眾至資訊: OT安全防護設備

Intel Market Ready Solution

方案說明

OT安全防護設備

網路像似一個虛浮的概念，常常讓人體會不到它的價值。在沒有網路的時代，信件的傳遞可能是彼此互動聯繫的重要工具。但隨著網路的興起，不管在任何地方、任何時間，只要internet可以連線，馬上就可以將資訊藉由網路傳送出去。而現代，無線3G、4G的普及，利用APP程式(Line、WhatsApp、skype..)，不僅可以隨時線上溝通，還可以視訊會談，更縮短彼此之間聯繫的距離感。

OT思維 vs IT思維

隨著網路的快速發展，讓每個物體因IT的結合而產生不同的應用，也讓人對未來的產業期待會有重大改革變化，而IOT(Internet Of Thing)隨之而生。IOT涵蓋的層面包含個人、家庭、城市至整個工業物聯網。如果要解釋IOT，會將它的架構分為是由IT與OT組合而成。IT與OT是兩種不同的概念，IT是大家比較熟知的領域，在IT環境中企業主要仰賴邊界的防火牆抵抗外部的攻擊，進而保障核心的ERP、WEB主機系統。在IT環境中，思考角度主要是以人為對象，不管在有線或無線的環境，都希望對人的行為進行妥善的管制，像是上班時間限制使用者網頁瀏覽行為、應用程式使用服務(影音、外掛程式..)或頻寬使用量，並能有效對使用者進行身分識別驗證。過去這幾年，市場上有許多的IT閘道產品，都可以滿足企業用戶所需的IT防護，像是防火牆、UTM、新世代防火牆、頻寬管理設備、IPS設備…等。

但OT的環境卻與IT關注的不同，多數OT環境管的機器，負責控制生產製造，它最重要的任務就是能保持產線穩定運作。當不安全且含有漏洞的企業網路一旦與工控系統專屬的網路相結時，這會讓工控系統曝露在網路攻擊威脅之中，原本以IT環境為攻擊目標的滲透或威脅行為，開始轉向往OT環境。舉例來說：對各種工業機台的使用者或設備廠商來說，如果機台運作的軟體需要常更新，軟體團隊未必有足夠時間調整到最佳狀態，且更新系統的作業系統(OS)也是一項大工程，不僅要評估在OS上執行的各種軟體是否會有出現相容性問題，且OS本身是否能穩定運作，都需要細細檢視。這也是為什麼目前多數製造業的機台設備，不管採用Windows OS或者Linux，都是比較老舊的版本，多數還是使用微軟Windows XP，就算微軟預計在2020終止更新服務，要廠商在短時間內做升級更替不容易，這會讓企業設備暴露在極高的資安風險中。

因此，當OT與IT結合時，會擦出什麼樣令人驚奇的火花令人期待。但是IT就像兩面刃，如果能妥善運用，勢必可以穩定OT場域的生產運作外，還可以提升生產效能；但是如果未能關注IT與OT結合可能產生的威脅，則很容易讓攻擊者由OT網路進入至整個企業環境，所以不能不慎重啊！因此，當IT與OT整合時，建議需以「清」、「透」、「澈」作為規劃考量。所謂佈署管理維護需「清」、威脅明見度需「透」、數據解析需「澈」，加上從硬體與軟體不同層面思考，打造更完整的網路安全服務。

OT廠域潛在風險

安全性是物聯網轉型最重要關鍵。在超過20年的時間裡，ShareTech一直是以提供用戶易於使用、高防護安全產品的領導者。我們發現在多數OT廠域裡面，有三種高風險存在，包含遠端連線風險、網路連線風險與終端裝置使用風險，眾至OT設備結合了安全的遠程訪問和全面的用戶/設備權限管理，更提供強大的網路安全性，包括網絡分段，完整的防火牆控制，深度數據包IPS 和第7層過濾功能。

物聯網方案應用

ShareTech OT解決方案

高規硬體設計

為了確保連線的安全，ShareTech OT產品支持多種形式的Internet和SCADA連接，包括乙太網，WiFi，3G / 4G，串行（RS-232 / 485）和DI / DO（數字輸入/數字輸出）。它們還具有工業外形尺寸，包括DIN導軌安裝，桌上型設備外觀，24V DC電源輸入，並支持最苛刻部署的寬溫度範圍。

強化OT網路流量檢視

眾至OT設備可在既有的網路環境中偵測流量是否帶有惡意活動，例如：有外部非允許使用者透過非法的遠端登入，接觸到生產製作廠區；或者是使用者的電腦遭到惡意程式的滲透與感染，讓駭客可以透過內部的網路駭到生產製造區。ShareTech OT設備可以執行被動的監控、偵測、鑑識與反應等作業，收集所有IT、OT網路的封包與訊號，並採用深度封包檢測(DPI)方式進行比對，分析每個通訊協定中是否有出現異常的數據。

邊界安全防護

工業控制網絡邊界安全防護設備包括工業防火牆、工業網閘、單向隔離設備及企業定製的邊界安全防護網關等。企業應根據實際情況，在不同網絡邊界之間部署邊界安全防護設備，建議將IT與OT環境做實體環境的隔離，獨立運作管理，避免當遭到駭客惡意攻擊行為時，造成網路群聚感染風險。

提高網路威脅能見度

主要有三點：

揭露隱藏的風險: 加強對高風險活動、可疑流量和進階型威脅的可見度。
阻止未知威脅: 透過大數據分析、學習和系統漏洞補防，保護企業組織網路安全。
隔離受感染的系統: 自動隔離網路中已經遭駭的系統，並阻止威脅擴散。

遠端訪問安全

開越多的對外服務Port，代表把自己暴露在外的風險因素增加，所以對於已知的連線對象，不管對方是使用動態或是固定 IP 位址，都可以利用防火牆普遍有的IPSec VPN，建立安全的VPN 通道傳遞資訊，而不需要以Port 的方式達成連線的需求。

多層次名單管理機制

工控機器設備每天進行的工作相當固定，與網路的運作也是全天候運作。只要設備運作正常，管理者通常不會留意設備是否有異常或是駭客滲透入侵，因此，駭客很容易藉這機會下手攻擊目標。原本在IT環境中，通常都會先開放所有網路的進出，只有針對特定的服務、程式才會進行封阻、管制。但是在OT的環境中，應該採用白名單的概念，只有列在白名單的應用程式或服務才允許被執行，才能主動做好OT設備的資安防護。

OPC入侵防禦機制

收集所有IT、OT網路的封包與訊號，並且採用深度封包檢測（DPI）的方式進行比對，分析通訊協定當中的每個層級，掌握出現異常數據的行為。所有異常事件都會完整記錄，透過記錄查詢可以掌握事件發生的時間、來源、目的與攻擊類型，方便管理者日後追蹤。

Virtual Patch防護

為避免客戶重要主機遭受零時差攻擊，ShareTech OT解決方案中亦具備虛擬補丁（Virtual Patch）能力，在操作機台作業系統或軟體還未獲原廠修補更新之前，可針對性地防範漏洞的入侵Virtual Patch，避免工廠的工控機已經沒人維護，漏洞百出，ShareTech OT安全閘道防護設備替你把關。

統整成威脅情報-戰情室

威脅情報-戰情室讓OT和IT管理者都能完整了解所有資料傳遞的架構，透過OT和IT的裝置數據進行收集，且會記錄所有風險類型數據，可以讓OT管理者了解廠域網路安全狀況。當有資安事件發生時，可透過詳細的風險記錄分析啟動鑑識調查。此外，提供整個OT網路的運作設備狀態能見度，顯示其IP和資產內容、顯示裝置之間使用的具體協定，並突顯潛在風險。