大川的布落格: [TXOne] 工控場域資安把關之天兵神將

作者 : 劉大川, 睿控網安首席解決方案架構師

過往在工控場域，大多以可用性為主。加上分批採購，產線設備部署與管理的能見度不佳，同時因為要支持現在商業競爭力，需要掌控訂單生產狀況、料件庫存量及生產良率等資訊，來支持戰略層面的決策以及戰術層面的應用，因此工控網路在多年運行下來，逐漸形成一個大內網而難以防護。也因如此，防護脆弱的工控網路，成為駭客眼中的肥羊。加上高度自動化的生產流程，任何一個節點的問題，都可能引發連鎖反應，進而致使發生重大的商業損失。

而以零信任觀點出發的安全機制中，網路安全區的分割與隔離是最常用的手段之一。只是大多數的網路安全區隔離多以網路第三層為主，也就是不同安全區的網路配置不同。主機移置不同安全區，須配合更改 IP 地址。但這對於工控場域系統卻是一大挑戰。

雖然也有以網路第二層透通模式的防護機制，但對工控場域，現在 IT (資訊科技) 使用的網路防護機制，無法辨識或僅能辨識少數的工控協定。所以在安控政策只能主要以來源 IP 地址、目的地 IP 地址或通訊埠來限制。自然難以將工作流程融入安控機制，來防範誤操作產生的風險。

有鑑於此，專注在工控零信任安全防護解決方案的睿控網安 TXOne Networks 推出了專為工控場域提供網路隔離的解決方案 EdgeIPS 系列產品。 EdgeIPS 具下列專為工控場域量身訂做的防護功能。

1.單點及多點網路隔離，且透通式資安防護設備實現高效的部署及網路隔離，讓生產設備可視性及通訊管理達最佳化。安裝方式很簡單，EdgeIPS 系列為網路第二層透通模式，只要跟原本的網路交換器一對一對接，串接在要防護的產線跟網路交換器之間即可。而視場域佈線狀況，EdgeIPS 從 2 埠、 8 埠、 24 埠到 96 埠一應俱全。

2.支援業界多數工控協定，可將安全隔離機制無縫融入工作流程。EdgeIPS 在部署初期，可針對工控網路通訊進行深度智慧學習技術，使用者可以檢視學習的結果，再啟用合宜的工控防護規格，以先進網路層級的工控通訊協定命令特定允許清單，有效阻絕惡意行為及錯誤操作。

3.領先業界之虛擬補丁技術，保護因未修補弱點而易受攻擊的老舊設備和生產系統。即使是新型的 Windows 作業系統，雖然官方已有提供更新補丁，但機台在產線上進行生產，不可能馬上停機進行更新。

所以不管是舊型系統沒有更新程式可修正弱點，抑或是有更新程式，但因生產流程考量，難以立即安排更新工作。在網路層以虛擬補丁的技術，對現有弱點進行屏蔽，實為同時兼顧機台可用性及安全性的最佳實務方案。而 EdgeIPS 從 Windows XP、Windows 2000、Windows 2003，一路到最新的 Windows Server 2019 均支援，保障你現有的工控資產投資，產生最大化的生產效益。

4.大部分使用者對於串接在網路上的網路硬體設備，都會擔心萬一硬體設備故障或停電時，是否會影響到維運 ? 不過不用擔心， EdgeIPS 提供高可用性之容錯透通設計，萬一設備故障或停電時，系統會自動容錯透通，維持網路運作。也而在運作時，也可視情況必要，將指定的通道進行手動阻斷或手動指派為透通不檢查安全的模式，修補或維護所需的停機時間降至最低。

而部署方式，建議部署在以工控場域常用的普渡模型的第二層到第三層之間。也就是在產線對外溝通的 OPC Server / HMI 到 EAP 之間，以每條產線為單位，進行網路隔離。或者以各 SCADA 系統為單位，在 SCADA 系統接上工控骨幹網路前以 EdgeIPS 進行防護。

抑或是機台商，也可以使用小型號的 EdgeIPS，在機台內網，部署在設備之前，限制只有這機台的流量及授權存取的來源可以通過 EdgeIPS。所以可視工控場域狀況，可選用從小型號 2 埠的 EdgeIPS，到 48/ 96 埠的大型集成型號。

在一般資訊環境裡，威脅可能來自於受駭的使用者帳號，駭客竊取了高權限使用者帳號，再利用此帳號進行內網擴散，如竊取有價或機密資料，抑或是利用來散佈加密程式，逕行勒索。而在工控場域，一個有問題的設備，因為高度自動化的生產流程，都可能牽一髮而動全身。無論這設備是因為駭客入侵操控，病毒感染引發網路攻擊，或者是人為的誤操作，都可能致使重大損失。

所以基於工控零信任的思維，對工控場域按照生產系統重要性，生產流程依存性，先以產線為單位進行大區塊的網路隔離，實為現在工控防護之首要之務。加上 EdgeIPS 全系列以網路第二層之透通模式部署，對客戶而言不用更動任何設備，不用變更網路架構及生產流程，EdgeIPS 就可以無縫接軌的對工控場域進行安全防護，除了防護駭客攻擊外，亦可以按生產維運流程來設計安控政策，針對誤操作的防呆也可有最佳防範。