账号:
密码:
智动化 / 文章 /

透过网通设备中的资安DNA维护OT网路安全
[作者 編輯部]   2019年08月01日 星期四 浏览人次: [1460]

工业物联网的演进将制造业智慧生产的愿景具体落地。不过当新技术导入的同时,厂域网路除了迈入新阶段应用外,恶意攻击或非法侵入的问题也伴随着而来。


在过去十年中,透过网路对智慧工厂的恶意攻击案例愈来愈多,造成许多世界级的大厂陆续受害。例如在2005年,澳洲的荷顿车厂,因为受到ZOBOT病毒的攻击,导致被迫中断生产数个小时,估计造成600万澳币的损失;而2010年又出现了名为「Stuxnet」的病毒,无情的疯狂攻击透过架构在PLC或RTU的SCADA系统。


这样的攻击事件不胜枚举,随後还有Triton、Palmetto Fusion、Dragonfly等等的病毒或恶意植入,造成了美国的电力公司、德国的钢铁厂及沙乌地阿拉伯的炼油厂巨大的停工损失。


在智慧生产网路趋势下,5个传统OT环境的安全弱点


图1 : 四零四科技(Moxa)亚太区物联网解决方案处产品行销经理郭彦徵(source: Moxa)
图1 : 四零四科技(Moxa)亚太区物联网解决方案处产品行销经理郭彦徵(source: Moxa)

四零四科技(Moxa)亚太区物联网解决方案处产品行销经理郭彦徵归纳了目前OT有几个潜在的资安问题,分别是「OT的灰色地带」、「不安全的身份验证」、「不安全的协议」、「缺乏保护的设备」,以及「不安全的第三方软体」等,这5个OT环境的安全弱点。这些都是目前MOXA在与客户进行讨论,或解决客户资安问题时,所深深感受到的各种资安风险的因素。



图2 : 传统OT环境的安全弱点
图2 : 传统OT环境的安全弱点

OT的灰色地带

在IT的世界里,多数的作业环境都是以Windows作业系统为主,MIS透过各种监控工具可以相当容易掌握,目前有哪些功能软体正在运行,或是对於资安风各种防护工作,均有专责人员进行。但是对於追求生产效率的OT人员来说,时常於相对扁平的工厂网路中加入更多设备及网路节点。过去OT於网路建构、设备管理,甚至资安规划相对着墨较少,不同厂牌生产设备的韧体设计各异,常让管理者无法得知潜在资安风险,以及该如何提升自我的防护能力。


不安全的身份验证

郭彦徵分析说,在IT的网路环境中,对身分权限管理是相当重视的,并且透过相当多的认证机制,进行非常严谨的管控。不过,传统的OT环境架构,着重系统的顺畅运行,面对资安的风险问题相对较低。因此在认证权限方面容易忽略,产生许多不安全的连线,让厂内的人员或是设备商的技术人员,只要利用电脑,就能毫无困难的扮演攻击者登入生产设备,或者厂内的作业网路中。


不安全的协议

一般生产设备之间的工业通讯协定,因发展较早,并未考量与设计网路安全的相关功能。例如只要持有内建Modbus通讯协定的电脑,就能透过Modbus对生产设备发出任何指令并执行,这也是IT人员所深刻感受到的OT资安风险之一。


缺乏保护的设备

MOXA发现的另一个潜在资安??虑,在於OT人员担心韧体更新後,有可能对原来的程式或作业产生相容性问题,导致设备运转出现异常。因此即使OT人员知道更新韧体可对设备资安带来更高一层的保护,仍不希??改变设备中的韧体。虽然OT人员追求的是产线上的设备能平顺运转,但从长期专注於资安议题的MOXA来看,这是相当危险的状态。


不安全的第三方软体

最後郭彦徵提到,也有相当多的资安问题来自於受认证的厂商或员工,无意间将已被感染恶意程式的电脑连上厂内设备,让恶意程式漫布在整个OT网路中。甚至更进一步再继续感染其他的电脑,扩散到另一间工厂或生产线上的设备。


即使是单纯的网路设备,必须拥有资安的DNA

Moxa长久专注於发展高度专业的网路设备产品,但Moxa认为即使是单纯的工控设备,也必须拥有资安的DNA。从设备安全性来看,第一个考量点就是设备本身不会被攻击或侵入,以今天的标准而言,工控资安标准IEC-62443其中的IEC-62443-4-2项目就对规范了设备资安功能,确保工控设备的自我防护能力。


有监於此,Moxa非常早就开始研发符合工业网路的IEC 62443-4-2安全准则的网通设备。除了强化网通设备资安防护能力外,Moxa还针对不同产品进行了各种独特性设计,藉由本身的功能性来提供保护。例如Moxa在市场上已经销售相当多Serial to Ethernet序列/网路转换器产品。其中的NPort 6000系列产品就提供了独特的资安功能,当讯号从Serial传送到Ethernet端时会进行SSL/TLS加密,而在电脑端接收讯号後,必须进行解密,才能成功的接收完整指令。此外还有像交换机内Port Lock网囗管控、针对资讯传输的Access Control List (ACL) 区域存取的功能性管理、防火墙、具加密功能的VPN等等,都是工业网路设备可以运用的技术。


提供老旧生产设备也可以加入物联网的重生机会

资安的最後一道防线就是管理,因此对於OT方面的管理操作,MOXA提供对每一部设备进行检查的Security Check 功能,扫视设备中IEC-62443-4-2建议的资安功能项目是否是否有被开启。


简单而言,对於设备安全防护的检查,Security Check会进行三个步骤,第一是对设备中的功能项目进行扫描,确认IEC-6244-4-2资安功能是否被正确的开启。其次是透过预设的资安Profile,自动导入相关设备,令设备立即符合预期资安水准。


监控部分,MOXA也提供能自动侦测OT网路状况的MXview,快速侦测未知设备状态、未知通讯连线的OT灰色地带。



图3 : 安全网路与资安应用
图3 : 安全网路与资安应用

最後,除了基於传统网路方案加强的安全功能,MOXA更进一步提出OT资安解决方案,涵盖资安管理、网路资安防护、端点资安防护。依序为MXsecurity、EtherFire、EtherGuard和等完整系列产品。MOXA方案从网路资安的考量作为规划出发点,再往下层逐步涵盖到整体网路通讯产品。首先MXsecurity提供OT资安人员完整的资安讯息,包含资安攻击/阻挡资讯及事件纪录,及网路设备、连线、通讯协定的可视化讯息。其次EtherGuard运用了多项防护技术,包含:针对IT/OT攻击防御的IPS/IDS整合方案,让使用者可以在与关键工控设备连接的网路路径上,自由选择进行主动攻击防护(IPS)或是被动的异常告警(IDS),以及支援IT/OT通讯协定的深度包解析DPI(deep packet inspection)。最後EtherFire 运用了相同的资安技术,更加上了部分网路路由器及L3交换机功能,使其可以更广泛的运用在OT网路中进行资安防护。


MOXA将於8/21-24於台北国际自动化工业大展(摊位M1130)展出专为OT现场网路架构打造的资安方案,欢迎上活动网站报名叁观,报名将於8/16截止。凡报名成功即可凭名片至现场摊位领取精美礼品一份。


图4
图4
相关文章
Moxa工业物联网软硬体整合方案 打造客户垂直应用开发落地成功体验
工厂资安事件频传 你的工业控制系统够安全吗?
工业4.0四大技术之必要
架构工业物联网 须突破4大困境
机联网落地成真
comments powered by Disqus
  相关新闻
» 宾鑫智能落地台湾 用AI演算运筹帷??
» 直击中国工博会商机 上海宾通拥多方资源优势
» 离岸风电发展需群策群力 绿色金融使力推动产业前进
» ?先进厂房-智联安全科技应用与管理研讨暨展示?9/25、9/27年度巡??开跑!
» 新代数控系统为核心 用联达智能平台加值
  相关产品
» 明纬扩充EPP-500系列
» KNX用於现代建筑 可降低事後维护与火灾风险
» 瑞萨电子推出故障检测e-AI解决方案 简化马达型家电的维护
» 工控平台强势升级 敏博全新NVMe PCIe固态硬碟PT33系列进化登场
» 浩亭Han-Modular Flexbox 适合能源链条的模组化连接器


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2019 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@hope.com.tw