工業物聯網(IIoT)已經成為智慧製造發展的基礎支柱。從生產線的自動化設備、感測器,到各式各樣的聯網終端,企業藉此獲得更高的營運效率與數據洞察能力。然而,這些帶來效率的同時,也無可避免地引入了安全風險。過往資訊科技(IT)與營運科技(OT)之間存在明顯的邊界,各自擁有不同的通訊協定、設備生命週期與管理邏輯,使得IT領域的安全方案難以直接套用於OT環境。
但隨著OT設備開始大規模聯網,原本阻隔的防線逐漸失效,攻擊者得以利用IT網路滲透至核心的OT系統,威脅直接觸及企業的生產運作與營運穩定。
面對新興挑戰,市場上各家廠商紛紛提出應對之策,但多數仍停留在單點解決方案的層次,企業往往需要導入多套相異的管理工具,不僅增加維運人員的負擔,更可能因資安政策不一而產生防禦缺口。Palo Alto Networks台灣技術顧問總監蕭松瀛指出,解決之道在於放棄拼湊式思維,轉向「平台化」整合策略。他認為,若能將IoT/OT裝置納入統一平台,便能簡化管理並提升防禦一致性。這也是Palo Alto Networks在IoT/OT安全策略的基礎:讓企業以熟悉的IT邏輯延伸至OT防護。
平台化消弭邊界 實踐資安可視性
傳統觀念認為,OT設備與通訊協定具有其獨特性,例如Modbus、PROFINET等,非IT人員所能理解。然而,Palo Alto Networks的策略並非從OT協定的深度解析切入,而是回歸其網路安全的專業本質。蕭松瀛解釋,Palo Alto Networks的IoT安全方案,其技術核心源自於併購的Zingbox,目前這些能力已多數整合到其次世代防火牆與Cortex平台中。這意味著企業無須再額外採購獨立的IoT安全設備,而是在既有的網路架構上,透過軟體授權啟用此功能。其運作方式是採取非侵入式的被動偵測模式,當IoT或OT設備產生網路流量,流經NGFW或其SASE(安全存取服務邊緣)架構的Prisma Access,平台便會開始分析這些流量特徵,進而識別設備的類型、品牌、作業系統版本等資訊。
這種做法的最大優勢在於不影響現有OT環境的穩定運作,避免主動式掃描可能對老舊設備造成衝擊。當然,要精準識別成千上萬種IoT設備,單靠傳統的特徵碼比對已然不足。為此,Palo Alto Networks導入了機器學習技術,透過持續學習網路中的流量行為,蕭松瀛表示,大約24至48小時內便能識別出環境中九成以上的聯網設備。這個過程並非一蹴可幾,而是一個動態的學習與標記過程,隨著時間推移,平台對於環境內設備的掌握度會愈趨精準。一旦設備被成功識別,企業的資安團隊便如同獲得了一份即時更新的數位資產清冊(CMDB),解決過往需耗費大量人力進行盤點與維護的痛點。
更重要的是,當IoT/OT設備納入Strata統一平台後,能立即享有雲端交付安全服務(CDSS),涵蓋進階威脅防禦(ATP)、DNS安全、WildFire沙箱與資料外洩防護(DLP)等能力。資安或IT人員無需學習新規則,直接沿用既有政策即可。例如平台若發現攝影機存在CVE漏洞,即便無法修補,仍能透過ATP虛擬補丁在閘道端阻擋攻擊;若偵測到裝置連線至惡意伺服器,DNS Security亦可即時攔截。
AI賦能精準識別與防禦
物聯網設備之所以構成嚴峻的安全挑戰,其根源在於設備本身的脆弱性。許多IoT設備在設計之初便缺乏足夠的安全考量,不僅處理能力與記憶體有限,難以安裝傳統的防毒軟體,更常因使用年限長而疏於更新,使其長期暴露於風險之中。面對數量持續增長且異質的設備,人工管理已不切實際,唯有借助人工智慧(AI)的力量,方能實現規模化的有效防護。
Palo Alto Networks將其AI能力整合成為Precision AI專屬系統,並應用於IoT安全的各個環節。蕭松瀛說明,在設備識別階段,可透過分析數以萬計的設備流量數據,建立起精準的識別模型,即使是資料庫中未曾記錄的新設備,也能依據其行為模式進行合理推斷與分類。此外,AI模型還能持續監測設備的行為基線,一旦偵測到異常活動,例如溫控感測器突然開始對外大量傳輸數據,系統便能即時發出警示,有助於早期發現潛在威脅。
Palo Alto Networks台灣技術顧問總監蕭松瀛表示,IIoT資安應從單點防禦轉向平台化整合,藉由AI與雲端服務強化可視性與一致性管理。
Precision AI在威脅防禦亦可展現價值。前述的CDSS服務,主要是由AI引擎驅動。例如ATP服務利用機器學習來識別變種或未知的攻擊手法,使其不單依賴已知的攻擊特徵碼;而WildFire沙箱則能分析可疑檔案在IoT設備上的行為,判斷其是否為惡意軟體。蕭松瀛指出,這些AI驅動的防護能力皆內建於Strata平台,當IoT流量通過時,便會自動受到檢測,資安團隊無需進行複雜的設定。
此外,為了方便不同背景的管理者理解資安態勢,Strata平台還能將盤點出的設備,以視覺化的方式呈現在普渡模型或IEC 62443等工業控制系統的安全框架中。這並非重新收集資料,而是將同一份底層數據,以不同的視角進行呈現,讓IT人員與OT人員都能用自己熟悉的語言溝通,有效消弭跨部門的協作隔閡。
隨著生成式AI的蓬勃發展,企業內部的AI應用也將成為新的防護重點。Palo Alto Networks為此推出了Prisma AIRS(AI Runtime Security)平台,專門保護企業在開發與使用AI應用程式、模型及資料時的安全。當IoT設備開始與企業內部的AI模型進行互動時,其流量同樣會被Strata平台所納管,進而受到AIRS的保護,形成全面的防禦縱深,為企業在複雜的工業物聯網環境中,確保數位轉型應用場域風險得以掌控。