由于数位科技产业发展与创新应用的趋势,加速智慧工厂自动化和数位化转型,IT+OT两端资源整合成效如何,资安管理系统与风险管控技术成为其中重要的关键。
|
资安管理系统与风险管控技术成为加速工厂数位转型重要的关键。 (:source:OWASP) |
OWASP(Open Web Application Security Project)为全球主要针对开放网页应用程式安全进行研究的非营利组织,由志愿参与者针对页应用程式相关的资安问题进行关键研究并发布相关的研究成果。OWASP台湾分会会长蔡一郎观察资安产业的发展趋势,他认为现今企业主要面临的除了COVID-19全球疫情带来企业营运模式转变以外,还包括资讯科技发展快速,大量使用云端应用服务平台;资安认知不足,导致资安事件层出不穷;资讯系统弱点造成营运资料外泄;数位转型未审慎思考资安风险;典型资安防御机制,无法因应企业转型需求等资安威胁。
从2021年的CVE弱点超过4万5千个来看,随着资讯交流产生大量数据汇流,无法避免随时可能出现的资安漏洞,和透过网际网路传输资讯或协同工作的零时差弱点,也提高企业资安风险,资讯保护将成为产业未来的重要议题;面对资安事件的发生,企业必须面对和正视迎击,资安弱点与风险控制为两大要点,应思考该如何处理将灾害降到最低或止损,以及备援计画或管理系统来避免影响。如何利用有限的资源做最有效的运用?企业平台独一无二,无法一体适用和套用,毕竟企业属性、员工和服务对象的不同会有所差异。
新兴资讯科技的快速发展,致使企业在数位转型的过程时亦须考量资安层面,唯有采取复合式资安防御,建立点、线、面的防御思维,才能有成效,云端化、微服务化、行动化将成为主要的资讯服务。他认为面对勒索软体的威胁,防御措施首重程式,再来是营运面,不能只靠防火墙阻挡,而APP安全也是重点之一。继COVID-19疫情之后,预料元宇宙(Metaverse) 时代的来临,数据连结与虚实整合的转变,将成为企业的下一波挑战。而国际上的资安产业挑战在于服务力、产品力及竞争力,通过市场验证是关键。
此外,就智慧制造方面的资安防护,椰枣科技技术经理邱允鹏以机械手臂产线应用实例说明,由于以前工厂的产线设备通常不连网,或是办公室和工厂各自采取独立网路,不太需要担心网路资安,然而在工业4.0时代,产线设备连网是必要的,也让网路安全的问题浮现,例如机械手臂产线降低人力介入,生产线资安系统和生产资讯系统与设备并存,更仰赖机械间透过网路沟通。
邱允鹏提到通讯协定的防御层面可区分为七大项目: #1.行为分析;#2.参数;#3.指令;#4.帐号、密码、凭证;#5.协定;#6.IP、port;#7.实体位置、网段;由7~1排序由具体到抽象,层面由窄到广。指出不同层面可能遇到的攻击状况,并以Ripple20为例说明如何针对设备攻击,Ripple20是发现于2020年Treck TCP/IP 堆叠中的一组漏洞,可能造成远端执行指令、设备停止、阻断服务攻击、或流程被修改等情况。导致Intel、Schneider Electric、Rockwell Automation等厂商,受影响设备数量上亿。
机器人自动化产线如何找出资安系统的弱点,检测攻击、威胁防护,邱允鹏表示在各种层面都可能会受到骇客攻击,因此必须在各层面都须有相对应的防御,若温湿度感测器受骇客攻击异常看似无大碍,一旦离心机或锅炉受到骇客攻击将导致事态严重。他表示椰枣的eSAF解决方案深入分析工控协定,可侦测防御多层面的攻击。
因此,预料未来资安防御将趋于面面俱到的防护能力,借以强化供应链风险控管及自动化产业应用更弹性,也让资安产业化创造有价值的服务。