善用物聯(lián)網(wǎng)安全方案 讓黑客無機可乘
在物聯(lián)網(wǎng)熱潮延燒下,接續(xù)繁衍工業(yè)4.0、Bank 3.0、金融科技(FinTech)與零售4.0等嶄新的產(chǎn)業(yè)浪潮;若以物聯(lián)網(wǎng)信息安全議題而論,尤其以工業(yè)4.0跳躍幅度最大,只因制造業(yè)過往采用封閉的序列通訊協(xié)議,尚可忽視安全課題無妨,如今走向IP通訊化,即需面對從零分到滿分的快速進化需求。
不可諱言,從以往各自獨立運作的系統(tǒng),邁入萬物皆可互聯(lián)的物聯(lián)網(wǎng)時代,其間轉(zhuǎn)變確實相當劇烈,而且這般的變革,對于不論是企業(yè)競爭力、人類生活質(zhì)量,都可謂美事一樁,此乃由于,經(jīng)由物聯(lián)網(wǎng)設備所產(chǎn)生數(shù)據(jù)的分析探勘,可望從中挖掘?qū)氋F的信息,一旦加以善用,將能提升企業(yè)組織運作效率,連帶強化運營競爭力,同時有助于促使人類生活更趨精采多姿。
隨著工廠內(nèi)部機臺設備走向IP通訊化,固然有助于拓展諸如遠程除錯、預知保養(yǎng)等進階智慧應用,但同時也開始接觸網(wǎng)絡惡意攻擊,亟需透過防火墻捍衛(wèi)工業(yè)網(wǎng)絡安全。
盡管從過去一座座筒倉(Silo)(意指獨立封閉的系統(tǒng)架構(gòu)),邁入萬物互聯(lián)新局,確實可望觸發(fā)無窮效益,但在轉(zhuǎn)折過程中,不乏有嚴峻挑戰(zhàn)亟待面對,最顯著的考驗,無疑正是信息安全,主要是由于,過去筒倉采用自成一格的通訊協(xié)議,鮮與外界溝通,黑客對這些封閉語言一無所知,所以無從出手制造任何安全威脅,今天工廠設備走向IP通訊化,不再是與世隔絕的筒倉,至此情勢出現(xiàn)大幅逆轉(zhuǎn)。
以現(xiàn)今熱門的工業(yè)4.0議題為例,制造業(yè)導入工業(yè)物聯(lián)網(wǎng)后,使以往蜷縮在一個個不同筒倉里頭的機臺設備,開始試圖藉助工業(yè)界標準語言,與外面的世界溝通,溝通的對象不僅含括異質(zhì)設備、制造執(zhí)行系統(tǒng)(MES),同時還有更上層的ERP、云端大數(shù)據(jù)平臺,旨在滿足遠程監(jiān)控與預防保養(yǎng)等需求;但在追求創(chuàng)新突破之際,也背負門戶洞開的安全風險。
筒倉走向開放 安全挑戰(zhàn)接踵而至
曾有廠務主管透露,伴隨工廠設備開始聯(lián)網(wǎng),諸如跳電、機器故障等意外插曲,似乎也跟著增多,雖然增加的幅度看似不大,造成的停機時間也不算長,但制造企業(yè)對于產(chǎn)線的持續(xù)高效率運轉(zhuǎn),一向極為倚重,只因為停機時間與次數(shù)一旦增加,輕則影響產(chǎn)能、壓低稼動率,重則導致制程整個報廢,讓原物料付之一炬,因而蒙受可觀財務損失,甚至造成交期延宕、沖擊商譽,后果著實不容小覷;深究個中原因,不乏肇因于病毒或惡意軟件而引發(fā)機臺設備故障之例,更可怕的是,如果諸如此類現(xiàn)象一再發(fā)生,合理懷疑已有黑客侵門踏戶,此時企業(yè)便需提高警覺,檢視是否有機密智財出現(xiàn)外泄。
意欲清除這些負面因子,則負責企業(yè)操作技術(Operation Technology;OT)的人士,實有必要向執(zhí)掌信息科技(IT)事務的同仁看齊,認真考慮部署相關安全防護設備,從VPN與防火墻的架設作為起步;眾所周知,防火墻并非新穎技術,迄今發(fā)展歷程已超過20年,而且防護實力日益強大,但問題是,制造業(yè)者欲以一般商用VPN防火墻系統(tǒng)保護工業(yè)控制網(wǎng)絡,顯然并不適合。
業(yè)者解釋,一般常見商用防火墻,擅于守護Intranet之內(nèi)的服務器、個人計算機等眾多運算節(jié)點,也成為這些節(jié)點通向因特網(wǎng)的唯一出入閘口,因進出流量大,所以防火墻不可能逐一攔阻并詳查每個封包,僅能藉由封包來源與目的地來驗證其合法與合理性;反觀工業(yè)控制網(wǎng)絡,與Intranet情況大異其趣,內(nèi)含的設備數(shù)量相對有限,傳輸?shù)臄?shù)據(jù)量也較小,不過單一封包所蘊含的價值,卻遠比Intranet進出流量要大上許多,所以單憑商用防火墻查看封包地址與去向之模式,肯定不敷需求,必須導入工業(yè)用防火墻,藉以辨識諸如EtherCAD、Profinet等工業(yè)通訊協(xié)議,理解不同機臺設備慣用的溝通話術,從而深入剖析與細膩檢查數(shù)據(jù)流量,如此才能實時察覺異?,F(xiàn)象。
善用工業(yè)協(xié)議防火墻 有助遏止黑客進犯
比方說,假設工廠內(nèi)部所采用的機械手臂,按常理所需執(zhí)行的作業(yè)步驟,依序包含了A、B、C、D、E等五道程序,此時如果出現(xiàn)黑客入侵現(xiàn)象,透過惡意軟件的施放,意圖控制機械手臂將執(zhí)行步驟改為A、B、C、D、F,等于更動了個中一道程序;對于這般變化,商用防火墻理當難以察覺,只因這類系統(tǒng)對于工業(yè)通訊協(xié)議的辨認能力不足,反觀工業(yè)防火墻,即可在第一時間斷然制止,不允許有人擅自更改控制規(guī)則。
事實上也有少部份商用防火墻,在成立之初,便誓言跳脫單純的TCP/IP協(xié)議,養(yǎng)成足以解析所有網(wǎng)絡流量內(nèi)容的實力,如今得以朝向物聯(lián)網(wǎng)安全、工業(yè)4.0安全等領域靠攏,譬如Palo Alto Networks便是一例。制造企業(yè)若將Palo Alto Networks網(wǎng)關設備布建于工業(yè)控制網(wǎng)絡,即使面對「Modbus Read Only」(僅容許讀取Modbus端信息、不允許寫入)的規(guī)則條件,也有能力加以辨識,并且落實執(zhí)行,單憑這點,便與一般商用防火墻產(chǎn)品大不相同。
另一方面,Palo Alto Networks面對工業(yè)控制網(wǎng)絡的防護重任,不管守護對象是工業(yè)計算機、SCADA或ICS(工業(yè)控制系統(tǒng)),都堅守零信任原則,是假定所有內(nèi)部使用者都是不安全的,因以每個同仁的一舉一動,都必須完全符合既定行為規(guī)范,不容許有任何差池,所以萬一有任何使用者節(jié)點,不慎遭黑客植入惡意軟件,意圖做出超乎規(guī)范的行徑,只要踏出第一步,必定立即遭到Palo Alto Networks系統(tǒng)遏阻。
借助單向網(wǎng)關 實現(xiàn)實體網(wǎng)絡隔離
Intel Security(原名McAfee)也是甚早跨足物聯(lián)網(wǎng)安全防護的業(yè)者,其標榜以白名單為管控基礎,與前述零信任架構(gòu)頗有異曲同工之妙;所謂白名單,主要是透過一套動態(tài)白名單機制,用以鎖定物聯(lián)網(wǎng)設備的原始軟件設定,避免被納管的設備擅自執(zhí)行未經(jīng)授權(quán)的程序代碼,藉此確保設備的安全性;之所以必須這么做,道理其實很簡單,因為世上沒有任何一個安全解決方案,足以100%解決現(xiàn)今與未來所有風險,面對發(fā)展方興未艾的物聯(lián)網(wǎng)應用,欲妥善管理如此大的不確定性,「強力限縮訪問權(quán)限」無疑是最理想的做法。
此外,類似像發(fā)電廠等以往走封閉路線、如今開始聯(lián)網(wǎng)(基于智慧電力調(diào)度)的關鍵基礎設施,由于關鍵性非同小可,完全不容許一絲一毫遭到黑客染指,故防護措施必須更加嚴謹;著眼于此,有業(yè)者開始援引Waterfall單向網(wǎng)絡安全網(wǎng)關,形塑一種訴求「實體網(wǎng)絡隔離」的解決方案。
據(jù)悉,現(xiàn)階段面對關鍵維運作業(yè)數(shù)據(jù)實時交換需求,意欲防止遭受網(wǎng)絡攻擊,企業(yè)通常采取兩種做法。一是藉由防火墻,將該網(wǎng)絡區(qū)域劃分成一個隔離的網(wǎng)絡環(huán)境,接著運用防火墻規(guī)則來限制個中存取行為,然而此做法的疑慮,在于隔離與非隔離網(wǎng)絡環(huán)境的物理層依然相通,倘若防火墻規(guī)則有所疏漏,仍可能導致兩個網(wǎng)絡環(huán)境的界線趨于模糊。另一做法,則是直接以實體隔離方式,切斷機敏網(wǎng)絡區(qū)段的對外通訊,但此舉將對內(nèi)外網(wǎng)數(shù)據(jù)交換構(gòu)成阻礙,這時企業(yè)只好以可攜式儲存設備來滿足交換需求,反而導致追蹤與稽核不易,衍生更大風險。
通過單向網(wǎng)絡安全網(wǎng)關,則迫使任何數(shù)據(jù)僅能從TX Gateway復寫到RX Gateway,完全杜絕了任何反向通訊的可能性,如此一來,黑客欲利用傳統(tǒng)三向交握機制的盲點,從中找尋可供切入的縫隙,勢將鎩羽而歸。