OT 資安搞不定?工業通訊專家 Moxa 從基礎開始告訴你該怎麼做

Moxa 亞太區產品行銷經理郭彥徵與 Moxa 網路安全巿場開發協理陳宗祈於第一場直播破解 OT 資安的趨勢。(截自直播畫面)

本月初 TechOrange 與 Moxa(四零四科技)專家合作舉辦線上研討會,會中提到,2010 年中東某核電廠的運作系統(OT)忽然被 Stuxnet 病毒侵入,這起全球首次大型 OT 系統被駭的事件,造成全球能源、製造,甚至是交通運輸、航太等領域業者一陣心驚,因為這類型 OT 系統在這些場域的架構應用或有不同,但架構中所採用技術都是一樣的。在佈局數位轉型時,多數企業常忽略了「工業網路安全」的重要性,使得工業現場成了駭客眼中的肥肉。

這次攻擊剛傳出時,多數業者認為應該是偶發事件,沒想到之後每年都有災情傳出,如 2019 年鋁業與再生能源技術公司被勒索軟體 LockerGoga 入侵、而今年日本某車廠也因為被勒索軟體 Snake 攻擊,導致其多國產線停擺,「從這些事件可以看出,OT 系統的網路攻擊早已經進化,在工業設備全面連網後,攻擊的頻率會更高、影響程度也會更大。」Moxa 亞太區產品行銷經理郭彥徵說。

郭彥徵提到,由於 OT、IT 資安需求不同,造成 IT 資安觀念無法輕易轉移至 OT 現場,導致 OT 資安防護不足。(截自直播畫面)

OT、IT 資安有什麼不同?一次搞清楚 OT 與 IT 資安觀念

在談 OT 資安之前,要先了解何謂「OT」?OT 是 Operation Technology 的縮寫,相對應用於企業辦公室內的 IT(Information Technology)系統,OT 系統主要建置在能源、製造、交通…等產業,用來控制、操作場域內 PLC 控制器、資料蒐集與監控系統 SCADA、人機介面…之類的各種設備,因此中文稱之為 營運技術

與 IT 一樣,OT 為了強化系統效能,因此也有通訊需求,不過這兩種系統的通訊差異極大。郭彥徵指出,IT 系統不同品牌的軟硬體相容性非常高,OT 系統則有各種標準,在工業現場常見的通訊標準就有 Modbus、PROFIBUS、CC-Link…等多種串列式通訊埠,「這些標準不但彼此間無法相容,要對上鏈結工業乙太網路時,也必須經過轉接。」

OT 系統的工業通訊系統封閉,過去通訊系統的資安考量並不高,因此即便為了與上層乙太網路介接,在中間設置了交換器,但在資安方面頂多只有最簡單的防火牆,OT 系統通常不會內建防毒軟體,因此對外界可能的攻擊,幾乎是零設防。

智慧製造浪潮帶來的 OT 資安危機

不過此一機制在工業 4.0 趨勢下開始出現危機。工業 4.0 與智慧製造訴求的概念,是整合 IT 與 OT 兩大系統,讓 OT 端的機台、產線數據可以被擷取、彙整、分析,而過去的網路資安攻擊目標都鎖定在 IT 系統,OT 因屬於封閉系統,駭客與病毒無縫侵入,因此被駭的機率並不高,但現在兩大系統的整合,等於讓 OT 系統鑿開一條裂縫,提供有心人士侵入的管道,這也是近期智慧製造系統、工業物聯網的資安成為市場熱門議題的主因。

陳宗祈表示,由於 OT 與 IT 資安系統的架構差異極大,因此在建置 OT 資安防護時,須正視三大挑戰。(截自直播畫面)

OT 資安防護須面對三大挑戰

作為場域運作的骨幹,OT 系統如果被駭,其受害程度會遠超過 IT 系統,因此郭彥徵指出,未來必將成為有心人士的重點目標,因此業者必須盡快開始著手打造 OT 系統的資安防護。不過要建置完善的 OT 資安機制並不容易,前面提到因建置目標不同,兩種系統的架構思維也有極大差異,因此業者在打造 OT 資安時,Moxa 網路安全巿場開發協理陳宗祈指出,必須先有三大挑戰的體認。

挑戰 1. – OT 系統不能停

OT 設備關乎工廠製造、交通運輸…等系統運作,一旦停止不僅會帶來巨大損失,而且貿然停機也有可能造成工安危險,因此無論是導入或後續的升級,OT 系統的運作都不能因此中斷。 

挑戰 2. – IT 的資安設計無法套用

現在市場上的資安軟硬體都是為了 IT 系統設計,無法套用在 OT 端的 PLC、SCADA、HMI 等設備上。

挑戰 3. – IT 與 OT 兩方專家對彼此的專業不熟悉

OT 的專業與 IT 大不相同,IT 專家無法了解 OT 系統的架構與需求;相反的,OT 專家過去少有資安意識,因此欠缺相關的專業知識。要將這兩大部門整併,需要長時間的磨合溝通。

解決關鍵一:專家建議遵循產業標準,建立導入框架提升系統安全

對於上述挑戰,郭彥徵認為可從幾個面向克服,首先是資安框架的建立依循。在導入 OT 系統的資安機制前,若不知如何著手,可以先參考 ISO-27000 與 IEC-62443 兩種標準,以這兩大標準的規範作為導入框架參考。ISO-27000 主要是作業現場的人員規範,IEC-62443 再進一步詳列出 OT 運作時可能出現的資安風險,並制定出更廣泛的遵循規則,「而且 IEC-62443 也銜接了 ISO-27000 的人員規範,因此業者不必擔心如何二擇一,可以一併導入提升系統安全。」

至於業者最重視的導入成本,陳宗祈從 Moxa 過去的經驗建議,資安建置費用可先抓在網路設備成本的 5%~10% 之間,之後再視運作狀況調整。

8 月 5 日前,報名觀看精彩回顧,可獲得 OT 資安技術白皮書,填寫會後問卷還能取得應用案實例。 點擊收看 工業資安入門管理篇

在第二場直播中,黃晟瑜說明,OT 資安的防護建置可以善用業界所提供的專業網路安全解決方案。(截自直播畫面)

解決關鍵二:善用業界 OT 資安專業助力

除了遵循現有標準打造 OT 資安框架外,另一個 CP 值最高的做法就是尋求外部專業力量。陳宗祈指出,工業網路的應用場域多元,其系統架構都要貼合場域特色設計,例如 Moxa 之前協助建置的礦業公司,礦場所在地面積遼闊、而且各種廠牌的設備、標準都有,對此 Moxa 先透過無線通訊技術解決佈線問題,再以旗下的工業等級閘道器產品,整合不同序列式標準,打造出最適化的工業通訊網路架構。礦場只是工業場域的一例,其他場域也有各自需要克服的問題,像是工廠中的金屬與電磁波干擾、高速公路 ETC 的大量行車資料擷取與分析等,「工業通訊系統不僅需要高度專業,還要有非常深厚的經驗,而 MOXA 就是此一領域的佼佼者。」

Moxa 自 1987 年成立時便聚焦於工業通訊,因此在技術深度或產品穩定度,都具相當高的競爭力。「我們成立初期就推出的產品 NPort,不但一路熱賣至今,還成為業界串列設備伺服器的代名詞。」除了 NPort 所屬的序列式通訊產品之外,Moxa 還有工業網路基礎建設與工業運算,這三大產品線可為業者打造出完整的工業網路架構。

借鏡 OT 架構建構經驗,打造 OT 資安防護系統

Moxa 累積 33 年的經驗使得其工業網路通訊產品成為強力品牌,目前在串列式通訊轉工業乙太網路部分,Moxa 的出貨量已居全球第一,工業乙太網路產品則為第三,其產品已被應用於各種特殊系統中,除了交通、製造之外,環境更為嚴苛的系統也可見其蹤跡,美國太空總署 NASA 的航太系統就採用了 Moxa 的產品,負責專案的波音公司更稱讚這是全球極少數可以在最嚴苛環境下,仍能穩定運作的產品。

Moxa 對於工業通訊系統的資安專業也是別有洞見。陳宗祈指出,近幾年智慧製造趨勢興起,早已協助國內外多家大型業者,建立起效能與安全兼具的工業通訊系統。他也建議業者可以善用 Moxa 的專業與經驗,在建置工業通訊網路時,踏出正確的步伐,同時也讓數位轉型更順利。 

8 月 5 日前報名觀看完整論壇,能獲取 OT 資安技術白皮書,觀看後填寫會後問卷更可取得額外的應用案例。點擊收看 工業資安入門管理篇 工業資安實戰升級篇

(本文提供合作夥伴轉載。)

你可能有興趣


《TO》品牌活動「CONNECT」深度專題重磅更新! 

《TO》年度品牌活動 CONNECT 2020「5G 新經濟」新專題上線! 看台灣新創如何用 5G 翻轉各產業的傳統想像,打造意想不到的創新服務! 馬上報名 獲取最新深度報導。

點關鍵字看更多相關文章: