保護 IT 與 OT 的整合

工業物聯網(IIoT)是營運技術(OT)與資訊技術(IT)整合的開始。這些技術的整合始於網路連結,但也需要操作程序、技術及訓練方面的增強。

IT 和 OT 從網路方面就使用著不同的協定。在 O T世界中,廠商在過去50幾年來制定了許多專有協定:MODBUS 的歷史可以追溯到1969年。光是ABB就有超過20種的協定。IIoT廠商提供閘道,好在資料轉移到IT雲進行整合和處理前先加以簡化及轉換。這樣的資料量可能很大,因此IIoT閘道透過壓縮、整合和例外處理報告來最小化網路流量。閘道是前端的處理器。

IT和OT環境的作業流程不同。OT網路的指導原則有兩個:安全性和服務可靠性。但IT資訊安全的原則是資料可用性、資料完整性和資料機密性。這些原則彼此之間並無交集。從IT的角度來看,工業流程並不是“資訊”,因此不屬於資訊安全範圍。

IT和OT流程隨著各自發展而可以整合。DevOps打破了開發和營運間的藩籬,能夠更快速地部署新功能而不會影響到軟體的質量控制。圖1顯示了整合的DevOps流程:

圖1:整合的 DevOps 流程

在OT領域,流程危害性分析(PHA)的增強在推動著網路流程危害性分析(CPHA)的發展,如圖2所示。

 

圖2網路流程危害性分析(Cyber PHA

 

OT的演變顯示出兩個流程:左邊藍色的是進行中的資產安全分析,它會影響右邊第五步驟的OT計畫和治理模型。隨著新威脅的出現,工程師會更新模型,產生更安全、更穩定的新環境狀態。

隨著核心技術提供了更強大的處理能力、儲存容量、電池壽命以及網路連線能力,也讓OT技術不斷地發展。早期的OT協定沒有進行身份認證或加密,並且無法安全地進行無線軟體或韌體更新。較新的處理器晶片能夠支援這些需求,但是IIoT廠商必須自起打造這些功能,需要開發更多程式碼及能夠在運作中進行修補的機制。IIoT廠商沒有執行漏洞獎金計劃的經驗,需要一些方法來獲取客戶和研究人員的反饋,好在問題失控前先加以解決。

教育訓練不僅僅是在事情發生時才來臨陣磨槍。資安技能會在緊急狀況時派上用場。企業需要為員工提供更多技能訓練,並且在這些新技能能夠真正上線前需要先依賴外包廠商的支援來彌補差距。不過只是將責任轉移給第三方並不能消除風險:企業本身必須增強作業程序才能及時地處理更新修補需求。

在趨勢科技,我們理解這有多複雜,因此我們從不同角度來加以解決。保護網際網路的世界是我們的首要任務之一。我們在今年已經推出了一系列的計劃與合作關係來協助IIoT廠商及其市場。零時差計畫(ZDI)包括了工業控制系統(ICT)漏洞報告。ZDI在2018年上半年處理了202個SCADA HCI漏洞。趨勢科技的Deep Security在透過IP傳輸的OT協定上已經有超過500個虛擬修補規則或過濾器。趨勢科技提供了在開發週期部署資訊安全工具的指南,讓CD/CI流程不會因爲作業部署造成安全性內容變化而遭受中斷。IoT SDK能夠幫助物聯網設備廠商在開發過程中將核心資訊安全功能內建到裝置裡,就像是Panasonic的車載資訊娛樂系統(IVI)一樣。通過讓物聯網廠商也能存取ZDI的資訊,趨勢科技將其在管理漏洞獎金計劃方面的專業知識也提供給傳統IT領域之外的新進入者。跟Moxa等IIoT廠商的合作夥伴關係將趨勢科技30年來的資安專業知識擴展到許多種的工業控制平台。趨勢科技提供給電信業的產品替電信商帶來更加安全牢固的網路和伺服器防護,實現安全可靠的通訊。想了解更多威脅環境和可用解決方案的相關資訊,請聯絡趨勢科技。

想知道更多資訊,請進入此處

 

 

@原文出處:Securing the Convergence of IT with OT 作者:William “Bill” Malik(CISA基礎架構策略副總)