作者 : 劉大川, 睿控網安 首席解決方案架構師
過往在工控場域, 大多以可用性為主。加上分批採購,產線設備部署與管理的能見度不佳,同時因為要支持現在商業競爭力,需要掌控訂單生產狀況、料件庫存量及生產良率等資訊,來支持戰略層面的決策以及戰術層面的應用,因此工控網路在多年運行下來,逐漸形成一個大內網而難以防護。也因如此,防護脆弱的工控網路,成為駭客眼中的肥羊。加上高度自動化的生產流程,任何一個節點的問題,都可能引發連鎖反應,進而致使發生重大的商業損失。
而以零信任觀點出發的安全機制中,網路安全區的分割與隔離是最常用的手段之一。只是大多數的網路安全區隔離多以網路第三層為主,也就是不同安全區的網路配置不同。主機移置不同安全區,須配合更改 IP 地址。但這對於工控場域系統卻是一大挑戰。
雖然也有以網路第二層透通模式的防護機制,但對工控場域,現在 IT (資訊科技) 使用的網路防護機制,無法辨識或僅能辨識少數的工控協定。所以在安控政策只能主要以來源 IP 地址、目的地 IP 地址或通訊埠來限制。自然難以將工作流程融入安控機制,來防範誤操作產生的風險。
有鑑於此,專注在工控零信任安全防護解決方案的睿控網安 TXOne Networks 推出了專為工控場域提供網路隔離的解決方案 EdgeIPS 系列產品。 EdgeIPS 具下列專為工控場域量身訂做的防護功能。
1.單點及多點網路隔離,且透通式資安防護設備實現高效的部署及網路隔離,讓生產設備可視性及通訊管理達最佳化。安裝方式很簡單,EdgeIPS 系列為網路第二層透通模式,只要跟原本的網路交換器一對一對接,串接在要防護的產線跟網路交換器之間即可。而視場域佈線狀況,EdgeIPS 從 2 埠、 8 埠、 24 埠到 96 埠一應俱全。
2.支援業界多數工控協定,可將安全隔離機制無縫融入工作流程。EdgeIPS 在部署初期,可針對工控網路通訊進行深度智慧學習技術,使用者可以檢視學習的結果,再啟用合宜的工控防護規格,以先進網路層級的工控通訊協定命令特定允許清單,有效阻絕惡意行為及錯誤操作。
3.領先業界之虛擬補丁技術,保護因未修補弱點而易受攻擊的老舊設備和生產系統。即使是新型的 Windows 作業系統,雖然官方已有提供更新補丁,但機台在產線上進行生產,不可能馬上停機進行更新。
所以不管是舊型系統沒有更新程式可修正弱點,抑或是有更新程式,但因生產流程考量,難以立即安排更新工作。在網路層以虛擬補丁的技術,對現有弱點進行屏蔽,實為同時兼顧機台可用性及安全性的最佳實務方案。而 EdgeIPS 從 Windows XP、Windows 2000、Windows 2003, 一路到最新的 Windows Server 2019 均支援,保障你現有的工控資產投資,產生最大化的生產效益。
4.大部分使用者對於串接在網路上的網路硬體設備,都會擔心萬一硬體設備故障或停電時,是否會影響到維運 ? 不過不用擔心, EdgeIPS 提供高可用性之容錯透通設計,萬一設備故障或停電時,系統會自動容錯透通,維持網路運作。也而在運作時,也可視情況必要,將指定的通道進行手動阻斷或手動指派為透通不檢查安全的模式,修補或維護所需的停機時間降至最低。
而部署方式,建議部署在以工控場域常用的普渡模型的第二層到第三層之間。也就是在產線對外溝通的 OPC Server / HMI 到 EAP 之間,以每條產線為單位,進行網路隔離。或者以各 SCADA 系統為單位,在 SCADA 系統接上工控骨幹網路前以 EdgeIPS 進行防護。
抑或是機台商,也可以使用小型號的 EdgeIPS,在機台內網,部署在設備之前,限制只有這機台的流量及授權存取的來源可以通過 EdgeIPS。所以可視工控場域狀況,可選用從小型號 2 埠的 EdgeIPS,到 48/ 96 埠的大型集成型號。
在一般資訊環境裡,威脅可能來自於受駭的使用者帳號,駭客竊取了高權限使用者帳號,再利用此帳號進行內網擴散,如竊取有價或機密資料,抑或是利用來散佈加密程式,逕行勒索。而在工控場域,一個有問題的設備,因為高度自動化的生產流程,都可能牽一髮而動全身。無論這設備是因為駭客入侵操控,病毒感染引發網路攻擊,或者是人為的誤操作,都可能致使重大損失。
所以基於工控零信任的思維,對工控場域按照生產系統重要性,生產流程依存性,先以產線為單位進行大區塊的網路隔離,實為現在工控防護之首要之務。加上 EdgeIPS 全系列以網路第二層之透通模式部署,對客戶而言不用更動任何設備,不用變更網路架構及生產流程,EdgeIPS 就可以無縫接軌的對工控場域進行安全防護,除了防護駭客攻擊外,亦可以按生產維運流程來設計安控政策,針對誤操作的防呆也可有最佳防範。
接下來下一篇,就來為大家分享 EdgeIPS 的基本設定以及示範它如何針對工控場域在惡意程式如 WannaCry 的攻擊下,如何有效保護工控資產。
延伸閱讀:
[TXOne] 工控場域資安把關神兵利器 - Trend Micro Portable Security 3 / Pro
[TXOne] 工控場域資安把關神兵利器 - TMPS3 使用情境與管理
[TXOne] 工控場域設備資安守護神 - TXOne StellarProtect
[TXOne] 工控場域資安把關之天兵神將 - TXOne EdgeIPS
[TXOne] 工控場域資安把關之天兵神將 - TXOne EdgeIPS 基本安裝篇
沒有留言:
張貼留言