[OPSWAT] OT網路安全防護關鍵五步驟 因應IT與OT系統差異 實現安全與效率平衡

隨著工業4.0時代的來臨，資訊科技(IT)與營運技術(OT)系統的整合已成為趨勢。然而，IT與OT系統的運作特性存在明顯差異，對於企業網路安全防護帶來了新的挑戰。OPSWAT北亞區技術顧問周裕華詳細剖析OT網路安全的現況與對策。

周裕華指出，OT管理者的一大憂慮是，OT 一更新，整條生產線就要停擺，那營運怎麼辦? 他們必須在安全性與生產效率之間取得平衡，尋求一種既能強化防護，又不會過度影響營運的解決方案。

除了更新維護的問題外，OT網路環境本身也存在諸多安全隱憂。首先是OT設備的安全性，像是可編程邏輯控制器(PLC)等核心設備，若未妥善保護，很容易遭受駭客攻擊。再者，企業常將OT網路與IT網路隔離，但隔離措施不足，依然存在漏洞。
 
工業防火牆雖可部署於OT網路，但其協議資源有限，易受攻擊者利用。另一方面，許多企業為了維護OT系統的穩定性，往往忽略了防火牆的正確配置，讓防護措施形同虛設。
 
周裕華強調，如果一個企業有100台防火牆，怎麼確認每一條路徑都是正確的?這就是我們常常在資安新聞上看到的問題。不當的防火牆設定，很容易導致整個企業網路遭受攻擊。

NIST CSF 2.0框架與OT應用

為因應OT網路安全的特殊需求，美國國家標準與技術研究院(NIST)近期發布了網路安全框架(CSF) 2.0版本。此版本在原有的識別、保護、偵測、響應和復原五大環節中，均加強了對OT環境的適用性。
 
NIST CSF 2.0不僅要求企業掌握OT資產清單，並瞭解各設備的軟體版本和安全弱點，同時也強調要有完整的事故應變機制。此外，隨著人工智慧(AI)技術的日益普及，CSF 2.0也納入了相關的威脅因應方案。
 
周裕華提醒，企業一定會接受到AI帶來的趨勢，但AI同時也會產生新的威脅，例如以前無法做到的事情，現在AI都可以去創造。必須時刻保持警惕，不能過度依賴AI的自動化判斷。

OPSWAT的OT網路安全解決方案

面對OT網路安全的多重挑戰，OPSWAT提供了一系列完整的解決方案。首先是針對移動裝置的安全管控。OPSWAT的Kiosk產品可掃描USB隨身碟、SD卡等裝置，阻擋含有惡意程式的檔案進入OT系統。

同時，OPSWAT還開發了一款名為Media Firewall的硬體裝置，可強制要求所有移動裝置先經過Kiosk掃描，確保安全性。對於跨IT/OT網路的檔案傳輸，OPSWAT提供了單向性的資料交換解決方案，確保資料流向的安全性。
 
周裕華表示，該方案可搭配多引擎病毒掃描、內容分解重建等技術，確保絕對安全的資料傳輸，並有足夠的單向性，去滿足在一個非安全區跟安全區之間的檔案交換。
 
此外，OPSWAT的資產管理解決方案OT Security，可協助企業識別OT設備型號和韌體版本，掌握各項資產資訊，並依NIST CSF 2.0的要求，提供完整的安全性識別、保護、偵測、響應與復原機制。
 
在遠端訪問控管方面，OPSWAT則提供了雙向的遠端接入管理方案，透過資產健康狀態確認、多重驗證等手段，確保遠端使用者的可信度，避免成為攻擊切入點。
 
當有外部人員想要進入到企業的OT場域中並訪問其的OT設備時，就能用相關技術去識別並核實這個人員所攜帶的設備及檔案是否是安全無虞的。

強化OT網路安全的關鍵技術

除了系統整合方案外，OPSWAT也提供多項前瞻性的OT網路安全技術。如多引擎病毒掃描功能，可讓檔案同時經過34種不同防毒引擎進行掃描，大幅提升檢測的覆蓋率和準確性。
 
內容分解重建(CDR)技術則能夠確保檔案的完整性，杜絕隱藏於檔案中的惡意程式。此外，OPSWAT的行為分析引擎，也可監控網路流量，發現可疑的惡意活動。
 
周裕華表示，可以利用這樣的技術直接跟CPE做Mapping，做比對的時候，就可以有效的避免相關問題的產生，大幅降低OT網路遭受攻擊的風險。

單向通道保護OT網路

除了前述的安全防護技術外，OPSWAT的單向資料傳輸解決方案也是OT網路安全的重要環節。透過物理層面的單向傳輸通道，可確保資料流向的單向性，杜絕逆向侵入的可能。
 
OPSWAT提供了不同型號的單向閘道器，可滿足企業在IT/OT網路隔離、資料備份複製等場景的需求。值得一提的是，這些單向閘道器不僅具有單向性，也內建多引擎病毒掃描、內容分解重建等安全功能，進一步強化資料交換的安全性。
 
周裕華說明，當我們具備了這個能力，就能提供清洗過的安全檔案。把透過經由8、12、16、20，甚至更多的防毒引擎驗證過的組合包裝搭配直接去做掃描。

OT資產識別與事故應變

一旦發生安全事故，OPSWAT的OT Security產品則能夠協助企業快速應對。它可透過網路探針，擷取OT網路中的流量數據，並提供詳細的資產清單、網路拓撲、異常流量分析等資訊，供企業進行事件調查和應變處置。
 
周裕華表示，這樣就可以把一個PCAP匯到OT Security的設備上，直接產生網路脫骨、設備資產清單，還有它所有的聯繫狀態。此功能可幫助企業快速掌握OT網路的異常狀況，採取適當的應對措施。
 
透過這些資安防護技術和整合解決方案的結合，OPSWAT旨在幫助企業在IT與OT系統的融合過程中，找到安全與效率的最佳平衡點，有效降低OT網路面臨的各種安全威脅。

原文連結：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11201