製造業的網路安全必須將所有自動化連網生產設施納入考量,傳統的資安防堵已經無法因應,必須宏觀地導入平台解決方案,透過全球情資分享、自動化安全措施機制並擁有隨時快速採納最新技術的彈性,才是正確的思維方式。
新興的數位科技讓企業與供應商、夥伴,建立起高效率的通訊,以製造業為例,製造商部署工業物聯網(IIoT)和Industry 4.0相關技術,以改善效率和產品品質、減少計畫性的停機,並且讓主管能夠根據即時生產資訊做出快速回應。
然而,在先進的數位生產技術底下,所帶來對於整體設施網路安全的威脅也隨之升高。員工可能隨時因意外或其他原因,點擊連結或下載檔案,導致網路或敏感資料陷入風險,這時便需要一個具備高度協同運作及自動化的威脅預防方案,從端點開始構建防護網,再搭配端點保護方案偵測並預防入侵與惡意軟體,包括勒索軟體,確保攻擊者無法侵入。
以雲端為基礎的威脅分析服務則能夠針對最新威脅做出預警,透過一個虛擬環境動態分析可疑內容,並且偵測全球任何地方出現的最新威脅,而後隨即建立新的保護並且交付到平台的威脅防禦感測器,過程只需要短短五分鐘。
員工、協力廠商、供應鏈及其他網路使用者各有不同的需求,因此預防網路攻擊的關鍵在於建構一個容易管理而能夠分級區隔的網路。根據資產敏感性劃分網路區段,同時管控每一區段的使用者與應用程式存取,如此將能為敏感資料和應用程式建立另一層的存取控制。藉由持續掃描各網路區段的攻擊威脅,降低威脅橫向穿越網路的風險,而內容掃描則可以減少資料外洩風險。
未來的安全管理平台,一定需要高度整合、自動化、與其他工具快速連結,安全人員藉此可縮短回應時間,專注於關鍵事件,並防範預期威脅和追蹤未來攻擊。ICS/SCADA系統正從獨立和專屬性的方案,轉移到運用IP和商用現成產品的互連系統。IT/OT整合與IIoT雖然可以優化營運並降低成本,但同時也增加網路攻擊風險。為確保控制系統網路安全,必須能做到以下幾點:
‧辨識ICS/SCADA網路流量,以建立機台應用程式白名單,透過機台連線網路例如SECS/GEM HSMS、Modbus、DNP3和CIP EtherNet/IP,以及廠房網路使用者及其應用程式使用方式,以驗證使用者是否遵循網路使用政策。
‧以Zero Trust零信任模式建立網路區段,減少攻擊面和發生意外網路事件的風險。
‧運用先進端點保護方案保護控制系統、伺服器或主機,避免已知和未知網路威脅。
‧將安全政策與保護延伸至廠房等嚴苛環境。
‧除了建構一個安全的VPN之外,藉由實施可接受使用政策和安全狀態,確保負責監控關鍵設備的員工和協力廠商能夠安全地從遠端存取ICS網路。
<本文作者:尤惠生現為Palo Alto Networks台灣區總經理>