觀點

專訪:IT 與 OT 資安的融合挑戰

2022 / 05 / 23
編輯部
專訪:IT 與 OT 資安的融合挑戰
數位轉型無疑是企業或組織單位在數位化時代下維持競爭力的一帖良藥。在製造相關的產業裡,隨著工業網路、AI、大數據的發展,企業及組織單位已經體認到可互聯的OT/IT,可以帶來與以往不同的效率甚至利潤。然而OT/IT融合是一個需要分階段實施、逐步提升層次相當緩慢的進程,尤其是在「資安」的層次上。
 
Fortinet台灣區總經理吳章銘是IT人,卻早在2015年就開始接觸OT資安領域,他這幾年親眼所見OT/IT的思維差異,「OT人會認為在IP類的部分放上防火牆就是OT資安了,而且到現在還是有這樣的思維。」
 
聽起來或許令人驚訝,但吳章銘認為這是IT與OT需求目的不同而使然。IT著重即時性,設備通常3-5年汰舊換新,週期性的固定更新補丁,並且有強制、頻繁的稽核檢查。而OT則看重高可用性,設備壽命往往長達20年。因為停機停產的代價巨大,產線的穩定度一定是優先。
 
「OT與IT的語言是不一樣的。」
 
吳章銘舉Layer (層級) 為例,IT的 OSI Layer 跟 OT Purdue Model (普渡工業控制階層模型) 的Layer完全不同。與OT人溝通時運用的語言很重要,以安全和穩定性為核心宗旨,再輔以OT協定、OT運營角度和語言來切入,來消除對談第一層的隔閡。
 
普渡工業控制階層模型其實是IT與OT溝通很合適的橋樑,因為它基於OT環境的階層區隔定義,且橋接了IT與OT的功能框架。最上層的『業務與企業管理層』,通常含括ERP、CRM這類與IT高關聯的系統。中層的『製造維運與控制層』就是OT/IT融合的關鍵層次。最下層的『裝置與程序控制層』則是純OT的領域。
普渡工業控制階層模型是IT與OT溝通很合適的橋樑。
「最重要的是IT一定要能證明導入資安的方案不會影響工控系統的高可用度。」吳章銘也建議IT人也需要實際了解產線工作流程和需求想法,比較能找到成功對談的途徑。為了能夠更進一步了解OT,Fortinet台灣已經引進OT行業的人才,服務其製造業及關鍵基礎設施,如離岸風力發電、太陽能電廠等客戶。
 
除了人的溝通,OT資安方案也要能夠與產線上的工控設備講同一種語言,簡單舉例,防火牆要可以判讀工控設備的溝通。吳章銘表示,現今IT的安全產品與方案大多無法支援OT所需的特殊協定與通訊方式。導入的資安產品或方案一定是在軟體與硬體上能夠充分支援原生OT協定,如:BACnet、DNP3、Elcom、Modbus、MMS、LONTalk、SafetyNET、S7…等。
 
「這代表著Fortinet 可以精準判讀OT設備之間彼此的通訊,並判斷是否有異常。」

無論企業大小都要注意OT資安

然而,台灣94%的製造業是中小企業,資源相對的沒有這麼豐富,要導入OT協定3不太可能。想做OT資安,吳章銘認為NIST的工控安全框架是合適的參考工具。該框架的五大核心:識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)為企業提供規畫與執行OT安全時,能有一個容易遵循的方式和指導原則。
 
「NIST框架你可以把它看成一個圓輪,不停的轉。企業可以看自己目前走到哪一步或實際需求狀況,從哪個核心切入規劃OT資安都是可以的。」
NIST的工控安全框架是中小製造業合適的資安規畫參考工具。
技術層面上,無論企業規模大小,Segmentation (網路分割) 都應該要做。在OT資安裡,Micro Segmentation 是把NGFW擺進廠區的機台,而Fortinet 的Nano Segmentation把NGFW擺到機台的單一設備裡。「就像專屬的EDR給產線上的OS。OS一定有既有的流程,如果有異常,Nano Segmentation可以立即屏蔽威脅或校正,避免橫向感染。」
 
「對Fortinet而言,作OT資安,第一步就是Nano Segmentation。」
 
另外,吳章銘特別澄清SIEM,它常被誤解為是一個很大、很複雜的平台,但卻被忽略了它在事件關聯分析、告警時的自動化功能。吳章銘解釋沒有使用單位會只使用單一種品牌,因此工控環境中多品牌設備之間的自動化關聯性分析、告警,是OT資安一個重要的考量點。
 
Fortinet將NOC 跟 SOC 做在一起,且可以透過 API的方式對接他牌設備,並告知資安防禦系統要做如何回應。目前Fortinet可對接超過400個品牌的設備,並按照OT的標準和應用協定打造其安全之網的防護概念。

OT資安生態系打團體戰

面對與日俱增的OT資安威脅,據統計2021年加密勒索攻擊就有10.7倍的成長,牽連供應鏈、產線等層面不斷擴大。優異的OT資安解決方案必須建立在生態系上。
 
Fortinet把其OT資安生態系分成兩個大區塊— 安全織網及工控領域的合作夥伴。安全織網的區塊,進一步分為可視性/情資、運維/自動化及其他3類的合作夥伴;而工控區塊則分為工業控制、系統整合及其他,包含像Schneider、Yokogama、Rockwell、ABB、Siemens等知名工控大廠都是Fortinet在OT資安的夥伴。吳章銘強調,OT資安必須要以組成國家隊的概念來打團體戰,透過多方專業廠商的協作精煉出最完善的OT解決方案並且擴大其服務客群。
優異的OT資安解決方案必須建立在生態系上。
看好台灣OT資安的市場發展,吳章銘說Fortinet第一季OT資安業績已占比超過10%的台灣整體業績,這是往年都沒有的情況。他更預估今年一整年可以占比超過15%。吳章銘分析,符合OT工規的硬體、在台灣本地的威脅情資中心、專業的OT人才、完整的OT資安生態系是Fortinet四大利器。
 
最後,吳章銘強調實務上,威脅手法日新月異,工控資安不可能做到百分之百防護,主要是要降低風險、減緩衝擊,並具有備援的運作模式。工控系統特別重視可用性,在看待各種OT資安的措施時,不單是要留意該如何防護,還要具備快速復原的能力,使系統能儘快回復運作。