由左至右,依序為趨勢科技資深經理鄭朱弘毅/台灣微軟全球商業營運事業群首席解決方案經理李浩賓/微軟物聯網解決方案架構師陳彥甫。

2010 年伊朗的核電廠受到 Stuxnet 蠕蟲攻擊,這是全球第一起重大 OT 資安事件,後來類似攻擊幾乎每年出現,初期多以基礎建設為主,但近年來頻率升高,製造業亦不在話下。

從 2018 年台積電、甚至今年日本 Honda 車廠,都因資訊安全問題造成鉅額損失。也因此近期台達電聯手微軟與趨勢推出 EdgeMES,為製造業量身訂造,提供製造業者效能與安全兼具的智慧製造系統。

EdgeMES 是由微軟、趨勢、台達三方共同合作,目標是為了降低製造業的智慧化門檻並縮短系統導入時程。台達為機械設備製造商設計輕量化、開箱即用的 EdgeMES,並透過微軟 Azure IoT Edge、Azure SQL Edge 邊緣運算與趨勢科技所提供的動態 IoT 資安解決方案,三方共同合作打造出此機械設備製造專用的營運管理系統,除了具備輕量化、開箱即用等特色,「資安維護」功能更是其中一大關鍵核心。

製造業對資安「太保守」,網路攻擊頻頻在 OT 端得手

「OT 系統的網路攻擊這幾年越來越頻繁、規模也越來越大,業者如果置之不理,未來受到的傷害會比想像更嚴重。」趨勢科技資深經理鄭朱弘毅說。

這幾年類似事件發生頻率的確越來越密集,作法不外乎是針對工廠中的特殊通訊協定或機台,發動各種工廠中過去未曾見到的網路攻擊。這些手法在 IT 領域都早已司空見慣,屬於舊式攻擊模式,但為何在 OT 端可以頻頻得手?他點出幾個主要因素。

趨勢科技資深經理鄭朱弘毅。

首先是 OT 系統為扁平化架構,工業物聯網的基礎是機聯網架構,製造現場的生產設備必須互串互聯,「在沒有層層隔絕的防護機制下,一部機台中毒,馬上擴散到其他機台。」

其次是工廠的製造系統講究高穩定性,為了讓產能穩定輸出,系統中的軟硬體向來是一動不如一靜,如果加入防毒軟體,有可能牽一髮動全身,擴及廠內所有設備,甚至有可能因此造成原有的機台保固失效。

在此態勢下,製造業的動作更趨保守,部分業者甚至因為資源不足或發生機率太頻繁,不會在中毒後導入資安機制,而是先停機讓其他產線接手生產,中毒的產線則以系統回溯的做法對應。然而這些思維與做法,在智慧化時代將面臨強大挑戰! 「要解決這些問題,OT 系統中雲端與地端的資安都要到位。」

OT 資安系統如何與製造業完美對接?微軟 Azure 成關鍵橋梁

為了強化製造業的安全機制,在智慧製造概念剛問世時,趨勢科技就已有 OT 系統專屬的資安產品,其功能都是針對市場需求而設計。

過去限於 OT 系統的作業軟體不易相容,一直無法與製造業順利對接。對於趨勢科技與台達的合作,鄭朱弘毅指出,趨勢科技是軟體服務供應商,台達電子則是硬體設備製造者,這兩類型企業的產品研發及部署流程完全不同,雖然硬體端需要防毒軟體支援,軟體端也發現此一需求且有對應的解決方案,但如果產品之間要直接對接有相當難度,需要投入大量資源與時間不斷磨合調整,過去即便市場有需求,但要合作並不容易。「透過微軟的 Azure,OT 系統相容性問題現在已被順利解決,EdgeMES 就是最佳案例。」

台灣微軟全球商業營運事業群首席解決方案經理李浩賓表示,微軟近年來積極經營垂直領域的開發,製造業則是 6 大重點領域之一,在這些領域中,微軟透過旗下的 Azure 串接不同產業的廠商,形成產業生態系,讓過去無法找到對口的需求兩端業者,從此有了合作的機會,在這次 Edge MES 中,微軟就扮演了此一角色。

微軟的 Azure 已針對 OT 系統設計出專有的框架,製造業者依此框架就可以順利上雲,此外微軟在垂直應用領域中以開放態度最大化系統的擴容性。

「除了 IT 領域都已熟悉的微軟作業系統外,其他開源架構也可以在 Azure 上運作。」李浩賓指出,這個做法讓趨勢科技與台達可以專注在自身的專業研發,無需考慮調整架構以利於對接雙方系統。

化被動為主動,利用 AI 搶先破解持續演進的惡意軟體

透過微軟的 Azure,趨勢科技提供了台達 Edge MES 專屬的資安防護機制。鄭朱弘毅表示,與功能複雜的 IT 系統相較,OT 系統的功能取向單純,因此所需要的資安架構也與之不同。

以 IPS(入侵預防系統)為例,一般 IT 系統必須監測 IP、檔案文件、電子郵件……等多種項目,但 OT 系統並不會有此需求,因此趨勢科技在台達的 Edge MES 中,是以 DPI(深度封包檢測)查看封包的來源與內容,並以黑名單與白名單兩種技術相互搭配,保護 Edge MES 的安全。

另外,為了因應快速進化的駭客手法,趨勢科技也將 AI 應用於資安防護,利用 AI 機器學習演算法運算雲端上的數據,分析封包進入系統後的去處與後續行為,從而找出駭客的入侵模式。

這種長期觀察分析的做法,可以破解持續演進的惡意軟體,讓 OT 系統可以化被動為主動的預防入侵,不再只是亡羊補牢的填補資安漏洞。

Azure 除了是 OT 系統與製造業完美對接的橋樑,微軟在雲端平台安全性上也提供了完整的資安防護。

事實上,微軟一直以來都相當注重企業級安全的防護,2003 年,微軟創辦人 Bill Gates 就曾下令將所有的研發工作全部停下,並將「安全守則」作為開發重點,要求工程師在撰寫程式的過程中,必須完全遵守將微軟的資安準則。

在當時,微軟是全世界第一家把安全守則放在整個軟體設計過程裡的軟體公司。這樣子的高標準資安準則被納入了微軟所有產品的各層面,以符合各國/各產業領域規範。

在 Azure 雲平台的安全性上,微軟由數千名全球網路安全專家組成的小組會攜手看管全球 60+ 個資料中心提供符合各國規範安全性服務。Azure 雲平台的安全管理是大部分中小企業所建置私有雲無可比擬的。在台達、微軟、趨勢科技的三方合作下,Edge MES 不僅具備高效能,也擁有相當完善的資安防護。

(延伸閱讀:【Cathy 陪你打造智慧工廠】戰術篇:智慧工廠的資安治理怎麼做?

中小企業也能做到完整資安防護

鄭朱弘毅坦言,現在多數中小型製造業者受限於有限的資源與資安專業知識,不知賴以營運的 OT 系統被駭,對營運造成的立即危機與商譽的損失。「Edge MES 的整體配套作法,則可讓製造業者在不需專業的前提下,以可控成本一次滿足智慧化與資安兩大需求。」

他認為,這無疑是目前中小型製造業者建置智慧製造的最佳選擇,至於對趨勢科技與台達來說,透過微軟 Azure 連結彼此,也是成本最低、效益最佳的合作模式,因此微軟將會是該公司未來佈局各垂直應用領域的最佳夥伴,未來雙方將繼續保持密切,深化 OT 資安的布局。

(本文提供合作夥伴轉載,首圖來源:TechOrange。)

延伸閱讀

【Cathy 陪你打造智慧工廠】戰技篇:IT、OT 高效整合核心 2 招
【Cathy 陪你打造智慧工廠】戰術篇:解密新南向市場智慧製造 4 大發展關鍵
【Cathy 陪你打造智慧工廠】戰略篇:導入智慧製造 5 個關鍵大哉問