Loading
部落格
Recent ActivityRecent Activity

OT防火牆管理最佳實務

避免常見的OT防火牆錯誤導致代價高昂的停機時間。獲得工業網路防護的專家秘訣。

分享:

LinkedInLinkedIn
XX
FacebookFacebook
PrintPrint
EmailEmail
Teamwork professional engineer work heavy industry in factory.

防火牆仍然是全球最廣泛使用的其中一項網路安全措施。2024年Statista調查顯示,約三分之二的受訪者認為防火牆是保護寶貴數位資產的主要技術。然而,防火牆本身不能保證真正的安全。如果設定錯誤或沒有更新時,防火牆就可能會成為一個明顯的弱點,而不是一個可靠的屏障。輕忽維護和監督會為入侵者創造機會,讓本該強大的第一道防線出現漏洞。

在營運技術(OT)環境中,防火牆管理不善的後果可能代價高昂,因為防止非計畫性停機和保障員工安全是日常優先處理事項。現實世界中的事件,顯示出這些輕忽對營運和安全有多大的影響:

  • Clorox (2023年):勒索軟體攻擊利用不完備的防火牆規則,造成數億美元的損失。
  • Norsk Hydro (2019年):網路分區隔離不佳導致惡意軟體擴散,迫使公司在數週內改為手動操作。
  • Airbus (2016年):設定不當的防火牆導致攻擊者竊取十數年的敏感性研究資料。

這篇文章將探討OT防火牆管理需要更高階警戒的原因、通常會出現哪些問題,以及如何解決這些問題。您將會了解工業設定的最佳實務,以及可以採取的緊急步驟,以確保您的防火牆可以真正保護您的資產,而不是成為另一個營運風險。

了解更多防火牆管理

為什麼OT防火牆需要特別注意

您可能會認為IT和OT防火牆具有相同的功能:篩選流量、封鎖威脅,以及保護關鍵資產。但是,OT防火牆必須因應工業營運特有的一系列挑戰。這些防火牆通常是在惡劣的環境中執行,例如二十四小時持續運作的工廠,而且必須管理專門的機器對機器通訊協定。此外,OT中設定錯誤的防火牆可能會造成監控漏洞或資料外洩,進而影響合規性。

OT防火牆的獨特之處:

嚴苛的條件
這些防火牆在炎熱、骯髒和吵雜的場所運作,必須足夠強大,才能承受灰塵、震動、高溫和持續運作。

安全的網路架構
工業網路並非單一的中央系統,而是會連結各種裝置,如PLC (可程式邏輯控制器)、感測器、機器人等。OT防火牆通常會在控制系統周圍建立一個安全邊界,來控制重要的流量。

工業通訊協定
許多OT網路使用Modbus或OPC UA等IT中並不常見的通訊協定。這些通訊協定可以讓機械設備即時通訊。

避免停機
雖然IT伺服器通常可以在一夜之間修復,但生產線無法輕易關閉,否則會造成嚴重後果。因此,OT的修補通常必須等到預計的停機時間才能進行。然而,您可以先在預計的停機時間計劃進行修補,然後再利用補償控制(例如,移除或進一步限制服務)。

強大管理
因為OT環境對生產有潛在影響,所以需要小心管理。變更的核准通常需要透過嚴格的變更管理流程。

常見的管理漏洞
當團隊缺乏正確的知識、略過必要的更新,或是無法整合IT和OT流量所使用的工具時,OT防火牆管理往往會失效。以下是一些典型的問題

  • 知識落差: IT 專業人員可能未接受完整工業通訊協定的訓練就要處理OT工作,因而制定不正確的規則或是遺漏重要的規則。
  • 延誤更新: 停機的代價高昂,因此許多工廠等很久才會修補防火牆,導致已知的安全性漏洞未解決。 
  • 整合不佳: 如果您的OT防火牆無法和其他資安工具交換資料,可能會遺漏IT和OT網路之間移動的威脅。

防火牆管理最佳實務

雖然每個工業據點都不相同,但核心原則可以引導您建立堅實的防火牆策略並保護生產。這些方法有助於徹底縮短停機時間、封鎖危險流量,以及維持重要設備運作。

  • 從嚴格的規則開始
    • 預設拒絕: 僅記錄和建立安全邊界通訊所需規則,並且拒絕所有其他的輸入和輸出流量。
    • 將您的網路分區隔離: 將重要系統(例如,SCADA、PLC)和低度敏感區域劃分出區隔。如此,即使惡意軟體攻擊網路的某個部分,也無法輕易擴散到其他部分。
    • 每季稽核: 移除過時或重複的規則,隨著時間過去這些規則通常會變成看不見的後門。
  • 明智監控和記錄
    • 專注在您的記錄: 追蹤失敗的登入嘗試、龐大的流量峰值,以及任何工業通訊協定的異常使用。過度記錄可能會造成雜訊,並不會增加太多價值。
    • 使用正確的工具: 安全資訊及事件管理(SIEM)系統(或OT專屬的監控平台)可以將事件建立關聯並及早發現問題。
    • 定期檢閱: 如果沒有人檢查,記錄就毫無用處。每星期或每個月檢閱有助於在問題變嚴重之前發現其跡象。
  • 記錄每次變更
    • 維護規則手冊: 注意提出每條規則的人員及其原因。如果某條規則再也無法證明其目的,就應該將其移除。 
    • 追蹤時間戳記和擁有者: 如果新的規則造成問題,則必須知道新增這條規則的人員及其時間。
    • 繪製您的網路地圖: 記錄防火牆和交換器、路由器、代理伺服器,以及其他資安裝置互動方式的更新圖表。如此可以讓故障排除更為容易,以及協助新加入的團隊成員了解設定。
  • 制定生命週期管理計畫
    • 韌體更新:  在實驗室中測試修補程式(可以的話),然後安排在預計停機期間執行的時程。讓防火牆的韌體保持在最新狀態有助於縮小已知的安全性漏洞。
    • 規則清理: 每年至少兩次檢閱和優化您的規則集,將任何過時的規則移除。
    • 存取控制檢閱: 定期檢查擁有變更防火牆設定權限的人員,然後將不再需要此權限的人員移除或更新其存取權限。
  • 備援計畫
    • 避免單點故障: 如果主要防火牆失效,備用防火牆(主動-輔助或主動-主動的設定)應無縫接管。
    • 測試容錯移轉: 定期在測試環境或停電期間(亦即安全和預計停電)模擬故障情境,以確保您的備援措施可以在壓力下發揮作用。

設定良好的防火牆不僅可以封鎖惡意軟體,也可以透過維持穩定生產和保護勞工安全來保護您的獲利。身為OT專業人員,您比任何人都更了解操作的細微差異。結合嚴格的規則、重點監控、完整的記錄、結構化的生命週期管理,以及慎重的備援規劃,即可建立可以滿足工業需求的防火牆策略。

安全性並非一成不變,透過檢視記錄、精簡存取權限,以及對全新威脅保持警戒來持續發展您的防護措施。越是主動積極,就越能預防入侵或非預期停機造成代價高昂的後果。

跳脫基本防火牆規則

標準實務(例如,嚴格的規則集、一致的記錄和頻繁的稽核)可以奠定良好安全性的基礎。不過,隨著OT環境連線程度日益增加,以及威脅變得更加複雜,有時基本的防火牆規則並不足夠。下列幾種進階防火牆功能可以協助您的設施防範新興風險。

應用程式篩選

防火牆在傳統上可以根據IP位址、連接埠或通訊協定允許或拒絕流量。然而,應用程式篩選可以更進一步,辨識使用流量的實際軟體或服務。在OT環境中,這種更深入的見解可以改變既有規則,因為這種見解可以確保僅有您設備所需要的特定應用程式,才能透過網路傳輸資料。

  • 精準控制: 僅允許獲得認可的工業通訊協定,例如Modbus或OPC UA,同時封鎖任何其他的通訊協定。
  • 更嚴格的安全性: 即使攻擊者入侵一般連接埠,防火牆也可以偵測與您所核准應用程式不相符的異常。 
  • 充分運用頻寬: 篩選出隨機或非必要的應用程式,即可讓網路流量集中在核心生產需求。

政策到期

許多OT團隊會暫時開放防火牆規則供承包商造訪或特殊專案使用,但這些例外情況在所有人下班後仍會持續很長一段時間。政策到期可以針對每個臨時規則設定一個內建的「截止日期」自動清除權限,如此您的防火牆就不會累積非必要的對外開放途徑。

  • 減少監督漏洞: 您不再需要仰賴忙碌的人員記住哪些規則需要關閉。
  • 一致的管理: 舊規則和臨時憑證不會持續存在,成為攻擊者的潛在入侵點。
  • 更好的稽核路徑: 每條規則的生命週期都有記錄,因此可以更輕鬆追蹤存取權限的授予時間和原因以及終止。

和資安工具整合

您的OT防火牆不需要單獨運作。許多現代化的解決方案可以和其他資安工具搭配使用,例如入侵偵測系統(IDS)、網路存取控制(NAC),或是安全資訊及事件管理(SIEM)平台。這種集體運作的方法可以協助您以更快的速度查看及回應威脅。

  • 整合視圖: 當您的防火牆和IDS或SIEM進行通訊時,某個系統上的可疑活動可能會觸發另一個系統的立即行動。
  • 更快的偵測速度: 交叉參照事件(例如,登入嘗試、異常通訊流量)更全面繪製您網路的健康狀況。
  • 簡化回應: 可以在偵測到威脅時啟動自動封鎖或隔離,在事件升級之前加以控制。

遠端管理

工業營運通常會跨越多座工廠或遠端據點,有時甚至跨越半個地球。遠端管理可以將您所有防火牆的控制整合到一個集中的位置,讓更新或規則調整更有效率。

  • 一致的政策: 單一團隊可以將標準化的防火牆規則推送到每個設施,而不是將任務委派給當地的工作人員。
  • 節省時間和成本: 現場造訪的次數更少,代表停機時間更短、差旅費用更少,以及現場設定錯誤的機會更少。
  • 可擴充維護: 即使您購買新的工廠或擴大營運,也可以透過一致的資安政策讓其上線運作。

機器學習與 AI

嚴格的規則集可以封鎖已知的威脅,而機器學習和AI在設計上可以找出異常狀況,即使先前從未遇過。這些工具會學習典型OT流量的型態,然後在資料模式偏離常態時發出警告。

  • 適應性防護: 隨著您的生產環境發展,AI對正常流量的了解也會持續增加。
  • 零日威脅偵測: 在特徵碼系統更新到最新之前,異常的命令或資料流量即可觸發警示。
  • 手動檢閱次數更少: 將注意力集中在AI認為可疑的事件上,人類分析師即可將時間用在解決實際問題上,而不是用在整理日常記錄。

充分利用進階功能

沒有任何單一的先進功能可以獨立解決所有問題。您可以把這些功能想像成拼圖碎片,每個碎片負責處理OT安全的不同部分。如果您的設施經常面臨供應商維護造訪,政策到期便可立即發揮其價值。

同時,應用程式篩選和OT專屬威脅情報可以協助防止破壞或惡意軟體進入您的關鍵控制系統。決定哪些功能最能解決您目前的痛點、在受到控制的環境中對其進行測試,然後在您確信這些功能符合您的營運需求後立即更廣泛實施。

最終,這些功能建立在以下核心原則之上:OT環境中的防火牆必須安全且適合生產。如果明智選擇並正確設定,進階功能可以讓您在攻擊日益創新的世界中佔上風。

您目前可以採取的三個步驟

即使您尚未準備好進行大規模改革,一些針對性的行動也可以快速強化您的防護態勢。這些措施本身並不能解決所有的安全挑戰,但可以大幅減少您接觸到常見威脅的風險,而且這些措施很容易就能立即實施:

1. 強化您的規則

刪減您防火牆政策中任何廣範圍的權限,並且用定義嚴格的條目加以取代。請務必記錄可疑或異常的流量,如此您才會知道是否有問題。

2. 移除休眠的帳戶

未使用或共用的憑證可能會成為隱性弱點,特別是在通常會忽視存取控制的OT環境中。停用任何不再符合營運需求的帳戶,並稽核共用登入以確保個人責任。

3. 檢查您的記錄

如果您注意到奇怪的外傳連線,或是和典型模式不符的資料流量,請立即調查。並非每個裝置都需要「背景連線通訊」,無法辨識的流量可能是更大問題的初期警訊。

採用這些簡單的步驟可以為未來更強大的安全性打下堅實的基礎。一旦您採用一致的方式管理規則、刪除不必要的帳戶,以及掃描記錄是否出現異常,您會發現為防護層新增進階功能(例如,應用程式篩選或OT專屬的威脅偵測)會變得更加容易,而不會產生停機或造成困擾的風險。透過保持主動、詳盡記錄,以及對全新威脅保持警戒,您的防火牆便可從被動的守門員演變為一面動態盾牌,協助您保護關鍵流程、工作人員和整體獲利。

請記得:資安不是單次事件,而是一個持續的循環。透過定期檢查您的設定、密切注意網路活動,以及明智規劃更新,無論是現在還是未來,您的OT防火牆都可以提供強大的防護。

已發佈 2025年2月28日

主題: Build Resilience

Michael Lester
Michael Lester
Sr. Product Security Engineer, Rockwell Automation
Michael Lester is a dedicated Senior Product Security Engineer at Rockwell Automation. Michael has over 10 years of experience safeguarding critical infrastructure. Specializing in Operational Technology (OT) infrastructure, product security, and automation, Michael has a proven track record of protecting infrastructure from electrical generation and transmission to water/wastewater and manufacturing. Holding multiple certifications including a GICSP and a degree in Computer Engineering, Michael thrives on staying ahead of evolving cyber threats, blending technical expertise with a passion for innovation to build and automate resilient systems.
訂閱Rockwell Automation

訂閱Rockwell Automation,並直接於收件匣接收最新的新聞與資訊。

立即訂閱

為您推薦

Loading
Loading
Loading
Loading
  1. Chevron LeftChevron Left Rockwell Automation 首頁 Chevron RightChevron Right
  2. Chevron LeftChevron Left 公司 Chevron RightChevron Right
  3. Chevron LeftChevron Left 最新消息 Chevron RightChevron Right
  4. Chevron LeftChevron Left 部落格 Chevron RightChevron Right
  5. Chevron LeftChevron Left OT防火牆管理最佳實務 Chevron RightChevron Right
請更新您的 cookie 設定以繼續.
此功能需要 cookie 來改善您的體驗。請更新您的設定以允許這些 cookie:
  • 社群媒體Cookie
  • 功能Cookie
  • 性能Cookie
  • 行銷Cookie
  • 全部Cookie
您可以隨時更新您的設定。想了解更多訊息,請參閱我們的 {0} 隱私政策
CloseClose