智慧工廠(Smart Factories)是工業物聯網 (IIoT) 改造傳統製造業的最佳展現,在萬物聯網、大數據與AI等技術的結合下,智慧製造、智慧醫療、智能交通已成為台灣轉型升級目標。然而,所面對的操作科技(OT)資安威脅會更嚴苛,只要遭遇一次重大網路攻擊,原本物聯裝置所帶來的效益,恐怕瞬間就會化為烏有,例如:機密資料外洩、營運生產停頓、供應鏈斷炊。近年來鎖定智慧工廠的病毒越來越多,全球都有受害的災情不斷傳出,不只影響生產線運作,更甚者會危及國家基礎設施,並要當心成為勒索軟體目標。

打破封閉內網是安全的觀念

過去多數工廠因設備老舊、缺乏專業整合人才,或因其為封閉系統而缺乏資安防護觀念。在工業物聯網的建置下,企業IT與廠房OT系統相互串連,使長久以來一直是被認為封閉網路的OT環境,暴露在可能遭受網路攻擊風險下,包括商業機密遭竊取、惡意中斷營運、攻擊基礎設施造成生產損失、甚至造成工安事件危害人員健康與安全等。 由於機台物聯網化後加速生產力,但是對於網路的管理並沒有嚴格要求與落實,容易造成後續資安維護管理上漏洞。因此在導入裝置物聯網後,聯網的機具、人員管理識別、網路流量檢測、LOG紀錄追蹤都是需改善的要點,所以需要在原來的系統上加入資訊安全的防護,除了原本防火牆基礎網路防護外,建議區隔IT與OT的網路架構、做好定期弱點掃描及人員資安教育訓練課程等,除了保護企業的資訊外也保護自己的網路財產,萬一真的不幸發生攻擊事件,可以將損害降到最低。

智能工廠(OT廠域)存在的資安威脅

攻擊的來源來自幾個地方,每個方向的目的並不一樣,歸咎系統發生威脅原因如下:
威脅一
暴露在外的攻擊面越來越大ICS、SCADA
威脅二
作業系統安全漏洞難以修補
威脅三
身分識別、存取控制
威脅四
工控常用的通訊埠支援
威脅五
DDOS攻擊可能中斷生產
威脅六
工控設備缺乏安全設計
威脅七
IT與OT系統安全管理相互獨立,難互補
威脅八
忍受極端環境溫度,並且要能支援設備系統故障救援問題

區隔IT與OT網路架構,保護OT內網安全脅

攻擊的來源來自四面八方,在資訊跟網路安全的考量下,眾至建議導入智慧聯網工廠將目前的網路架構進行調整,每一個不同目的的網路區塊,執行不同安全等級的資訊安全防護。

IT層—新世代防火牆

  • DDOS、Port Scan
  • VIRUS、SPAM、IPS、Sandstorm
  • 惡意URL 過濾 (擋木馬、釣魚網站)

I邊界—邊界管控

  • 區隔IT與OT網路環境

IOT層—內網防護

  • 白名單、白協議
  • OPC防護、身分識別
  • 確認連線存取的方向
  • 過濾連線流量

藉由端點防護設備、縱深防禦、全面管控與威脅情報,打造內外網安全

IT與OT的思維不同,IT要的是創新,OT要的是穩定。為了有效讓OT環境維持穩定運作,除了區隔IT與OT網路環境外,建議在強化威脅情報資訊通知,以達到【事前防範】、【事中阻擋】及【事後追蹤】運作目標,減少被駭客、病毒入侵及攻擊的機會讓整個網路達到可控、可管的目標,就算被癱瘓,也能把損失控制在一個小區域,不會外散到整個網路環境。