,從低到高有Secure、Defend、Contain、Manage及Anticipate五大階層,層次愈高、成本愈重,企業可從基本功開始做起,先依IEC 62443-4-2標準來選用網路方案,確保所用的網通設備、Serial-to-Ethernet、遠端I/O、協議轉換器等等產品都不會淪為駭客入侵點,再循序建立區域防火牆、應用白名單、資安事件控管、入侵偵測系統等機制,逐步提升防禦力。
Moxa不僅遵循IEC 62443-4-2設計完整產品線,也在一向擅長的工業網通設備中融入網口實體控管、ACL、封包分析、VPN等基本資安功能,如今更以OT為出發點設計次世代防火牆(內含IDS/IPS、DPI、應用程式白名單等功能),期望協助用戶破解迷思、兼顧工控環境持殊性,迅速建立真正合用的工控安全架構。