近年來受到地緣政治等外部因素影響,具有自主研發能量的本土資安廠商捷而思,整合旗下TRUST資安平台發展行動認證、特權帳號管理、物聯網裝置金鑰管理等機制,為工業物聯網(IIoT)應用場景建立零信任架構。並且可運用加解密技術,來保障機敏資料的交換安全無虞。
在當前數位化浪潮中,IIoT應用場景已成為各產業提升營運效率的關鍵,隨之而來的資安問題開始受到企業關注。捷而思董事長吳建東觀察,許多企業意識到IIoT帶來的風險,開始增加對資安解決方案的投資。尤其若客戶是科技大廠,身為供應鏈成員勢必被要求在營運場域中須具備資安防護機制,重點大多集中在設備的身分認證、通訊與資料加密、即時威脅監控,防範營運場域遭駭客組織滲透入侵竊取營業秘密,抑或是生產流程被加密勒索導致中斷。
然而,吳建東認為,目前IIoT場域實作控管措施,最大的障礙即為缺乏統一的通訊協定問題。在製造業領域,國際知名的設備機台供應商,大多有專屬通訊協定,且初始設計時並未考量到資安問題,導致OT(營運技術)場域中存在資安漏洞,這些漏洞正可被惡意攻擊者利用來入侵系統。
另外一個亟待解決的問題是老舊系統的安全性。許多老舊系統的原廠已經不再提供漏洞修補更新,但這些系統在營運現場的工作流程中仍扮演著關鍵角色,難以立即取代。若缺乏適當的防護機制,這些系統極易被惡意程式感染,進而被利用來攻擊其他裝置,對整體系統安全構成重大威脅。
參考國際標準指引實作控管
面對IIoT應用場景潛在的資安問題,歐美地區的法規陸續發布。例如美國國家標準技術研究院(NIST)提出的NISTIR 8259,為聯網設備製造商提供了確保設計、開發、製造和部署安全性的指南,這份文件列出了聯網裝置應該具備的基本安全能力(例如:身分驗證、加密、更新機制),以及製造商應該執行的風險評估與管理流程。
另一份是針對工業控制系統(ICS)網路安全的NIST SP 800-82。隨著IIoT的興起,工業控制系統正在引入聯網設備來進行更豐富的資料收集與遠端控制。因此,聯網裝置的安全等級已直接影響工控場域的整體安全狀態。
這些指引強調了普渡模型中分段網路的重要性,並提供保護與控管設備、偵測入侵行為的最佳實踐。參考普渡模型的定義,將系統依照功能性分為不同層級,這樣的分段網路可以有效遏制威脅在系統中的橫向擴散。透過防護措施,系統能夠對潛在的網路攻擊活動做出準確的回應。
此外,由國際電工委員會(IEC)制定、國際自動化學會(ISA)發展的IEC 62443標準,目的在於協助業界管理風險、實施有效管控,確保普渡模型中各個層級的安全性。透過NIST SP 800-82與IEC 62443這兩套標準,可在不同垂直產業中建立更安全且具彈性的IIoT環境。
至於實作方式,吳建東認為,為了防範勒索軟體的感染,企業必須建立完善的備援策略,並確保備份資料在完成後能夠離線存放,避免受到網路攻擊的威脅。此外,進階持續性威脅(APT)攻擊已成為當前主流的手法,不再只針對關鍵基礎設施、政府機關,如今已成為駭客組織用來獲取利益的主流方式。因此,IIoT場域若升級到零信任控管措施,將有助於降低身分與權限遭竊取引發的資安風險。
統一平台廣泛收集異質管道資料
為了協助企業解決營業秘密資料遭到竊取的問題,捷而思特別研發智慧機台的加解密機制。吳建東說明,本土廠商的研發總部通常設立在台灣,待研發完成後,製程參數或生產配方會被派送到中國、越南等其他地區的工廠進行生產。問題是這些配方在傳遞過程中存在外洩的風險,例如內部有心人士可能把配方轉賣給其他競爭對手。對此,捷而思的作法是運用加解密機制,藉此杜絕機敏資料外洩事件影響市場競爭力。
捷而思自主研發的TRUST資安平台提供了一系列資安解決方案,對症下藥解決各種場域所面臨的資安問題。包括PAM特權帳號管理、Mobile ID行動認證平台、PDFSign行動簽核安全文件與電子合約及保單、IoT DLMS物聯網安全平台及裝置金鑰管理等方案。
在IIoT應用環境如果採用傳統的加解密方式,可能會因系統運算效能不彰導致回應速度不夠即時。捷而思的加解密軟體,則能夠以低耗能的方式快速完成加解密,即使是在低階的聯網裝置上也能順利運行。吳建東指出,這項加解密軟體可以嵌入到IoT晶片中,確保資料在上傳到IoT平台之前已經過加密處理。後端的IoT平台則負責資料的統計與運算分析,並且進行存取權限控管,確保只有合法的使用者才能接觸這些資訊。
網路閘道器增添加密模組
實際上,不僅統計管理資料上傳需要加密,可程式邏輯控制器(PLC)的指令以及不同機台之間溝通的指令也必須確保安全性。生產線上的報工、機台數據、自動光學檢測等資料,都需要在上傳時進行加密。
捷而思提供設備搭載的作業系統可呼叫並執行資料加密的機制,從各種管道收集取得的資料,傳輸經過物聯網閘道器時即可運行加密,然後再遞送到TRUST資安平台。「因此,捷而思提供的加解密技術,主要客戶是軟體廠商,他們可以直接呼叫捷而思的加密模組,對資料進行加密和簽章,然後再進行傳輸。」吳建東說。
在物聯網的應用場域中,捷而思TRUST資安平台能夠協助使用者進行權限管理、設備憑證管理、資訊傳輸前的加密,以及確認指令傳達的正確性。假設一個工廠內有超過百台網路攝影機,如果其中一台的韌體被駭客更換,工廠內部通常難以及時察覺,可能會被用作攻擊關鍵應用系統的跳板。對此,TRUST資安平台一旦發現非經允許的設備嘗試連線,系統可以立即執行阻擋。透過設備憑證的管理,能從根本上解決遭受偽冒的風險。吳建東強調,要讓這些技術在產業中廣泛應用,還需要企業提高對物聯網應用場域安全性的重視,理解資安不僅是技術問題,更是企業生存與競爭力的關鍵。