別受傷了才懂!專家分析資安實戰痛點與技術解方,及早替 OT 系統的安全把關

圖片來源:邱如仁 攝影

2010 年,中東核電廠發生網路攻擊事件,國家最高等級的重要基礎建設被病毒攻擊,當下成為國際焦點,不過這個 OT 人的惡夢才剛開始。過去的十年間,幾乎每年都出現重大 OT 資安事件,像是台灣產業印象深刻的 2018 年的台灣史上最大資安事件,便造成 52 億元的損失。

近年的目標性攻擊四起,框列在 OT 領域的製造業如半導體、車廠、電子、食品業、基礎建設如電廠、水廠等皆遭惡意攻擊,致使運作停擺。四零四科技(Moxa)資安系統架構師 Sever Sudakov 指出,「這些針對 OT 的網路攻擊頻率越來越密集,損害也越來越大,主要原因就在於數位轉型時,在 OT 系統上使用了 IT 的技術,卻忽略了將資安技術一起導入。」

數位轉型完美?OT 資訊價值提高,卻使資安後門大開

過去 OT 網路環境屬於封閉性架構,雖然早有各種工業通訊標準以內網形式串聯廠內機台,不過資訊多流通在現場網路,不與外界系統連結,有意人士要侵入系統難度相對高,也降低了有心人士攻擊的意願。因此,相較於頻頻中毒、被駭的 IT 企業端網路環境,OT 現場端網路環境相對安全。

這個情況在數位轉型之後出現變化,強調讓 OT 端的資訊可以被蒐集、儲存、分析,藉此提高運作效率並創造出更多元的營運模式的方式,促進了更多的資源投入。然而其中的龐大商機,加速讓過去難以從企業外部得知的技術開始廣為人知,使擁有 IT 背景的有心人士能夠從中學習,無形之中也讓過去資訊封閉的 OT 系統的資安出現破口, Sever Sudakov 提醒業者必須注意,「當數位轉型落地越普及,OT 系統的資安風險也就越高。」

將 IT 技術導入 OT 環境之後產生的資安風險與挑戰(圖片來源:四零四科技)

工業資安應用兩大痛點:常用 DPI 方案尚未成熟、攻防程度落差大

從 Moxa 過去幾年的經驗觀察,歸納出 OT 資安建置的兩大痛點,首先是 IT 資安手法無法完全移植套用到 OT 端。除了因為設備無法停機更新、更新後的停機風險讓 OT 部門卻步外,即使 OT 部門採購資安產品, 又會面臨 OT、IT 環境需求大不同、各大自動化廠商的自有標準無法彼此相容等問題,「譬如當 IT 資安也很常見的 DPI(Deep Packet Inspection,深度封包檢測)應用在 IDS(Intrusion Detection System,入侵檢測系統)上,因不更動資訊流且無誤判風險而受到業界歡迎,然而現階段的 OT 網路設計還不能真的讓 IDS 好好發揮。」

Sever Sudakov 進一步解釋 DPI 應用對 OT 資安的重要性,與過去的封包檢測方式相較,DPI 能檢查更深一層封包的資料,並且可執行主動防禦的指令,避免 OT 系統中的聯網設備被惡意程式感染散播,造成大量損失。「只是 OT 現場網路的設計要導入這個技術並不容易。」

第二個痛點是攻守兩端的技術能力有落差。「就像前面提到,OT 系統過去相對安全,企業對現場的投資在於精進設備的生產效能上,對相關的資安技術投入有限,即便廠商有心學習,一時之間能取得的相關知識也不多。」在此同時,攻擊方的駭客不但在 IT 戰場習得各種侵入技術,這些技術還隨著 OT 技術資訊開始開放同步成長。在此態勢下,OT 人員的資安防禦能力難以追上駭客攻擊變化,在雙方對抗中很難取得優勢。

IT 與 OT 深度封包檢測(DPI)比較(圖片來源:四零四科技)

新世代 OT 系統的資安架構浮現:合乎通訊標準、主動防禦、客製系統

從上述痛點來看,OT 系統的資安機制首先是要能夠應用於工控領域中的各種通訊標準。現有的通訊標準都有其特定功能與意義,不可隨意替換為新標準,因此資安設計必須主動與這些標準整合。其次是除了有被動偵測的 IDS 外,還需要搭配主動防禦的資安機制,發現入侵同時採取安全措施,譬如 IPS 或防火牆,透過主動防禦避免傷害擴大。第三是針對特定需求的 OT 系統,設計對應的系統,「某種程度上,應用 DPI 的難處不在判讀這件事,而是判讀的速度。例如某些領域的 OT 設備的延遲性是零容忍的,系統業者就要必須滿足此一需求。」Sever Sudakov 說明。

雖然需求明確,但要能全部達成,且使系統架構貼合該企業的應用領域,難度非常高,一般而言企業無法也無須自建。Sever Sudakov 建議透過結合了解自身系統的內部專家與了解資安部署的外部支援,才有機會做好 OT 資安,此時外部合作夥伴的專業能力非常重要,而 Moxa 就是 OT 資安的專家之一。

圖片來源:邱如仁 攝影

專家建議:參考專業顧問、針對 OT 設備客製設計相應解決方案,才能有效整合系統

Sever Sudakov 表示,Moxa 自 1987 年成立後,就鑽研於工控網通領域,因此 34 年來累積了許多專業技術,「這些專業技術讓我們可以針對不同工業應用,推出對應產品。」例如前面提到延遲零容忍的電力系統 GOOSE(Generic Object Oriented Substation Event,通用物件導向變電所事件)設計,就高度要求資訊傳輸時間的一致性,Moxa 就為此推出了專為此需求的網通資安解決方案,滿足該產業的需求。

常見以 OT DPI 技術為核心的應用與特點(圖片來源:四零四科技)

透過長期深耕工業通訊領域,Moxa 也將累積的技術與經驗轉化為服務,並結合大量經認證的系統整合夥伴,在客戶導入的不同階段提供服務。在導入前,專業團隊會針對客戶的 OT 系統狀態與需求,預先規劃系統功能與架構;在導入階段或系統上線運作後,再與系統整合業者攜手解決客戶問題,讓企業的 OT 網路通訊與資安系統可以長期維持運作,不會因無人維護導致系統失去效能。

隨著智慧化腳步加速,OT 系統的安全防護已經刻不容緩, Sever Sudakov 強調,OT 與資安的專業需求非常高,方向錯誤或功能不足的設計,將會讓企業的 OT 系統門戶大開。因此在建置系統時,合作夥伴的專業將會成為系統成敗的重要因素。選擇專業的合作對象,才能為企業的 OT 系統打造效能與安全兼具的可靠網路。

更多工業資安研討會,請收看 >>>   工業資安入門管理篇   、   工業資安實戰升級篇
專家從基礎開始解釋,還有詳細產業案例!

(本文提供合作夥伴轉載。)

你可能有興趣


點關鍵字看更多相關文章: