最新消息
[OPSWAT] OT网路安全防护关键五步骤 因应IT与OT系统差异 实现安全与效率平衡
随著工业4.0时代的来临,信息科技(IT)与营运技术(OT)系统的整合已成为趋势。然而,IT与OT系统的运作特性存在明显差异,对于企业网路安全防护带来了新的挑战。OPSWAT北亚区技术顾问周裕华详细剖析OT网路安全的现况与对策。
周裕华指出,OT管理者的一大忧虑是,OT 一更新,整条生产线就要停摆,那营运怎么办? 他们必须在安全性与生产效率之间取得平衡,寻求一种既能强化防护,又不会过度影响营运的解决方案。
除了更新维护的问题外,OT网路环境本身也存在诸多安全隐忧。首先是OT设备的安全性,像是可编程逻辑控制器(PLC)等核心设备,若未妥善保护,很容易遭受骇客攻击。再者,企业常将OT网路与IT网路隔离,但隔离措施不足,依然存在漏洞。
工业防火墙虽可部署于OT网路,但其协议资源有限,易受攻击者利用。另一方面,许多企业为了维护OT系统的稳定性,往往忽略了防火墙的正确配置,让防护措施形同虚设。
周裕华强调,如果一个企业有100台防火墙,怎么确认每一条路径都是正确的?这就是我们常常在信息安全新闻上看到的问题。不当的防火墙设定,很容易导致整个企业网路遭受攻击。
NIST CSF 2.0框架与OT应用
为因应OT网路安全的特殊需求,美国国家标准与技术研究院(NIST)近期发布了网路安全框架(CSF) 2.0版本。此版本在原有的识别、保护、侦测、响应和复原五大环节中,均加强了对OT环境的适用性。
NIST CSF 2.0不仅要求企业掌握OT资产清单,并了解各设备的软体版本和安全弱点,同时也强调要有完整的事故应变机制。此外,随著人工智慧(AI)技术的日益普及,CSF 2.0也纳入了相关的威胁因应方案。
周裕华提醒,企业一定会接受到AI带来的趋势,但AI同时也会产生新的威胁,例如以前无法做到的事情,现在AI都可以去创造。必须时刻保持警惕,不能过度依赖AI的自动化判断。
OPSWAT的OT网路安全解决方案
面对OT网路安全的多重挑战,OPSWAT提供了一系列完整的解决方案。首先是针对移动装置的安全管控。OPSWAT的Kiosk产品可扫描USB随身碟、SD卡等装置,阻挡含有恶意程式的档案进入OT系统。
同时,OPSWAT还开发了一款名为Media Firewall的硬体装置,可强制要求所有移动装置先经过Kiosk扫描,确保安全性。对于跨IT/OT网路的档案传输,OPSWAT提供了单向性的资料交换解决方案,确保资料流向的安全性。
周裕华表示,该方案可搭配多引擎病毒扫描、内容分解重建等技术,确保绝对安全的资料传输,并有足够的单向性,去满足在一个非安全区跟安全区之间的档案交换。
此外,OPSWAT的资产管理解决方案OT Security,可协助企业识别OT设备型号和韧体版本,掌握各项资产信息,并依NIST CSF 2.0的要求,提供完整的安全性识别、保护、侦测、响应与复原机制。
在远端访问控管方面,OPSWAT则提供了双向的远端接入管理方案,透过资产健康状态确认、多重验证等手段,确保远端使用者的可信度,避免成为攻击切入点。
当有外部人员想要进入到企业的OT场域中并访问其的OT设备时,就能用相关技术去识别并核实这个人员所携带的设备及档案是否是安全无虞的。
强化OT网路安全的关键技术
除了系统整合方案外,OPSWAT也提供多项前瞻性的OT网路安全技术。如多引擎病毒扫描功能,可让档案同时经过34种不同防毒引擎进行扫描,大幅提升检测的覆盖率和准确性。
内容分解重建(CDR)技术则能够确保档案的完整性,杜绝隐藏于档案中的恶意程式。此外,OPSWAT的行为分析引擎,也可监控网路流量,发现可疑的恶意活动。
周裕华表示,可以利用这样的技术直接跟CPE做Mapping,做比对的时候,就可以有效的避免相关问题的产生,大幅降低OT网路遭受攻击的风险。
单向通道保护OT网路
除了前述的安全防护技术外,OPSWAT的单向资料传输解决方案也是OT网路安全的重要环节。透过物理层面的单向传输通道,可确保资料流向的单向性,杜绝逆向侵入的可能。
OPSWAT提供了不同型号的单向闸道器,可满足企业在IT/OT网路隔离、资料备份复制等场景的需求。值得一提的是,这些单向闸道器不仅具有单向性,也内建多引擎病毒扫描、内容分解重建等安全功能,进一步强化资料交换的安全性。
周裕华说明,当我们具备了这个能力,就能提供清洗过的安全档案。把透过经由8、12、16、20,甚至更多的防毒引擎验证过的组合包装搭配直接去做扫描。
OT资产识别与事故应变
一旦发生安全事故,OPSWAT的OT Security产品则能够协助企业快速应对。它可透过网路探针,撷取OT网路中的流量数据,并提供详细的资产清单、网路拓扑、异常流量分析等信息,供企业进行事件调查和应变处置。
周裕华表示,这样就可以把一个PCAP汇到OT Security的设备上,直接产生网路脱骨、设备资产清单,还有它所有的联系状态。此功能可帮助企业快速掌握OT网路的异常状况,采取适当的应对措施。
透过这些信息安全防护技术和整合解决方案的结合,OPSWAT旨在帮助企业在IT与OT系统的融合过程中,找到安全与效率的最佳平衡点,有效降低OT网路面临的各种安全威胁。
原文连结:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11201