账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
工厂资安事件频传 你的工业控制系统够安全吗?
 

【作者: 王明德】2019年06月03日 星期一

浏览人次:【14899】

2017年日本知名汽车制造厂被勒索软体侵入、2018年半导体机台被病毒感染,伴随工业4.0而来的资安危机,将成为制造业难以回避的课题,而唯有透过适合的OT解决方案,才能让制造系统的效能与安全兼具。


工业4.0掀起全球制造业智慧化趋势,工业物联网被视为制造领域未来的核心骨干。工业物联网的运作结合企业中IT与OT两大系统,让制造系统的资讯可被最大化应用,进而提升系统效能,不过四零四科技(Moxa)亚太区物联网解决方案处产品行销经理郭彦征表示,这两大系统各有高度专业,整合本来就不容易,而整合后也须面临过去自动化时代未曾遇过的各种问题,工业资讯安全又是其中之重,系统一旦出现漏洞,所产生的伤害有可能远高于现在的IT系统资安事件。


智慧制造时代 OT系统迎来新挑战

郭彦征指出OT制造系统的需求与一般企业IT平台极为不同。 OT系统对于稳定度、即时性有高度要求,设备选用需考量是否能在大量电磁干扰的环境下稳定使用,甚至工业系统内存在许多特殊的通讯协定(Protocols),这些通讯协定都是鲜少在IT系统中被使用的。


IT系统从网际网路风行以来,早已逐步建立了完整的资安机制。相较之下,过往OT制造系统仅需于制造现场运作,并不须要与外界系统链接,此封闭架构让工业系统专注于本身运行,带来最大化生产效能的好处。也因为系统的封闭性,骇客相对不熟悉工控系统,且很少听闻有针对工控系统设计的病毒,导致OT工程师认为安全无虞而较缺乏资安意识。但随着自动化的发展与智慧制造的技术突破,愈来愈多的设备开始连网,制造系统已不如过去OT工程师想像中的封闭,且工业物联网的架构中,无论是连上公有云或私有云,工厂进行设备及资料可视化、可预测及远端管理,使IT与OT系统的整合成为必然趋势。除了OT应用及系统环境的改变,更令人担心的是攻击者已经开始熟悉工控系统的各项设备。 OT工程师已不能沉浸在过去的迷思中,认为工控系统是十分封闭且安全的环境。


现今工业设备连网已是存在的事实,OT与IT的整合等于让制造系统对外开了一道门,除了制造资讯可以出的去,外界资讯也进得来。 2010年以来,全球爆发了多起手法高超的网路攻击,例如瞄准工业控制系统(ICS)网路的攻击事件,包括震网超级病毒(Stuxnet)和工业毁坏者恶意软体(Industroyer)。这些攻击事件提醒着拥有关键应用的企业,厂内设施根本无法承受几秒钟的停工,否则会对企业营运造成莫大的负面影响。此外,这些事件背后更隐含了网路攻击的转变。资安事件已从攻击Windows/ Linux 平台下的软体服务 (如:SCADA、HMI),延伸至对于工业设备弱点的针对性攻击。此外,从美国政府机构展开的「工业控制系统网路紧急应变团队」(ICS-CERT) 研究指出,关键制造业和能源产业所遭受的网路攻击数量远高于其他产业。为此 IT和OT控制工程师急需开始共同研拟并部署各种安全措施,确保工业网路安全。


鉴于资安越来越重要,对资安规划向来较少接触的OT管理者,往往只能向IT业者求救。但IT与OT系统的建置目标有许多不同,因此许多IT资安方案、设备往往难以顾及OT系统所需。例如OT系统以”可用性”为主,OT管理者目标尽可能提高稼动率,减少设备停机时间,以使产能最大化。反观IT资安系统以资讯的”机密性”及”完整性”为重,而”可用性”为副。因此IT资安方案导入时常需要大幅修改网路配置并进行长时间的测试,产线停止运行的压力往往造成OT人员无法顺利导入资安方案。另一方面而且许多IT资安方案都为IT专业人员设计,例如: 导入IT使用的入侵侦测系统(IDS)针对网路上可疑活动进行侦测、记录与分析,如OT人员无法有能力进一步处理记录及分析的结果,往往造成大量人员及时间的投入,但无法达成方案的有效性。



图一 : IT 和 OT 的巨大差异
图一 : IT 和 OT 的巨大差异

IT方案无法顺利导入,又找不到OT资安专属的解决方案,成为制造业者现在的困境。然而现今工厂早已导入大量连网设备及OT/IT系统整合的自动化控制系统,OT管理者只能让系统在极高风险的隐忧中持续运作。而许多尚未导入自动化或智慧制造的业者则在资安考量下,往往于评估阶段就先停下观望,等待最佳解决方案。


理解OT产业特点有效解决资安问题

专业问题专业解决,OT问题当然也要由OT专家来解决。郭彦征表示,现在还没有任何方法或途径,可以100%避免网路攻击或人为疏失的资安风险。然而,最适的工业资安解决方案必需满足OT人员的考量,厂商需深入了解OT网路架构的安全弱点,提出从点到线的”纵深防御” 措施,并落实最佳实作,立即提升网路安全性,避免受到恶意攻击的机会。


首先企业内部应确保工程师充分理解工业网路安全的重要性,以及企业(IT)网路与工业(OT)网路的差异,并了解如何运用各项方案保护工业网路。网路威胁随时可能发生,基于工业设备类型、功能各异,不如Windows/Linux有统一平台,可寻求设备厂商依其设备特性提供资讯安全方案。


四零四科技(Moxa)是工业设备连结与网通市场领导厂商。自1987年成立,32年以来就只做工业设备通讯这件事,旗下产品早已行销各国,技术也一直是产业领先者之一。长期聚焦制造业的四零四科技累积了大量OT系统经验,理解OT管理者的需求与考量。其在工业资安解决方案涵盖了设备安全防护、网路架构安全防护、及网路安全管理等3大层面。在设备安全方面,四零四科技提供一系列符合国际工业控制安全标准IEC-62443的产品,产品依IEC-62443规范提供安全防护功能,如序列网路转换器、通讯闸道器、网路设备等均含其中。在网路架构安全防护上,相关产品贴近对资安功能相对不熟悉的OT人员,如采用网页点选介面配置 实体乙太网口锁定、ACL(Access Control List;存取控制安全机制)、Firewall (防火墙)等资安功能,让OT人员不需学习如何使用命令行界面(Command-Line Interface) 即可管理网路行为,防堵病毒或有心人士的进入。最后于网路安全管理,四零四科技除了提供网路可视化方案,更提供资安确认 (Security Check)的功能,确保网路运行顺畅且设备资安功能均已启用并达到IEC-62443标准。


随着创新技术的导入,工业4.0 及智能制造的确带来生产效率及效益的提升,但同时也带来新的资安隐忧,因此四零四科技除现有的资安方案外,将进一步拓展针对工业控制系统(ICS)安全布局。从现在的网通设备、网路架构层、及管理等3大面向,延伸到OT设备系统层面的保謢。以提供高安全、高效能的设备连网方案为首要任务,四零四科技更与IT领域的资安专家趋势科技合资成立TXOne Networks,共同开发工业入侵防护 (Industrial IPS) 产品,目前此产品已在测试版阶段,可让营运技术(OT)环境俱备侦测及拦截软体漏洞攻击的能力,并提供虚拟修补防护与支援通讯协定白名单来弥补相对薄弱的认证机制。该产品于上个月已在日本IoT/M2M Expo展会中亮相,引发热烈关注。


随着创新技术的导入,工业4.0 及智能制造的确带来生产效率及效益的提升,但同时也带来新的资安隐忧,因此四零四科技除现有的资安方案外,将进一步拓展针对工业控制系统(ICS)安全布局。从现在的网通设备、网路架构层、及管理等3大面向,延伸到OT设备系统层面的保謢。以提供高安全、高效能的设备连网方案为首要任务,四零四科技更与IT领域的资安专家趋势科技合资成立TXOne Networks,共同开发工业入侵防护 (Industrial IPS) 产品,目前此产品已在测试版阶段,可让营运技术(OT)环境俱备侦测及拦截软体漏洞攻击的能力,并提供虚拟修补防护与支援通讯协定白名单来弥补相对薄弱的认证机制。该产品于上个月已在日本IoT/M2M Expo展会中亮相,引发热烈关注。


近年来制造业资安事件频传,及因应国内资安管理法规上路,不少业者已开始关注工业资安的议题,纷纷询问解决方案,四零四科技持续不断专注提供更安全的网路及设备防謢解决方案,全方位防堵外界的恶意攻击。协助客户在OT与IT系统发挥整合效能的同时,确保整体架构及工业控制系统与设备的安全性,落实智慧化愿景。



图二 : IT 和 OT 的巨大差异四零四科技工业亚太区物联网解决方案处产品行销经理郭彦徵表示,资安是建置工业物联网的重要课题。(摄影/林鼎皓)
图二 : IT 和 OT 的巨大差异四零四科技工业亚太区物联网解决方案处产品行销经理郭彦徵表示,资安是建置工业物联网的重要课题。(摄影/林鼎皓)
相关文章
探索下一代高效小型电源管理
以固态继电器简化高电压应用中的绝缘监控设计
开启边缘智能新时代 ST引领AI开发潮流
驱动无线聆听 蓝牙音讯开启更多应用可能性
传动元件消库存扩散布局
comments powered by Disqus
相关讨论
  相关新闻
» Fortinet 资安嘉年华:人工智慧协作守护未来资安
» 洛克威尔自动化最新工业资安报告 能源业受攻击次数多出3倍以上
» 达梭系统举办数位转型智造论坛 助中小企业提升研发创新力
» 达梭强化疫後供应链复原 助数位转型开辟新市场
» Omdia:生成式AI面临相同挑战 涵括偏见内容与可解释性


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83J9B1LH6STACUKM
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw