專注於研發工業網路安全技術的Claroty,擁有識別、保護、監控營運現場所有機台設備的相關機制。針對工業物聯網(IIoT),Claroty提供了CTD(持續威脅檢測)、SRA(遠端安全存取),以及xDome監控工業網路安全平台。除了製造業以外,Claroty進一步於2022年收購Medigate,取得醫療保健物聯網(IoMT)技術,納入其擴展物聯網(XIoT)的安全防護範疇。
Claroty大中華區技術顧問詹鴻基指出,Claroty屬於非傳統資訊科技(IT)以外的安全技術供應商。Claroty提出的XIoT,泛指工業、醫療、企業營運環境的虛實整合系統(CPS)架構。實體網路資產涵蓋可程式邏輯控制器(PLC)、建築業的空調控制器與電梯、網路攝影機、自動販賣機,以及醫療業獨特的輸液幫浦、核磁共振成像機等設備。
他進一步說明,當前各家企業面對工業物聯網的資安問題,大多採用IT既有解決方案來建構防護措施。問題是營運技術(OT)場域的聯網設備、通訊等技術,IT解決方案無法辨識與理解,恐難以發揮效益。2015年成立的Claroty,首要解決的即是OT場域可視性,基於非侵入式的Port Mirror方式執行深度封包檢測(DPI),可準確地辨識設備類型、掌握行為模式,進而運用Team82研究團隊的威脅情資來分析風險值。 「Claroty的技術強項主要是工控、醫療等不同產業的OT場域,可識別各家廠牌的聯網裝置、通訊協定,萬一偵測發現異常,Claroty解決方案會把封包資料交給防火牆等資安防禦機制,進一步分析比對才可觸發阻斷措施。」詹鴻基說。
正視IT/OT融合後的資安風險
數位轉型趨勢促進了物聯網應用普及,使得過往分工明確的IT與OT相互融合。在物聯網架構中,IT主要包含感測器、資料儲存、資料分析等工具。OT則是圍繞著工業控制系統(ICS)運作,其中涵蓋分散式控制系統、資料採集與監視系統(SCADA)、可程式邏輯控制器(PLC)、遠端終端單元(RTU)以及智慧型電子裝置(IED)。
傳統上,IT和OT是兩個獨立的領域,但物聯網應用範疇擴大後,使得IT與OT相互結合成為工業物聯網(IIoT)生態系。透過機器之間彼此通訊、物聯網感測器與執行元件的整合,設備可以使用標準網路協定傳遞資料到統一平台進行監控和分析。
以工業應用為例,傳統的OT系統通常會透過溫度控制輔助現場工程師進行決策。然而,透過物聯網技術,這些溫度感測器現在可以基於IT網路服務連接,與其他軟硬體資產進行即時溝通,進而借助人工智慧(AI)自動調整溫度以達到最佳效能。
IT與OT的融合不僅提供了更全面的監控,而且使分析門檻較高的系統變得更加容易。這有助於員工提高工作效率和決策品質,並允許高階管理層可透過手機瀏覽器或App即時獲得資料轉換為可行的洞察,推動製造、醫療、運輸等企業可以進一步實現流程自動化,以減少人為錯誤、提高生產力。
問題是IT/OT融合後,增添了惡意攻擊可利用來滲透的管道,典型的例子即為直接暴露在網際網路的攝影機。此外,惡意攻擊也可運用最低成本的釣魚郵件先行滲透到員工筆電並低調潛伏,待取得存取權限後,從IT環境橫向擴散到OT環境,感染不具備身分驗證機制的老舊裝置。接下來只要利用聯網裝置已知漏洞即可大規模部署勒索軟體,在企業猝不及防的情況下達到攻擊目的。
提高OT實體層能見度
為了具體指出工業物聯網架構的資安風險,Claroty依據普遍被接受的參考架構普渡(Purdue)模型指出可控管的環節。詹鴻基說明,國際工控自動化標準協會ISA99(現為ISA/IEC 62443)描述普渡模型中重要元件的關聯、依存關係、資料流向,把底層開始的Level 0到Level 3歸類為OT環境,Level 4與Level 5歸類為IT網路,以協助不同工作流程識別潛在風險。
Claroty的CTD解決方案獨特之處在於具備Process Values機制,可蒐集Level 0到Level 1的實體設備產生的數據。一旦偵測發現未經授權的讀取與寫入的行為,CTD方案可立即發出告警,在控制器說明違規事項,現場工程師可利用記錄資料來檢測、調查與追蹤事件發生始末,以免發生故障影響正常運作。
此外,為了避免惡意程式從IT擴散到OT,CTD方案運用可視性能力,可把工業網路以虛擬區域(Virtual Zones)進行分割,讓彼此相互通訊的資產建立邏輯群組,完全符合工作流程特性,並且提供圖形化介面監看,收到異常告警當下立即介入查看。
虛擬區域技術實作網路分段
根據Claroty旗下的Team82研究團隊,近期發布2022年下半年的XIoT安全狀況(State of XIoT Security)調查報告統計,已知的688個漏洞中,有高達74%可直接影響OT設備。進一步細分,發現62%的OT漏洞會影響普渡模型的Level 3設備,而四分之一會影響Level 1或基本控制設備,例如PLC。由此不難看出,加強OT安全防護已是當務之急。
詹鴻基認為,企業OT環境中若存在產品生命週期終止且供應商已不再提供技術支援的舊式設備,運用CTD方案提供的虛擬區域機制建立網路分段(Network Segmentation),可能是最佳緩解策略。網路分段能夠藉由虛擬劃分,讓網路中的關鍵區域與其他區域隔離,讓企業可依據OT場域工程特性制定管理策略。
Claroty大中華區技術顧問詹鴻基指出,成立於2015年的Claroty,專注於研發工業網路安全技術,可提供CTD(持續威脅檢測)、SRA(遠端安全存取)、xDome監控平台等方案。搭配旗下Team82研究團隊專屬工控情資,提高威脅辨識力。
他指出,當企業越來越依賴雲端服務,除了把應用系統遷移到雲端平台,也開始上傳資料,借由雲平台的算力運行演算分析,甚至是自行訓練生成式AI模型,此時傳統網路邊界控管效益將逐漸遞減,反而網路分段成為了重要的控制措施。例如Claroty的xDome監控平台,可支援超過450種專用通訊協定,使IT/OT管理者能掌握資產行為模式,為零信任安全控管模式奠定基礎。
除了網路分段,SRA(遠端安全存取)機制亦可說是緩解OT安全的必要措施。SRA具備基於角色的存取控制(RBAC),讓任何的訪問行為須通過多因素身分驗證,才可取得最小存取權限,落實零信任原則。不論是IT或OT環境,皆可運用SRA進行管控,藉此減少企業數位化程度提升後,可能衍生擴大攻擊面的風險,並增強事件應變能力,從而保護關鍵資產免受損害。