众至资讯: OT安全防护设备

Intel Market Ready Solution

方案说明

OT安全防护设备

网路像似一个虚浮的概念，常常让人体会不到它的价值。在没有网路的时代，信件的传递可能是彼此互动联系的重要工具。但随着网路的兴起，不管在任何地方、任何时间，只要internet可以连线，马上就可以将资讯藉由网路传送出去。而现代，无线3G、4G的普及，利用APP程式(Line、WhatsApp、skype..)，不仅可以随时线上沟通，还可以视讯会谈，更缩短彼此之间联系的距离感。

OT思维 vs IT思维

随着网路的快速发展，让每个物体因IT的结合而产生不同的应用，也让人对未来的产业期待会有重大改革变化，而IoT (Internet Of Thing) 随之而生。IoT涵盖的层面包含个人、家庭、城市至整个工业物联网。如果要解释IoT，会将它的架构分为是由IT与OT组合而成。IT与OT是两种不同的概念，IT是大家比较熟知的领域，在IT环境中企业主要仰赖边界的防火墙抵抗外部的攻击，进而保障核心的ERP、WEB主机系统。在IT环境中，思考角度主要是以人为对象，不管在有线或无线的环境，都希望对人的行为进行妥善的管制，像是上班时间限制使用者网页浏览行为、应用程式使用服务(影音、外挂程式..)或频宽使用量，并能有效对使用者进行身分识别验证。过去这几年，市场上有许多的IT闸道产品，都可以满足企业用户所需的IT防护，像是防火墙、UTM、新世代防火墙、频宽管理设备、IPS设备…等。

但OT的环境却与IT关注的不同，多数OT环境管的机器，负责控制生产制造，它最重要的任务就是能保持产线稳定运作。当不安全且含有漏洞的企业网路一旦与工控系统专属的网路相结时，这会让工控系统曝露在网路攻击威胁之中，原本以IT环境为攻击目标的渗透或威胁行为，开始转向往OT环境。举例来说：对各种工业机台的使用者或设备厂商来说，如果机台运作的软体需要常更新，软体团队未必有足够时间调整到最佳状态，且更新系统的作业系统(OS)也是一项大工程，不仅要评估在OS上执行的各种软体是否会有出现相容性问题，且OS本身是否能稳定运作，都需要细细检视。这也是为什么目前多数制造业的机台设备，不管采用Windows OS或者Linux，都是比较老旧的版本，多数还是使用微软Windows XP，就算微软预计在2020终止更新服务，要厂商在短时间内做升级更替不容易，这会让企业设备暴露在极高的资安风险中。

因此，当OT与IT结合时，会擦出什么样令人惊奇的火花令人期待。

但是IT就像两面刃，如果能妥善运用，势必可以稳定OT场域的生产运作外，还可以提升生产效能；但是如果未能关注IT与OT结合可能产生的威胁，则很容易让攻击者由OT网路进入至整个企业环境，所以不能不慎重啊！因此，当IT与OT整合时，建议需以「清」、「透」、「澈」作为规划考量。所谓布署管理维护需「清」、威胁明见度需「透」、数据解析需「澈」，加上从硬体与软体不同层面思考，打造更完整的网路安全服务。

OT厂域潜在风险

安全性是物联网转型最重要关键。在超过20年的时间里，众至资讯一直是以提供用户易于使用、高防护安全产品的领导者。我们发现在多数OT厂域里面，有三种高风险存在，包含远端连线风险、网路连线风险与终端装置使用风险，众至OT设备结合了安全的远程访问和全面的用户/设备权限管理，更提供强大的网路安全性，包括网络分段，完整的防火墙控制，深度数据包IPS 和第7层过滤功能。

物联网方案应用

众至资讯 OT解决方案

高规硬体设计

为了确保连线的安全，众至资讯 OT产品支持多种形式的Internet和SCADA连接，包括乙太网，WiFi，3G / 4G，串行（RS-232 / 485）和DI / DO（数字输入/数字输出）。它们还具有工业外形尺寸，包括DIN导轨安装，桌上型设备外观，24V DC电源输入，并支持最苛刻部署的宽温度范围。

强化OT网路流量检视

众至OT设备可在既有的网路环境中侦测流量是否带有恶意活动，例如：有外部非允许使用者透过非法的远端登入，接触到生产制作厂区；或者是使用者的电脑遭到恶意程式的渗透与感染，让骇客可以透过内部的网路骇到生产制造区。众至资讯 OT设备可以执行被动的监控、侦测、鉴识与反应等作业，收集所有IT、OT网路的封包与讯号，并采用深度封包检测(DPI)方式进行比对，分析每个通讯协定中是否有出现异常的数据。

边界安全防护

工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。企业应根据实际情况，在不同网络边界之间部署边界安全防护设备，建议将IT与OT环境做实体环境的隔离，独立运作管理，避免当遭到骇客恶意攻击行为时，造成网路群聚感染风险。

提高网路威胁能见度

主要有三点：

揭露隐藏的风险: 加强对高风险活动、可疑流量和进阶型威胁的可见度。
阻止未知威胁: 透过大数据分析、学习和系统漏洞补防，保护企业组织网路安全。
隔离受感染的系统: 自动隔离网路中已经遭骇的系统，并阻止威胁扩散。

远端访问安全

开越多的对外服务Port，代表把自己暴露在外的风险因素增加，所以对于已知的连线对象，不管对方是使用动态或是固定 IP 位址，都可以利用防火墙普遍有的IPSec VPN，建立安全的VPN 通道传递资讯，而不需要以Port 的方式达成连线的需求。

多层次名单管理机制

工控机器设备每天进行的工作相当固定，与网路的运作也是全天候运作。只要设备运作正常，管理者通常不会留意设备是否有异常或是骇客渗透入侵，因此，骇客很容易藉这机会下手攻击目标。原本在IT环境中，通常都会先开放所有网路的进出，只有针对特定的服务、程式才会进行封阻、管制。但是在OT的环境中，应该采用白名单的概念，只有列在白名单的应用程式或服务才允许被执行，才能主动做好OT设备的资安防护。

OPC入侵防御机制

收集所有IT、OT网路的封包与讯号，并且采用深度封包检测（DPI）的方式进行比对，分析通讯协定当中的每个层级，掌握出现异常数据的行为。所有异常事件都会完整记录，透过记录查询可以掌握事件发生的时间、来源、目的与攻击类型，方便管理者日后追踪。

Virtual Patch防护

为避免客户重要主机遭受零时差攻击，ShareTech OT解决方案中亦具备虚拟补丁（Virtual Patch）能力，在操作机台作业系统或软体还未获原厂修补更新之前，可针对性地防范漏洞的入侵Virtual Patch，避免工厂的工控机已经没人维护，漏洞百出，ShareTech OT安全闸道防护设备替你把关。

统整成威胁情报-战情室

威胁情报-战情室让OT和IT管理者都能完整了解所有资料传递的架构，透过OT和IT的装置数据进行收集，且会记录所有风险类型数据，可以让OT管理者了解厂域网路安全状况。当有资安事件发生时，可透过详细的风险记录分析启动鉴识调查。此外，提供整个OT网路的运作设备状态能见度，显示其IP和资产内容、显示装置之间使用的具体协定，并突显潜在风险。