參照IEC-62443標準 建構堅強的OT防護堡壘
據SANS Institute調查,超過72%工業現場採用以IP為基礎的通訊,針對工業設備進行控制、設定和資料採集;但高達79%用戶對於管理IIoT設備的資安缺乏信心。顯見資安問題已為IIoT營運模式帶來重大考驗。
工業網通大廠四零四科技(Moxa)產品行銷經理郭彥徵指出,隨著近年工業資安事件頻傳,可從中觀察到一個值得憂慮的趨勢,以往事件多屬於「非目標式攻擊」,受害者只是無辜遭惹橫禍,但近1~2年情勢生變,「鎖定性攻擊」出現頻率激增,意謂駭客會針對工業場域量身訂製攻擊計畫,使防護難度更高,業主更需多加小心。
單點式解法,無法涵蓋OT資安全貌
深究工業場域對惡意攻擊的防禦力較為薄弱,癥結在於過去工業系統以任務性為設計導向,資安僅為次要考量。譬如PLC設計出發點為「精確控制」,工業通訊協定講求「有效傳輸」,工業網路設計重點為「穩定方便」,著眼點都不是資安,也不會特別規劃防護措施;加上多數業主偏重可用性考量,把資安防護或補丁視為可能造成系統不穩定的因子,實務上難以頻繁變動運行中的產線,於是導致資安機制偏弱。
如今雖有不少業主急欲加強OT資安防護,但多傾向採取單點式解法,認為引進一套解決方案就能趨吉避凶。郭彥徵提醒,以單點思維來看待OT防護,是閉門造車的做法,難以綜觀OT資安全貌,也無法發揮資安概念中的縱深防禦效果。
他強調,一些從未受到時間或市場檢驗的資安配置,容易產生盲點。比方說有些人以為發展私有加密方式,能讓攻擊者難以理解加密資訊、無從發動攻勢,或採用特殊網路配置,就可讓攻擊者無法進入;但事實證明,這些做法遭破解的機率頗大,意謂我們需要以更正規的方法與駭客對決。
遵照IEC-62443,循序構築工業資安架構
啟動OT資安防護的最理想做法,便是參照已經過驗證的規範、準則及設備,先導入統一的框架、系統模型與規劃,再輔以統一的技術、設備來實施防禦,才能讓OT資安破口減至最低。
最值得參照的OT資安標準是IEC-62443,它內含四個章節,其中IEC-62443-1定義系統架構和用語;IEC-62443-2定義如何建立資安管理系統(包含組織、人員、流程);IEC-62443-3定義如何建置工業系統資安,涵蓋建構安全網路、資安技術導入;IEC-62443-4屬於組件層定義,制定產品供應商必須符合的產品開發要求、產品技術要求,如Moxa便是全台首家通過IEC-62443-4-1認證的業者。
郭彥徵表示,前述IEC-62443-3,是非常適合OT場域參酌的規範,業主可依據箇中指引,循序佈建端點防護、安全架構及威脅偵測,確保場域內不論端點設備、嵌入式設備及網路設備,皆受嚴密防護。雖然OT系統中包含PLC / 轉換器等崁入式系統設備,因此端點防護實施不易,但有鑑於OT資安防護需要全盤考量,Moxa以豐富的網通經驗建議業主以單點加上整體網路架構來提升網路防護能力。
例如可以透過IPS/IDS發揮病毒偵測暨阻擋、虛擬補丁、通訊白名單管控等功效,防範端點安全;接著部署防火牆、安全路由器及強固可靠的工業網路交換機,打造安全架構;再來部署OT Network-based IDS,建立威脅偵測機制。透過層層管控和防禦,讓駭客沒有乘隙而入的空間。