万物联网时代来临 打破封闭内网提升网络安全
ShareTech智能工厂OT架构与解决方案
专属OPC入侵防御机制
区隔IT与OT网络架构,保护OT内网安全胁
只允许特定 协议通过,避免非必要 资料统计泄出
建立白名单管理机制
打破封闭内网是安全 观念
支持工业网络协议
日志
智能工厂(OT厂域)存在 资安威胁
管制port 建立联机机制
统整成威胁情报-战情室
网关安全防护
设备灾难复原机制
来自网络黑客 攻击,
恶意人士攻击,
人员疏忽,
不安全 身分认证,
不安全 协议,
事件纪录跟搜寻,
过期设备系统安全更新,
无专业维护人员,
IT与OT 思维不同,IT要 是创新,OT要 是稳定。为了有效让OT环境维持稳定运作,除了区隔IT与OT网络环境外,建议在强化威胁情报信息通知,以达到【事前防范】、【事中阻挡】及【事后追踪】运作目标(图 ,减少被黑客、病毒入侵及攻击 机会让整个网络达到可控、可管 目标,就算被瘫痪,也能把损失控制在 个小区域,不会外散到整个网络环境。
ShareTechOTS防护 设备要能支持常用 工业控制协议(图 零),例如,EtherCAT使用TCP/UDP 零、EtherNet/IP使用TCP UDP ,管理者只要选取这 些协议名称,会自动对应出应该开启 Port号,至于产品 通讯PORT全部被关闭。以计算机组装线为例,若封包夹带可疑 参数,要求机械手臂执行质量以外动作,ShareTechOT防护设备在接获资料统计封包后,将进行封包分析、阻挡,降低计算机厂商蒙受巨额财物损失。
般 设备之间 工业通讯协议,因发展 比较早,并未考虑与设计网络安全 相关功能。例如只要持有内建Modbus通讯协议 计算机,就能透过Modbus对 设备发出任何指令并执行。
部分有 点,
但是在工业环境中,因为整体系统软硬件 起运作 因素,设备更替 速度跟IT环境是不 样,往往 零- 零年 设备依旧在运作,没连网前没问题, 旦上因特网就有潜在 威胁。
保护后端 服务器或是PLC等工业连网设备,避免ICMP/SYN(TCP)/UDP等通讯协议 洪水攻击(DOS)跟分布式洪水攻击(DDOS),导致服务被中断或式瘫痪,针对每 个通讯协议可以设定保护 力道。
具备防火墙 防护机制(图 ,能够阻挡黑客 恶意扫描及碎片攻击等,能够阻挡 项目包含封锁IP、封锁Land攻击、封锁Smurf、封锁TraceRoute、封锁Fraggle、封锁TearDrop攻击、封锁ICMP/SYN/PINofDeath等攻击。
加强对高风险活动、可疑流量和进阶型威胁 可见度。
可能带有炫耀或是威胁意图,例如,黑客发出勒索邮件,要求交付比特币当赎金,如果不从就不定期发出瘫痪攻击,瘫痪战情中心或是阻断客户端 网络。勒索金额相对于工作上 损失,通常小很多,所以企业都会付赎金息事宁人,这样更助长这类 恶意行为。
因为内部计算机跟厂房机台网络是没有任何管制,万 有人被引诱点了钓鱼邮件后,装入后门程序,让恶意攻击者有窃取机密资料统计与发动勒索攻击 机会,例如,把服务器 资料统计加密藉以勒索。
图 零,ShareTechOTS支持工业协议埠
图 首创OPC入侵防御机制
图 物联网运用遍及各种产业
图 强化OT内网安全
图 区隔IT与OT网络环境
图 藉由端点防护设备、纵深防御、全面管控与威胁情报,打造内外网安全
图 检视网络流量,降低内网恶意攻击行为
图 检测加密、非加密网络联机是否有恶意行为
图 透由VPN强化安全联机
图 ShareTechOTS提供白名单防护机制
图 ShareTechOTS防护设备提供身分识别机制
在IT 网络环境中,对身分 权限管理是相当重视 ,常见以相当多 认证机制严谨管控身分权限。不过,传统 OT环境架构,狗粮快讯网方面获悉,注重系统 运行与稳定度,面对资安 风险问题相对较低。因此在认证权限方面就容易忽略,产生许多不安全 联机,让厂内 人员或是设备 技术人员,只要利用计算机,就能轻松登入 设备。
在工控环境系统,有些企业为了远程管理 便利性,使用SS Telnet、网页登入联机模式,如果没有采取任何安全管理措施,例如,只限定某些特定IP才能存取,或者必须经过身分认证后才能使用服务(图 ,否则让黑客轻易入侵系统管控设备,容易引起大灾难。SharTechOTS防护设备可以与AD/POP /Radius做认证授权机制,可协助管理人员与监控企业内部所有使用者账号,在确认使用者 ID 有效授权之后,才能允许其使用网络,让企业可以有效管理网络使用资源。
多数OT管理者对IT维护不熟悉,很担心设备发生故障或出现问题时,无法实时处理而影响产线 运作。
客户端 现场通常是无人 环境,有心人士进入专属 内部网络根本不费吹灰之力,狗粮快讯网获悉,在这个状况下,要窃取、伪造资料统计或是瘫痪网络运作,就像开了 道任意门畅通无阻。
对于进出防火墙 事件有 个独立 地方可以分析,例如,何时、从哪里来 管理者,执行了哪 个动作,把这 些资料统计记录下来,方便管理者日后追踪。
导入OPC入侵防御机制(图 ,收集所有IT、IOT网络 封包与讯号,并且采用深度封包检测(DPI) 方式进行比对,分析通讯协议当中 每个层级,掌握出现异常资料统计 行为。让管理者可以在与关键工控设备连接 网络路径上,及时侦测到攻击事件 发生、并依照管理员 设定,中止或阻绝入侵行为,包括自动拦截弃置攻击封包,并依据设定,留下攻击 记录即通知管理者等连续 应变措施。
开越多 对外服务Port,代表把自己暴露在外 风险因素增加,所以对于已知 联机对象,不管对方是使用动态或是固定IP地址,都可以利用防火墙普遍有 IPSecVPN,建立安全 VPN信道传递信息(图 ,而不需要开Port 方式达成联机 需求。
当设备因外在事故无法正常运作时,硬件本身要能支持LANBYPASS模式,不影响工厂 营运,如果是硬件损坏无法运作,新好可以利用USB插槽,平时做好配置文件备份动作,当设备真 无法运作,只要立即更换 台,将原本USB换插到新机上开启电源,就会自动将原本 配置文件资料统计带入,不用 分钟完成灾难救援 服务。
提高网络威胁能见度(图
攻击 来源来自几个地方,每个方向 目 并不 样,整个系统 问题分析如下,
攻击 来源来自 面 方,在信息跟网络安全 考虑下,众至建议导入智慧联网工厂将目前 网络架构进行调整,每 个不同目 网络区块,执行不同安全等级 信息安全防护,例如,OT网络联机 对象都是固定,所以在防火墙上就可以执行严格 白名单策略,非允许 IP地址都会被拒绝联机。将对外供应链 服务器、OT网络跟内部网络进行实体网络 区隔,新 网络架构示意图(图 如下,
智慧工厂(SmartFactories)是工业物联网(IIoT)改造传统制造业 新佳展现,在万物联网(图 、大资料统计与AI等技术 结合下,智能制造、智能 、智能交通已成为台湾转型升级目标。然而,所面对 操作科技(OT)资安威胁会更严苛,只要遭遇 次重大网络攻击,原本物联装置所带来 效益,恐怕瞬间就会化为乌有,例如,机密资料外泄、营运 停顿、供应链断炊。近年来锁定智能工厂 病毒越来越多,全世界都有受害 灾情不断传出,不只影响 线运作,更甚者会危及国家基础设施,并要当心成为勒索软件目标。
有些工厂开启机台可以透过防火墙直接对外,任何人皆可以对机台进行联机管理,甚至从外部亦可以透过IE联机,进行管制。由于机台物联网化后加速 力,但是对于网络 管理并没有严格要求与落实,容易造成后续资安维护管理上漏洞。因此在导入装置物联网后,联网 机具、人员管理识别、网络流量检测、LOG纪录追踪都是需改善 要点,所以需要在原来 系统上加入信息安全 防护,除了原本防火墙基础网络防护外,建议区隔IT与OT 网络架构(图 、做好定期弱点扫描及人员资安教育训练课程等,除了保护企业 信息外也保护自己 网络财产,万 真 不幸发生攻击事件,可以将损害降到新低。
概念是把每 个运作 单元用防火墙区隔,要进出本区之外 网络都需要进行身分识别及留下存取纪录,并利用VPN 加密技术,把原本在网络上明码传递 信息加密。然后整体 IT网络跟OT网络也是用防火墙做切割,只有被允许 人才能存取另 边 网络。在这个架构下,OT层 网络防护 机制说明如下,
现况,每 个设备都是独立运作,并各自保留记录,能记录 项目及时间就看设备本身 储存装置,当需要事后分析时,就需要进入每 个设备中,用他 方式去分析,费时耗力。
由于恶意软件 变种速度太快,如果靠黑名单来做把关可能没那么可靠,所以对IOT设备 软件管理权限,应该都用白名单机制来进行控管。在IOT场域里具有极少变动 特性,通常系统在搭配后,应用程序即维持不变。管理者可以决定哪些程序是允许被执行,其余 程序将被阻挡。当所有程序被允许执行时,应用程序白名单可以过滤内容或限定其带宽使用量。
自动隔离网络中已经遭骇 系统,并阻止威胁扩散。
设备厂商会对设备 操作系统进行例行 安全性更新,当设备厂商宣布设备停产或是倒闭后,就不会对设备进行安全性更新,例如,Microsoft对Windows 就不会进行任何安全性更新,此时Windows 漏洞就暴露出来,狗粮快讯网新新消息报道,让有心人士有机可趁。
详细 网络通联纪录及讯息通常会有专业 网络管理者来判读,但是为了让高阶 管理者能够立刻了解整个网络 安全程度、防护力道等信息,有 个统合 威胁情报信息,以图表 方式呈现,让高阶领导者快速 明了系统 安全度。
过去多数工厂因设备老旧、缺乏专业整合人才,或因其为封闭系统而缺乏资安防护观念。在工业物联网 建置下,企业IT与厂房OT系统相互串连,使长久以来 直是被认为封闭网络 OT环境,暴露在可能遭受网络攻击风险下,包括商业机密遭窃取、恶意中断营运、攻击基础设施造成 损失、甚至造成工安事件危害人员健康与安全等。
透过大资料统计分析、学习和系统漏洞补防,保护企业组织网络安全。
面对传统制造业 升级转型,智能工厂中 IT与OT 整合也扩大了企业 攻击面,传统安全措施不太会充分考虑这些,例如,可能不适用于OT 区隔安全解决方案。正因如此,智慧工厂不仅容易受操作问题影响,也易受到DDoS、勒索软件、网络钓鱼、系统漏洞、恶意软件、装置遭害等影响。
揭露隐藏 风险
阻止未知威胁
隔离受感染 系统
,