近年來,網路安全事件頻傳,企業重要基礎設施持續遭到破壞,對整體業務造成莫大的衝擊。這些威脅可分為鎖定目標攻擊,例如勒索軟體攻擊;以及非鎖定目標攻擊,例如透過惡意程式入侵網路,並存取未設定權限的電腦,然後將病毒散播到整個工業控制網路。如果能夠將工業網路劃分為不同網路區段,可大幅減輕網路威脅造成的破壞。另一方面,網路安全專家亦提倡以更主動積極的態度,全面保護工業網路。工業入侵防禦系統(IPS)可協助您針對各種攻擊,採取積極的防禦行動,進而有效地反制入侵,減輕網路威脅對工業系統所造成的衝擊。
什麼是 IPS?
IPS 是專門用於偵測並阻擋網路威脅的網路安全設備,它可持續監控網路,以搜尋潛在的網路惡意事件,並且記錄相關資訊。IPS 採用深度封包檢測(DPI)技術,來加強網路安全的可視性,進而降低風險,避免工業網路遭受安全威脅。
專為工業網路量身打造的工業級 IPS
IPS 技術十分適合用於 IT 網路,但很難直接套用在 OT 網路,因為 OT 網路最重視可用性和效能,反觀 IT 網路則最在意機密性。在此情況下,如未考慮 OT 工程師的日常運作需求,而任意將 IPS 部署於 OT 網路,很可能會影響到生產控制指令,嚴重時甚至可能導致營運中斷。為因應 OT 網路的安全要求,請使用 OT 導向式 DPI 技術。這項技術可識別多種工業協定,並可允許或阻止特定功能的執行,例如讀取或寫入。接著工業級 IPS 可根據所識別的協定,阻擋任何未經授權的協定或功能。如此可確保工業網路流量是可以信任的,而且沒有任何惡意威脅。
使用白名單控制功能設定更精密的存取控制
白名單控制是一種審核機制,可限制使用者只能存取白名單中經授權的設備、服務、協定格式和控制指令。如此可確保工業網路中的所有網路活動,全都經過授權。此外,網路業者也可針對各個不同層級,制定更精密的存取控制,以因應整體運作需求。舉例而言,OT 工程師可自行建立設備、服務和 IP 埠白名單,允許存取整個網路或是部分網路。此外,工程師還可自訂授權協定格式,防止未經授權的指令通過網路。OT 工程師甚至可以決定,只有哪些控制指令可以通過網路,以避免因人為疏失而傳送錯誤的控制指令。利用白名單控制功能,工程師可大幅減少經由 OT 木馬程式發動的阻斷服務攻擊(DoS)。
白名單控制功能限制使用者只能存取白名單中經過授權的設備、服務、協定格式和控制指令。
工業級 IPS 的保護情境
1. 杜絕並防堵惡意流量
工業級 IPS 專為保護工業網路而設計,可防堵惡意流量經由網路進入邊緣設備,並且阻擋邊緣設備中的惡意流量。它可架設在重要資產之前,例如可編程邏輯控制器(PLC)和人機介面(HMI),以加強網路安全、確保網路可用性,同時還可避免重要資產受到惡意人士的操控。假設有個工作站遭受惡意程式攻擊,該惡意程式會設法擴散到所有設備和網路,等到 OT 工程師或網路業者發現時,恐怕絕大部份的網路設備都已遭到波及。
為了降低風險,OT 工程師必須採取兩個積極行動。首先是在網路受到攻擊時,立即防堵惡意流量;其次是在發生資安事件時,將破壞侷限在可控制的範圍內。
工業級 IPS 可防堵惡意流量從網路擴散到邊緣設備
2. 以虛擬修補技術,避免工業系統遭受網路威脅
經常修補網路安全漏洞,是避免工業系統遭受網路威脅的良方。儘管如此,安全漏洞仍是 OT 環境的一大禍患。即便發現了網路安全漏洞,您不一定能立即更新工業控制系統的設備,比方說,距離下一次維護還有一段時間,而且產線運作不能說斷就斷。有些時候甚至不可能進行更新,例如工業控制系統的設備過於老舊,廠商已不再提供更新。虛擬修補技術可彌補既有修補管理流程的不足,以便即時修補安全漏洞。虛擬修補是不需要代理程式的緊急安全防護工具,讓 OT 網管人員和網路業者能夠在發現網路攻擊事件後,迅速修補 OT 設備的安全漏洞。
為了有效提高網路運作效率和可用性,請務必將網路安全納入考量。過去,大家總認為 OT 網路既獨立又安全。然而,隨著製造廠發生越來越多的資安事件,這種想法已逐漸動搖。其實您可雙管齊下,來加強網路安全。首先,確保您的工業網路具有穩固的安全基礎 – 部署安全的網路基礎設施,以便將經過授權的流量,傳送到正確的目的地。其次,找出網路中的重要資產,並布建工業級 IPS 和白名單控制等分層式主動防護措施。
利用虛擬修補技術,OT 工程師可快速修補老舊設備的安全漏洞
透過 OT-IT 整合式安全解決方案,全面保護您的 OT 網路
長期以來,Moxa 一直致力於保護工業環境的網路連接,並專注研發具備更強大安全防護功能的網路設備,包括安全路由器和乙太網路交換器。有鑑於工業網路面臨越來越多的網路威脅,Moxa 特別推出全系列工業級網路安全解決方案,大幅擴充了旗下的網路安全產品陣容。Moxa 工業級 IPS 全面整合 OT 和 IT 技術,避免您的重要資產遭受最新網路威脅,並將工業系統轉變成安全的自動化架構。