账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
以网通设备中的资安DNA维护OT的网路安全
 

【作者: 編輯部】2019年08月01日 星期四

浏览人次:【7830】

工业物联网的演进将制造业智慧生产的愿景具体落地。不过当新技术导入的同时,厂域网路除了迈入新阶段应用外,恶意攻击或非法侵入的问题也伴随着而来。


在过去十年中,透过网路对智慧工厂的恶意攻击案例愈来愈多,造成许多世界级的大厂陆续受害。例如在2005年,澳洲的荷顿车厂,因为受到ZOBOT病毒的攻击,导致被迫中断生产数个小时,估计造成600万澳币的损失;而2010年又出现了名为「Stuxnet」的病毒,无情的疯狂攻击透过架构在PLC或RTU的SCADA系统。


这样的攻击事件不胜枚举,随后还有Triton、Palmetto Fusion、Dragonfly等等的病毒或恶意植入,造成了美国的电力公司、德国的钢铁厂及沙乌地阿拉伯的炼油厂巨大的停工损失。


在智慧生产网路趋势下,5个传统OT环境的安全弱点


图1 : 四零四科技(MOXA)亚太区物联网解决方案处产品行销经理郭彦征(摄影:林鼎皓)
图1 : 四零四科技(MOXA)亚太区物联网解决方案处产品行销经理郭彦征(摄影:林鼎皓)

四零四科技(MOXA)亚太区物联网解决方案处产品行销经理郭彦征归纳了目前OT有几个潜在的资安问题,分别是「OT的灰色地带」、「不安全的身份验证」、「不安全的协议」、「缺乏保护的设备」,以及「不安全的第三方软体」等,这5个OT环境的安全弱点。这些都是目前MOXA在与客户讨论或解决资安问题时,所深深感受到的各种资安风险的因素。



图2 : 传统OT环境的安全弱点
图2 : 传统OT环境的安全弱点

OT的灰色地带

在IT的世界里,多数的作业环境都是以Windows作业系统为主,MIS透过各种监控工具可以相当容易掌握目前有哪些功能软体正在运行,也有专责人员负责监管资安风险。但是对于追求生产效率的OT人员来说,时常于相对扁平的工厂网路中加入更多设备及网路节点。过去OT于网路建构、设备管理,甚至资安规划相对着墨较少,而不同厂牌生产设备的韧体设计各异,常让管理者无法得知潜在资安风险,以及该如何提升自我的防护能力。


不安全的身份验证

郭彦征分析说,在IT的网路环境中,对身分权限管理是相当重视的,常见以相当多的认证机制严谨地管控身分权限。不过,传统的OT环境架构,着重系统的顺畅运行,面对资安的风险问题相对较低。因此在认证权限方面容易忽略,产生许多不安全的连线,让厂内的人员或是设备商的技术人员,只要利用电脑,就能毫无困难的登入生产设备,或者厂内的作业网路中。


不安全的协议

一般生产设备之间的工业通讯协定,因发展较早,并未考量与设计网路安全的相关功能。例如只要持有内建Modbus通讯协定的电脑,就能透过Modbus对生产设备发出任何指令并执行,这也是IT人员所深刻感受到的OT资安风险之一。


缺乏保护的设备

MOXA发现的另一个潜在资安忧虑,在于OT人员担心韧体更新后,有可能对原来的程式或作业产生相容性问题,导致设备运转出现异常。因此即使OT人员知道更新韧体可对设备资安带来更高一层的保护,仍不希望改变设备中的韧体。虽然OT人员追求的是产线上的设备能平顺运转,但从长期专注于资安议题的MOXA来看,这是相当危险的状态。


不安全的第三方软体

最后郭彦征提到,也有相当多的资安问题来自于受认证的厂商或员工,无意间将已被感染恶意程式的电脑连上厂内设备,让恶意程式漫布在整个OT网路中。甚至更进一步再继续感染其他的电脑,扩散到另一间工厂或生产线上的设备。


即使是单纯的网路设备,也必须拥有资安的DNA

MOXA长久专注于发展高度专业的网路设备产品,但MOXA认为即使是网路角色单纯的工控设备,也必须拥有资安的DNA。从设备安全性来看,第一个考量点就是设备本身不会被攻击或侵入,以今天的标准而言,工控资安标准IEC-62443其中的IEC-62443-4-2项目就对规范了设备资安功能,确保工控设备的自我防护能力。


有鉴于此,MOXA非常早就开始研发符合工业网路的IEC 62443-4-2安全准则的网通设备。除了强化网通设备资安防护能力外,MOXA还针对不同产品进行了各种独特性设计,藉由本身的功能性来提供保护。例如MOXA在市场上已经销售相当多Serial to Ethernet序列/网路转换器产品。其中的NPort 6000系列产品就提供了独特的资安功能,当讯号从Serial传送到Ethernet端时会进行SSL/TLS加密,而在电脑端接收讯号后,必须进行解密,才能成功的接收完整指令。此外还有像交换机内Port Lock网口管控、针对资讯传输的Access Control List (ACL) 区域存取的功能性管理、防火墙、具加密功能的VPN等等,都是工业网路设备可以运用的技术。


提供老旧生产设备也可以加入物联网的重生机会

资安的最后一道防线就是管理,因此对于OT方面的管理操作,MOXA提供对每一部设备进行检查的Security Check 功能,扫视设备中IEC-62443-4-2建议的资安功能项目是否是否有被开启。


简单而言,对于设备安全防护的检查,Security Check会进行三个步骤,第一是对设备中的功能项目进行扫描,确认IEC-6244-4-2资安功能是否被正确的开启。其次是透过预设的资安Profile,自动导入相关设备,令设备立即符合预期资安水准。


监控部分,MOXA也提供能自动侦测OT网路状况的MXview,快速侦测未知设备状态、未知通讯连线的OT灰色地带。



图3 : 安全网路与资安应用
图3 : 安全网路与资安应用

最后,除了基于传统网路方案加强的安全功能,MOXA更进一步提出OT资安解决方案,从网路资安的考量作为规划出发点,再往下层逐步涵盖到整体网路通讯产品,范围涵盖了资安管理、网路资安防护、端点资安防护。依序为MXsecurity、EtherFire、EtherGuard等完整系列产品。首先 MXsecurity提供OT资安人员完整的资安讯息,包含资安攻击/阻挡资讯及事件纪录,及网路设备、连线、通讯协定的 可视化讯息。其次EtherGuard运用了多项防护技术,包含:针对IT/OT攻击防御的IPS/IDS整合方案,让使用者可以在与关键工控设备连接的网路路径上,自由选择进行主动攻击防护(IPS)或是被动的异常告警(IDS),以及支援IT/OT通讯协定的深度包解析DPI(deep packet inspection)。最后EtherFire 运用了相同的资安技术,更加上了部分网路路由器及L3交换机功能,使其可以更广泛的运用在OT网路中进行资安防护。


MOXA将于8/21-24于台北国际自动化工业大展(摊位M1130)展出专为OT现场网路架构打造的资安方案,欢迎上活动网站报名参观,报名将于8/16截止。凡报名成功即可凭名片至现场摊位领取精美礼品一份。


图4
图4
相关文章
数据驱动决策 IT与OT整合方兴未艾
汽车动力总成的功能与网路安全三大考量
企业建置资安防护措施刻不容缓
新兴需求:将网路安全纳入设计之中
工业乙太网路的崛起与趋势
comments powered by Disqus
相关讨论
  相关新闻
» 明纬推出新系列30W~90W??墙式可换AC??头适配器环球认证
» RIN国际研发高峰会手举行 金属中心展出亮眼成果
» 西门子工具机软硬体解决方案 构建数位制造核心应用
» 明纬推出NGE100(U)系列:100W环球通用4埠USB氮化??快速充电器
» TPCA展??2024台湾PCB产值 有??复苏达8,182亿新台币


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83TD3Y26CSTACUKG
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw