Moxa亚太事业部产品行销经理许鹏飞表示,勒索病毒近年已入侵OT环境,特别是在政府基础建设与制造业逐步连网的情况下,资安风险明显升高。骇客透过CVE(Common Vulnerability Exposure,通用漏洞揭露)攻击包含PLC等控制设备,使得营运稳定性面临挑战。
他指出,Moxa倡议分层防护的资安思维,即将核心设备设于系统中心,再透过多层网路设备包覆,虽无法完全防御,但能有效提升骇客渗透成本、争取防御与应变时间。
针对不同产业与预算规模,许鹏飞建议依IEC 62443标准导入工业网路纵深防御架构。该系列表准有4个部分,包括:一般(General)、政策与步骤(Policies& Procedures)、系统(System)以及元件(Component),也分别对应到业主、系统整合商以及元件供应商,强调风险隔离与政策管道建构,并透过区段分离与安全通讯路径,达到控制风险扩散的效果。
许鹏飞以TOYOTA为例说明,过去产线彼此独立、缺乏可视化监控机制,但在法规与需求驱动下,逐步导入设备可视化与资安管理,显示资安建设应逐步推进、强化复杂度。对于中小企业,许鹏飞建议先导入类网管型交换机等入门产品,先让设备「看得见」,再进一步导入完整网管与防火墙架构。
在架构实务上,Moxa提出「连得稳、看得见、靠得住」三大资安守则。首先,「连得稳」是指透过网管型交换机与防火墙整合,实现毫秒级备援,例如当主网路断线时可自动切换至备援通道,确保营运不中断。
其次,「看得见」则是透过网管系统可即时监控数百上千设备状态,若出现异常如设备被攻击、线路故障,系统可自动跳出告警,甚至主动断线,以防止恶意攻击扩大。
第三,「靠得住」则强调OT专用防火墙的部署,针对如WannaCry等针对工控设备的攻击,透过关键节点防御与即时封锁,保护整体网路安全。
许鹏飞也分享Moxa于泰国电力客户协助导入可视化监控系统的案例。由于泰国早期人力相当便宜,该客户当时仰赖人工查看灯号维修,随著人力成本上升与系统日趋复杂,改由Moxa网管软体进行远端监控,不仅节省人力,也提升营运效率。
回到台湾来说,台电也是Moxa的客户,在近年随著电网系统升级需求大量增加,「连得稳」营运不中断更是基本需求,由于电网系统多部署于偏远地区,透过可视化管理,不但可在异常发生第一时间掌握问题点,远端派工排除问题,提升应变效率。许鹏飞强调,企业目前仍普遍缺乏资安人才,Moxa将持续以OT资安支援角色,协助企业推动安全且稳定的数位转型。
點擊閱讀下一則新聞
