账号:
密码:
CTIMES / 文章 /   
工业电脑整合OT+IT资安解决方案
由上而下打造零信任网路架构

【作者: 陳念舜】2021年12月27日 星期一

浏览人次:【2660】
  

延续自这两年来疫情肆虐全球期间,推动基础建设及产业数位转型需求大增,工业电脑(IPC)应用也越来越普及,随之造就营运技术(OT)资安领域的完美风暴。由于皆采用PC + Windows OS架构,让骇客只须采用与资讯科技(IT)同一套「解决方案」,就能入侵OT产线设备,也促使资安软体业者开始与IPC硬体业者积极整合以协同解决。


根据Cybersecurity Venture研究,近年来伴随着物联网、AI技术,带动工业4.0、智慧制造的浪潮,让工厂远端操作需求不断提升,并为此设立了大量感测器,以及监控各处数据的零组件所形成的网路架构。却常因为单一元件的处理效能有限,往往缺乏内建安全防护功能,也让骇客拥有更多可趁之机,据统计只须平均耗时5分钟,就能针对刚连线的装置攻击。


生产线又为了提高效率,而从前端ERP接单,直接连结到后端MES流程高度整合,用来搜集数据的感测器也会互相串连,形成范围更广的工业物联网系统。因大量将IT与OT融合的布建下,促使原来受封闭式网路保护的OT端大量暴露在网路威胁之下,形成一场完美风暴,单一漏洞可能很快就会成为入侵公司网路的起点。截至2021年全球因资讯安全事件已造成6兆美元的成本损失,建议企业应透过更完整由端到云的资安防护,以确保在资安环境数位转型,免于资安威胁。


其中,工业控制系统(ICS)环境的资安防护便在「防患于未然」,以免遭遇巨大的资安危机。依趋势科技研究观察2020年10大勒索病毒家族,皆锁定感染OT、ICS为攻击目标,台湾科技制造业也成为骇客发动勒索病毒攻击的受骇者。且在最新针对日本、德国及美国的工业网路资安调查中,也显示有高达61%的受访制造业者都经历过资安事件,甚至造成43%企业产线停摆4天以上,剧烈冲击着制造业营运。


Gartner也预测,企业在2023年因为CPS(Cyber-Physical Systems)遭受攻击,造成的财务损失已超过500亿美元;加上受到资安攻击衍伸的相关赔偿、诉讼、保险、监管罚款,以及人为失误所产生的责任损失将持续扩大,显示OT安全性势必成为制造业营运的一大挑战。


因应现今只要有资料的地方,就必需要有安全的考量。否则可能发生搜集不到,或是搜集了错误的资料,甚至是资料被锁住不能用的情况,所以必须在每一个环节做足准备。趋势科技执行长陈怡桦便强调:「对制造业而言,资安应该就是制程的一部分,千万不能当成附加成本。务必让台湾制造的所有元件与成品,都能有资安思维在其中,才能够帮助世界数位转型的成功更安全。」


依趋势科技观察,现今政府与银行虽然一直都是骇客主要攻击目标,但2020年制造业与医疗业遭受攻击的状况更严重。由于台湾GDP有30%以上都是来自于制造业,在全球制造业重组供应链扮演要角,半导体产业更被誉为「护国神山」,撑起了全世界数位转型的半边天,锁定OT环境进行攻击的勒索病毒也与日俱增,对于制造业已是当务之急。


最近台湾政府积极在五加二产业创新的基础上打造新一代六大核心战略产业,便特别强调「资安即国安」的重要性,已在《产业创新条例》条文中将新增资通安全产品或服务投资抵减优惠项目,包含:终端与行动装置防护、网路安全维护、资料与云端安全维护有关的硬体、软体、技术或技术服务,及跨终端、网路、云端的资通安全技术服务等。借以鼓励产业加速或提前导入资安产品或服务,尽速完备台湾产业资安联防体系,确保可在国际供应链上取得客户信赖,并能因应国际日益严重的资安攻击与威胁。



图1 : 因大量将IT与OT融合的布建下,促使原来受封闭式网路保护的OT端大量暴露在网路威胁之下,形成一场完美风暴,单一漏洞可能很快就会成为入侵公司网路的起点。(source:arbor-technology.com)
图1 : 因大量将IT与OT融合的布建下,促使原来受封闭式网路保护的OT端大量暴露在网路威胁之下,形成一场完美风暴,单一漏洞可能很快就会成为入侵公司网路的起点。(source:arbor-technology.com)

法人协助推广零信任 降低资讯存取前端风险

另随着近年来美中科技战导致供应链重组等因素,全球企业的营运模式正大幅改变,使得资安不再只是单纯的技术议题。若是遭遇网路端攻击,现行普遍使用防毒软体打造防火墙虽也一样有效,但在骇客规模逐步企业化,漏洞侦测工具及加密等攻击手法不断精进之后,资安漏洞未来只会持续增加、防不胜防。


企业必须确保用户能在任何环境、从任何地点无缝存取必要的应用程式与数据;同时控管不同网路、装置与地点的存取权限并执行适当的安全防护,才能因应目前混合办公与数位优先的互动模式。已有业者开始引进美国积极提倡的「零信任(Zero Trust)」概念,要求每个资源使用控制权限都有明授予的特权,强调当用户和装置每次存取企业网路资讯,皆需经过验证帐密、生物特征,借此降低安全风险。


根据思科(CISCO)最新发表《安全成果研究第二卷》(Security Outcomes Study Volume 2)调查报告中也指出,现今共有88%台湾受访者的公司已投资「零信任」策略、68%稳定执行、20%公司在技术部署已臻成熟。另有86%受访者表示,公司正投资于「安全存取服务前端」(Secure Access Service Edge ,SASE)架构,其中68%反映导入进度良好、18%指出技术部署已至成熟阶段。


IPC大厂提升供应链互信 确保云端与边缘运算资安

值得一提的是,考量供应链牵一发动全身的特性,在分工细腻、认证严格的高科技产业尤其如此,供应商必须承认资安绝对不是单家企业能独善其身,以免若出现严重的资安疏失,将会严重损及供需双方信任的基石。


且随着人工智慧(AI)、边缘计算、5G、网路虚拟化等新一代技术发展,使企业需要更高速、安全、弹性的网路架构,都让资安问题从过去单纯的security,又多了一层safety考量,企业已难存有侥幸的心态,更应该要清楚意识到,绝对不可能有「绝对的安全」!


甚至必须在采购流程里,强制纳入供应商的资安能力评估,进而透过不同规模的联防,才有利于争取时效,将安全融入产业生态中,让参与联防的所有上、中、下游伙伴,能持续交付、提供安全的产品与服务,实现防护资源的最佳化。 「在资安防御上,需要讲求零信任,而在联防上,供应链则需要相互信任。」


工业电脑大厂立端科技近年来也强化对于电信边缘运算及工业物联网布局,以网安为核心,协同各垂直市场技术领导伙伴,提供SD-WAN及NFV等网路虚拟化应用的网路白牌设备解决方案,共获得Verizon在内的全球20大电信营运商认可,已完成超过20万企业SD-WAN站点部署。进而宣布与台湾大学电机系团队进行产学合作计画,打造新一代无线入侵侦测与防御系统,提升立端产品无线网路传输的安全性。


研华公司则展示其WISE-STACK私有云工业物联网解决方案在智慧工厂的应用,透过研华边缘设备原本的安全机制与资安共创伙伴合作整合,将硬体、韧体、软体、服务与顾问打包成一套完整解决方案,让资安贯穿整个物联网基础架构与应用情境,以确保装置连接由端到云端的安全防护,解决不同产业对生产数据的安全疑虑,以加速实现智慧制造数位转型过程。


智慧工厂从底层端点生产设备本身内建资安防护软体,到云端服务的应用之间,皆可依资安特性分层,并透过可视化工具即时监控生产与资安可能产生的威胁,包括:第一层在既有边缘设备,提供的白名单/UTM防护方案;第二层WISE-STACK私有云工业务联网解决方案,提供IaaS及PaaS多样的资安机制;第三层与共创伙伴的资安软体防护机制合作,多层式防护以保障数据安全、降低资安风险。



图2 : 透过研华边缘设备原本的安全机制与资安共创夥伴合作整合,将硬体、韧体、软体、服务与顾问打包成一套完整解决方案,让资安贯穿整个物联网基础架构与应用情境。(摄影:陈念舜)
图2 : 透过研华边缘设备原本的安全机制与资安共创夥伴合作整合,将硬体、韧体、软体、服务与顾问打包成一套完整解决方案,让资安贯穿整个物联网基础架构与应用情境。(摄影:陈念舜)

整合工控软硬体同中求异 全方位解决供应链资安疑虑

趋势科技与工业电脑厂商合组的工业物联网资安公司TXOne Networks(睿控网安)执行长刘荣太进一步指出,如今工控资安最大的问题约可归纳为IT与OT聚合(Convergence)而成,「由于现代OT工控环境大量使用IT的技术,充斥着大量多样的端点,不仅存在着有自身尚未修补的安全漏洞,还要添加其他IT环境的弱点,但OT却往往没有与IT环境同样的防护措施,这也为骇客提供了各式各样的攻击机会,面对更严重的威胁。」


其中OT架构主要可以分为三层,第一层为服务层,囊括应用程式等服务;第二层则是ICS工控系统;第三层,也就是最底层的设备、装置等,但无论是攻击任何层级,都可能造成制造厂商一整条线停摆,导致面临严重生产问题。若是供电系统、水库等相关类型的关键基础建设受到攻击,所造成的可能是民生问题,甚至危及厂房整体运作与人身安全。


然而,因为工业与资讯产业的需求不同,前者实际运作的工作场域更常处于户外极高温或极低温,或者像在船上要防摔、列车上要防震等,许多地点电源不也稳定,大型机台须兼顾节能又不能延迟而影响运转。刘荣太说:「过去资讯业谈的资安,优先顺序通常是『C-I-A』,也就是机密性、正确性、可用性。」


但是工厂却是相反,最重要的是先时时确保运作,还要考量实体的人身安全,比如系统问题可能造成毒气外泄、钻油平台失误会造成生态灾害等等,这些都是可用性的范畴,应先确保人命安全、场域可用,接着才会考虑正确与机密性。


因此,有别于资安防护在传统IT领域是用来监管异常事件,OT人员更在乎机台哪里出问题,所以不能直接采购IT的管理软体供营运端使用,对于安全管理的划分也要调整成从机台角度出发,使得制造业很难找到既能保护工控环境的资产设备安全无虞,又兼顾生产线效能及营运顺畅的解决方案。加上OT的场域与资安部署较为碎片化,将会有愈来愈多新型态技术加入环境中,无论是资安业者或是企业端皆须与时俱进,以防堵网路攻击的威胁。


刘荣太强调:「OT资安必须要Top-down,而非过去Bottom-up的思维!」即除了要针对既有漏洞补丁(patching)之外,还应导入零信任(Zero Trust)、微分割(Micro Segmentation)等架构,阻断所有机台都要存取的资料库、HMI等不该连结到的端点藉由虚拟修补,来因应场域端点无法停机修补的困难;以信任(白)名单限制重要端点,只能执行允许的应用程式。或是运用AI机器学习、自动化等技术程序,更为了解攻击途径或守法,以尽量降低风险。


TXOne Networks亦非透过完全客制化方式去满足所有工厂多变环境下的客户需求,而是针对相同垂直领域客户,提供不同模组化架构的ICS网路资安防护解决方案。目前专为供应制造业现场所需的首创原生OT端点防护资安解决方案TXOne StellarProtect,便为了保护在各种严苛环境中的现代化OT设备需求的端点而设计。


除了结合机器学习与ICS信任根(root of trust,RoT)技术,搜集了1,000多个ICS 软体凭证与授权,并已预先完成确认可信任标的档案,还要认得工控大厂的通信协定;再搭配内建的ICS应用程式行为学习引擎,不必连上网路,就能用来防范已知及未知的恶意程式攻击,或人为操作失误所造成的营运中断,协助企业在营运不受干扰的情况下,快速满足OT不同场域、特定用途等需求。


图3 : TXOne Networks针对相同垂直领域客户,提供不同模组化架构的ICS网路资安防护解决方案,以满足在所有工厂多变环境下的客户需求。(摄影:陈念舜)
图3 : TXOne Networks针对相同垂直领域客户,提供不同模组化架构的ICS网路资安防护解决方案,以满足在所有工厂多变环境下的客户需求。(摄影:陈念舜)

同时强调从机台一落地到进入工厂场域,制造业者就可以开始利用TXOne StellarProtect来验证防毒,机台厂商也会要求更上游IPC供应商必须在交货组装前,同样通过验证与记录,成为机台的安全履历,才能符合「零信任」要求。


从而确保关键ICS可正常营运,并避免重复扫瞄恶意程式的动作影响效能,协助身处不同数位转型阶段的企业简化与解决复杂多变的资安问题,在不影响效能、不中断营运,以及能应付任何环境条件下,提高生产力与资安营运效率。



总结

除了上述常见的OT工控环境资安问题,已有资安软体与工业电脑大厂联手解决之外,随着近期元宇宙(Metaverse)概念被热议,也有专家提醒,隐私与资安将成为影响元宇宙发展的最大黑洞!


目前元宇宙可被理解为是沉浸式的社群连结,也是VR/AR的应用提升,但也势必要搜集大量的眼部活动、表情、语音、生物特征或周遭环境等数据;因此不论是穿戴装置遭骇客入侵,或是元宇宙入口平台的数据遭滥用,又例如虚拟资产被盗等网路资安风险事件,到了元宇宙时代并不会消失,过去骇客可能透过PC、手机入侵系统,将来也可能利用头上的VR/AR装置,同样需要精密的资安防护。


台湾工研院智慧机械中心经过智慧制造技术验证场域,整合AR/VR远距沉浸式协同工程与零信任(Zero Trust)资安防护架构等技术,协助产业导入智慧制造系统解决方案及新生态体系,从点线面提供单站智慧化、产线数位化、跨域云端管理等全方位技术服务;同时输出智慧制造SI系统整合服务,布建东南亚市场海外产线,提升台商竞争力。


现在只要透过与研华合作开发的智慧机上盒SMB,就能连上工研院VMX机械云,使用所有「零信任」资安防护功能模组SaaS软体;再向下连结机台、装置等硬体,达到国际端点传输资讯安全的最高等级,如同动态防火墙,不像一般VPN架构泄漏帐密就破功。进而与达梭系统合作,将SMB从新旧不同机台搜集到的Edge Computing资讯上传达梭系统(DASSAULT SYSTEMES)的3D EXPERIENCE平台,用于战情室建构Digital Twins、元宇宙等体验活动。



图4 : 现在只要透过工研院与研华合作开发的智慧机上盒SMB,就能连上机械云,使用所有「零信任」资安防护功能模组;再向下连结机台,点对点传输资料。(摄影:陈念舜)
图4 : 现在只要透过工研院与研华合作开发的智慧机上盒SMB,就能连上机械云,使用所有「零信任」资安防护功能模组;再向下连结机台,点对点传输资料。(摄影:陈念舜)

**刊头图(source:iiot-world.com)


相关文章
全方位杀菌的紫外光UV消毒机器人
没有墙的厂房资安,如何保平安?
COM-HPC全新规格 满足边缘运算市场的高阶需求
AI架构与边缘晶片推动更强大的工业用电脑
积极布局AIoT 嵌入式电脑模组越来越智慧
comments powered by Disqus
相关讨论
  相关新闻
» 达梭3DEXPERIENCE平台 协助Faurecia强化AGV车物流系统
» 工研院携手台湾高铁启用首座转向架走行测试设备
» ABB研调:全球产业加速投资能源效率
» AWS防护混合云资安环境 趋势科技助防进阶部署
» 施耐德电机Easy微型资料中心推动边缘运算更快速可靠
  相关产品
» Basler boost相机配备安美森影像感测器和Basler F-mount镜头
» 宜鼎全新InnoAgent频外管理扩充模组 高速高效远端管理AIoT装置
» 德承嵌入式电脑打造智能制造中关键设备的核心
» 新型igus夹具具有抗压扁效果,可牢靠固定空压软管
» 凌华推出PCIe-ACC100加速5G虚拟化无线电存取网路应用

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2022 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw