IIoT 和 AI 的興起，從根本上改變了我們對 OT 資料和網路的認知與運用方式。在上一篇《建構 OT 基礎設施，解鎖 OT 資料的隱藏價值》專文中，我們探討了前瞻性 OT 網路，如何協助您解鎖 OT 資料的隱藏價值，進而實現 AI 驅動的未來。

AI 具有巨大潛力，但它同時也是一把雙面刃。為了全面釋放 AI 的價值，過去高度封閉的系統必須開放運作，以擴展其數位足跡。然而，這也使它們暴露於更複雜、由 AI 驅動的網路攻擊中。製造業歡樂時光（Manufacturing Happy Hour）Podcast 最近一集的《AI 如何重塑安全防護與 OT 網路需求》，對此主題進行了深入探討。OT 網路的角色早已從單純的連接系統，演變成高度複雜的架構，因而更容易遭受攻擊。您的 OT 網路是否足以駕馭這個全新時代？還是會成為關鍵弱點，一旦發生故障，便可能讓您的企業營運與 AI 布局完全停擺？

在評估 OT 網路安全性時，請牢記以下幾點：

重點 1：實體隔離並非堅不可摧

許多製造業者仍誤以為，只要採取實體隔離措施，機敏系統就能完全免於遭受威脅。但事實真是如此嗎？如果不太確定，不妨先自問幾個簡單的問題：

• 您的某一台機器是否正在將診斷資料傳送到雲端？
• 您的工廠是否與廠內的其他網路共享任何資料？

如果上述任一問題的回答是肯定的，那麼您的網路已不再受實體隔離的保護。光靠隔離已是過時的安全措施，很可能讓您的網路曝露在風險中。如今，在網路中整合強大的安全控制功能以保護重要資產，是更為普遍的做法，而非例外。然而，過去 15 至 20 年間，極少人關注 OT 網路的資料安全性。許多工業環境在靠近生產現場的地方，幾乎沒有部署任何安全防護。對 OT 工程師來說，工業網路安全是充滿挑戰的新領域，值得他們全力投入。

重點 2：AI 降低了攻擊門檻

AI 不僅帶來全新的網路攻擊形式，還會強化現有的入侵方法。以下幾點說明 AI 如何導致安全威脅加劇：

• 更快、更精確：AI 讓駭客能迅速處理海量資訊、更精確地找出安全漏洞，進而設計出量身打造的攻擊手法。舉例而言，駭客現在可使用 AI 來生成幾乎無懈可擊、極度個人化的網路釣魚郵件。過去，我們或許還能從錯字或語氣不自然等細節來察覺異常，但如今 AI 生成的釣魚內容幾乎以假亂真，根本難以辨別。
• 即時的自適應性：自適應惡意軟體是最大的威脅。過去，駭客會掃描所有埠，以尋找容易被攻破的入侵點。如果發現連接埠是關閉的，他們會斷然放棄並轉向另一個目標。在 AI 加持下，駭客可根據系統中遭遇的狀況，即時調整程式碼和攻擊策略，以提高攻擊的效率和破壞力。

隨著 AI 不斷進化，網路威脅也愈發複雜。既然沒有任何單一解決方案可因應所有安全問題，制定一套完善且全面的安全策略，才是最有效的防禦方式。

重點 3：提高網路韌性勢在必行

在網路攻擊手法日益精密的情況下，系統遭受入侵已是無可避免的風險。光是防堵網路威脅是不夠的。你的網路必須具備抵禦、復原並因應各類網路攻擊的能力，如此才能將損害降到最低，並確保不間斷的運作，這就是所謂的網路韌性。為了實現這樣的韌性，您需以一套穩健的縱深防禦策略作為堅實基礎。如此一來，您必須將網路劃分為多個區域與通道，並依其風險等級配置相應的安全措施。您可以把它想成，為您的寶貴資產添加多層保護。最好的起步方式是，使用採「資安始於設計（secure-by-design）」準則的網路設備建構分層式安全架構，讓整個 OT 環境都具備可視性、可控性和靈活性。

值得一提的是，縱深防禦策略完全符合 ISA/IEC 62443 的原則，後者是廣泛用於各行各業的全球網路安全標準。如同美國國家標準技術研究所（NIST）提供的安全框架，ISA/IEC 62443 亦為製造商提供指引，以便針對流程和產品本身，建立嚴格的安全標準。如果您不熟悉 NIST 或 ISA/IEC 62443 標準，別擔心。我們以食品產業為例進行說明。您可將 ISA/IEC 62443 等安全認證，視為網路安全產品的營養標示。ISA/IEC 62443-4-1 認證涵蓋食品生產流程，而 ISA/IEC 62443-4-2 則對應產品認證，就像產品上的營養標示一樣。這些認證可驗證設備與流程的技術特性與符規，確保它們符合產業標準的安全要求。

明智的選擇：經認證的供應商如何助力強化網路安全

想要有效提高網路韌性，首先您需選擇遵循嚴格安全標準的解決方案供應商。任何將安全性視為優先考量的企業，都需確定其供應商能夠達成業界公認的認證要求。尤其是那些安全開發生命週期（SDL）已取得 IEC 62443-4-1 認證之供應商。此認證保證產品從開發初期就將資安考量納入設計流程。藉由選擇通過 IEC 62443-4-2 認證的設備，企業可進一步提升關鍵系統在設備層級的安全性。

然而，穩健的網路安全策略不僅只是購買安全設備這麼簡單，還須建立在全面且分層式防護的承諾之上。最佳做法是透過 VLAN、防火牆、入侵偵測系統（IDS）和入侵防禦系統（IPS）等技術，將關鍵網路與一般 IT 人員或未經授權的存取隔離開來。可見性是有效安全策略的另一個關鍵要素。若能清楚洞察網路狀況，您可迅速應對任何安全事件，並將網路攻擊造成的影響降到最低。網路和安全管理平台透過簡單易用的套件，為您的網路提供全面的可視性，讓工程師能更輕鬆地監控網路，同時即時接收可疑活動的警示。

然而，並非所有問題都能靠強固的網路安全防禦機制來解決。能否維持長期穩定性和安全性，亦取決於供應商是否承諾提供不間斷的支援和安全漏洞管理。就像熱線服務一樣，有些公司設有專責的回應團隊，專門處理安全問題，並確保客戶的網路防護維持在最新狀態。此外，產業領導者通常也是 CVE 編號授權機構（CNA）成員。若身兼此角色，供應商就能主導產品安全漏洞揭露流程的第一重要階段。擔任 CNA 的供應商，可為客戶提供更有效率、更權威且更可靠的安全回應。

在這個數位時代，防禦網路威脅絕非易事。藉由部署完整的縱深防禦安全策略，並選擇符合嚴格安全標準的供應商，企業可更有效地防禦鎖定式威脅，並確保最長的系統正常運作時間。

Moxa 是率先為安全開發生命週期（SDL）取得 IEC 62443-4-1 認證的先驅企業之一，同時也是 CNA 成員。我們致力於協助客戶設計安全的 OT 網路。想要保護您的 OT 網路？請即下載最新的技術指南：《從設計到部署：工業網路建置安全指南》。這份指南提供實用的祕訣和建議，可協助您選擇合適的網路設備、建立分層式安全防護，以及有效地管理網路，進而為您的 OT 系統建立更安全的工業網路。