OT防火牆管理最佳實務 | Rockwell Automation

防火牆仍然是全球最廣泛使用的其中一項網路安全措施。2024年Statista調查顯示，約三分之二的受訪者認為防火牆是保護寶貴數位資產的主要技術。然而，防火牆本身不能保證真正的安全。如果設定錯誤或沒有更新時，防火牆就可能會成為一個明顯的弱點，而不是一個可靠的屏障。輕忽維護和監督會為入侵者創造機會，讓本該強大的第一道防線出現漏洞。

在營運技術(OT)環境中，防火牆管理不善的後果可能代價高昂，因為防止非計畫性停機和保障員工安全是日常優先處理事項。現實世界中的事件，顯示出這些輕忽對營運和安全有多大的影響：

Clorox (2023年)：勒索軟體攻擊利用不完備的防火牆規則，造成數億美元的損失。
Norsk Hydro (2019年)：網路分區隔離不佳導致惡意軟體擴散，迫使公司在數週內改為手動操作。
Airbus (2016年)：設定不當的防火牆導致攻擊者竊取十數年的敏感性研究資料。

這篇文章將探討OT防火牆管理需要更高階警戒的原因、通常會出現哪些問題，以及如何解決這些問題。您將會了解工業設定的最佳實務，以及可以採取的緊急步驟，以確保您的防火牆可以真正保護您的資產，而不是成為另一個營運風險。

了解更多防火牆管理

為什麼OT防火牆需要特別注意

您可能會認為IT和OT防火牆具有相同的功能：篩選流量、封鎖威脅，以及保護關鍵資產。但是，OT防火牆必須因應工業營運特有的一系列挑戰。這些防火牆通常是在惡劣的環境中執行，例如二十四小時持續運作的工廠，而且必須管理專門的機器對機器通訊協定。此外，OT中設定錯誤的防火牆可能會造成監控漏洞或資料外洩，進而影響合規性。

OT防火牆的獨特之處：

嚴苛的條件
這些防火牆在炎熱、骯髒和吵雜的場所運作，必須足夠強大，才能承受灰塵、震動、高溫和持續運作。

安全的網路架構
工業網路並非單一的中央系統，而是會連結各種裝置，如PLC (可程式邏輯控制器)、感測器、機器人等。OT防火牆通常會在控制系統周圍建立一個安全邊界，來控制重要的流量。

工業通訊協定
許多OT網路使用Modbus或OPC UA等IT中並不常見的通訊協定。這些通訊協定可以讓機械設備即時通訊。

避免停機
雖然IT伺服器通常可以在一夜之間修復，但生產線無法輕易關閉，否則會造成嚴重後果。因此，OT的修補通常必須等到預計的停機時間才能進行。然而，您可以先在預計的停機時間計劃進行修補，然後再利用補償控制(例如，移除或進一步限制服務)。

強大管理
因為OT環境對生產有潛在影響，所以需要小心管理。變更的核准通常需要透過嚴格的變更管理流程。

常見的管理漏洞
當團隊缺乏正確的知識、略過必要的更新，或是無法整合IT和OT流量所使用的工具時，OT防火牆管理往往會失效。以下是一些典型的問題

知識落差: IT 專業人員可能未接受完整工業通訊協定的訓練就要處理OT工作，因而制定不正確的規則或是遺漏重要的規則。
延誤更新: 停機的代價高昂，因此許多工廠等很久才會修補防火牆，導致已知的安全性漏洞未解決。
整合不佳: 如果您的OT防火牆無法和其他資安工具交換資料，可能會遺漏IT和OT網路之間移動的威脅。

防火牆管理最佳實務

雖然每個工業據點都不相同，但核心原則可以引導您建立堅實的防火牆策略並保護生產。這些方法有助於徹底縮短停機時間、封鎖危險流量，以及維持重要設備運作。

從嚴格的規則開始
- 預設拒絕: 僅記錄和建立安全邊界通訊所需規則，並且拒絕所有其他的輸入和輸出流量。
- 將您的網路分區隔離: 將重要系統(例如，SCADA、PLC)和低度敏感區域劃分出區隔。如此，即使惡意軟體攻擊網路的某個部分，也無法輕易擴散到其他部分。
- 每季稽核: 移除過時或重複的規則，隨著時間過去這些規則通常會變成看不見的後門。

明智監控和記錄
- 專注在您的記錄: 追蹤失敗的登入嘗試、龐大的流量峰值，以及任何工業通訊協定的異常使用。過度記錄可能會造成雜訊，並不會增加太多價值。
- 使用正確的工具: 安全資訊及事件管理(SIEM)系統(或OT專屬的監控平台)可以將事件建立關聯並及早發現問題。
- 定期檢閱: 如果沒有人檢查，記錄就毫無用處。每星期或每個月檢閱有助於在問題變嚴重之前發現其跡象。

記錄每次變更
- 維護規則手冊: 注意提出每條規則的人員及其原因。如果某條規則再也無法證明其目的，就應該將其移除。
- 追蹤時間戳記和擁有者: 如果新的規則造成問題，則必須知道新增這條規則的人員及其時間。
- 繪製您的網路地圖: 記錄防火牆和交換器、路由器、代理伺服器，以及其他資安裝置互動方式的更新圖表。如此可以讓故障排除更為容易，以及協助新加入的團隊成員了解設定。

制定生命週期管理計畫
- 韌體更新: 在實驗室中測試修補程式(可以的話)，然後安排在預計停機期間執行的時程。讓防火牆的韌體保持在最新狀態有助於縮小已知的安全性漏洞。
- 規則清理: 每年至少兩次檢閱和優化您的規則集，將任何過時的規則移除。
- 存取控制檢閱: 定期檢查擁有變更防火牆設定權限的人員，然後將不再需要此權限的人員移除或更新其存取權限。

備援計畫
- 避免單點故障: 如果主要防火牆失效，備用防火牆(主動-輔助或主動-主動的設定)應無縫接管。
- 測試容錯移轉: 定期在測試環境或停電期間(亦即安全和預計停電)模擬故障情境，以確保您的備援措施可以在壓力下發揮作用。

設定良好的防火牆不僅可以封鎖惡意軟體，也可以透過維持穩定生產和保護勞工安全來保護您的獲利。身為OT專業人員，您比任何人都更了解操作的細微差異。結合嚴格的規則、重點監控、完整的記錄、結構化的生命週期管理，以及慎重的備援規劃，即可建立可以滿足工業需求的防火牆策略。

安全性並非一成不變，透過檢視記錄、精簡存取權限，以及對全新威脅保持警戒來持續發展您的防護措施。越是主動積極，就越能預防入侵或非預期停機造成代價高昂的後果。

跳脫基本防火牆規則

標準實務(例如，嚴格的規則集、一致的記錄和頻繁的稽核)可以奠定良好安全性的基礎。不過，隨著OT環境連線程度日益增加，以及威脅變得更加複雜，有時基本的防火牆規則並不足夠。下列幾種進階防火牆功能可以協助您的設施防範新興風險。

應用程式篩選

防火牆在傳統上可以根據IP位址、連接埠或通訊協定允許或拒絕流量。然而，應用程式篩選可以更進一步，辨識使用流量的實際軟體或服務。在OT環境中，這種更深入的見解可以改變既有規則，因為這種見解可以確保僅有您設備所需要的特定應用程式，才能透過網路傳輸資料。

精準控制: 僅允許獲得認可的工業通訊協定，例如Modbus或OPC UA，同時封鎖任何其他的通訊協定。
更嚴格的安全性: 即使攻擊者入侵一般連接埠，防火牆也可以偵測與您所核准應用程式不相符的異常。
充分運用頻寬: 篩選出隨機或非必要的應用程式，即可讓網路流量集中在核心生產需求。

政策到期

許多OT團隊會暫時開放防火牆規則供承包商造訪或特殊專案使用，但這些例外情況在所有人下班後仍會持續很長一段時間。政策到期可以針對每個臨時規則設定一個內建的「截止日期」自動清除權限，如此您的防火牆就不會累積非必要的對外開放途徑。

減少監督漏洞: 您不再需要仰賴忙碌的人員記住哪些規則需要關閉。
一致的管理: 舊規則和臨時憑證不會持續存在，成為攻擊者的潛在入侵點。
更好的稽核路徑: 每條規則的生命週期都有記錄，因此可以更輕鬆追蹤存取權限的授予時間和原因以及終止。

和資安工具整合

您的OT防火牆不需要單獨運作。許多現代化的解決方案可以和其他資安工具搭配使用，例如入侵偵測系統(IDS)、網路存取控制(NAC)，或是安全資訊及事件管理(SIEM)平台。這種集體運作的方法可以協助您以更快的速度查看及回應威脅。

整合視圖: 當您的防火牆和IDS或SIEM進行通訊時，某個系統上的可疑活動可能會觸發另一個系統的立即行動。
更快的偵測速度: 交叉參照事件(例如，登入嘗試、異常通訊流量)更全面繪製您網路的健康狀況。
簡化回應: 可以在偵測到威脅時啟動自動封鎖或隔離，在事件升級之前加以控制。

遠端管理

工業營運通常會跨越多座工廠或遠端據點，有時甚至跨越半個地球。遠端管理可以將您所有防火牆的控制整合到一個集中的位置，讓更新或規則調整更有效率。

一致的政策: 單一團隊可以將標準化的防火牆規則推送到每個設施，而不是將任務委派給當地的工作人員。
節省時間和成本: 現場造訪的次數更少，代表停機時間更短、差旅費用更少，以及現場設定錯誤的機會更少。
可擴充維護: 即使您購買新的工廠或擴大營運，也可以透過一致的資安政策讓其上線運作。

機器學習與 AI

嚴格的規則集可以封鎖已知的威脅，而機器學習和AI在設計上可以找出異常狀況，即使先前從未遇過。這些工具會學習典型OT流量的型態，然後在資料模式偏離常態時發出警告。

適應性防護: 隨著您的生產環境發展，AI對正常流量的了解也會持續增加。
零日威脅偵測: 在特徵碼系統更新到最新之前，異常的命令或資料流量即可觸發警示。
手動檢閱次數更少: 將注意力集中在AI認為可疑的事件上，人類分析師即可將時間用在解決實際問題上，而不是用在整理日常記錄。

充分利用進階功能

沒有任何單一的先進功能可以獨立解決所有問題。您可以把這些功能想像成拼圖碎片，每個碎片負責處理OT安全的不同部分。如果您的設施經常面臨供應商維護造訪，政策到期便可立即發揮其價值。

同時，應用程式篩選和OT專屬威脅情報可以協助防止破壞或惡意軟體進入您的關鍵控制系統。決定哪些功能最能解決您目前的痛點、在受到控制的環境中對其進行測試，然後在您確信這些功能符合您的營運需求後立即更廣泛實施。

最終，這些功能建立在以下核心原則之上：OT環境中的防火牆必須安全且適合生產。如果明智選擇並正確設定，進階功能可以讓您在攻擊日益創新的世界中佔上風。

您目前可以採取的三個步驟

即使您尚未準備好進行大規模改革，一些針對性的行動也可以快速強化您的防護態勢。這些措施本身並不能解決所有的安全挑戰，但可以大幅減少您接觸到常見威脅的風險，而且這些措施很容易就能立即實施：

1. 強化您的規則

刪減您防火牆政策中任何廣範圍的權限，並且用定義嚴格的條目加以取代。請務必記錄可疑或異常的流量，如此您才會知道是否有問題。

2. 移除休眠的帳戶

未使用或共用的憑證可能會成為隱性弱點，特別是在通常會忽視存取控制的OT環境中。停用任何不再符合營運需求的帳戶，並稽核共用登入以確保個人責任。

3. 檢查您的記錄

如果您注意到奇怪的外傳連線，或是和典型模式不符的資料流量，請立即調查。並非每個裝置都需要「背景連線通訊」，無法辨識的流量可能是更大問題的初期警訊。

採用這些簡單的步驟可以為未來更強大的安全性打下堅實的基礎。一旦您採用一致的方式管理規則、刪除不必要的帳戶，以及掃描記錄是否出現異常，您會發現為防護層新增進階功能(例如，應用程式篩選或OT專屬的威脅偵測)會變得更加容易，而不會產生停機或造成困擾的風險。透過保持主動、詳盡記錄，以及對全新威脅保持警戒，您的防火牆便可從被動的守門員演變為一面動態盾牌，協助您保護關鍵流程、工作人員和整體獲利。

請記得：資安不是單次事件，而是一個持續的循環。透過定期檢查您的設定、密切注意網路活動，以及明智規劃更新，無論是現在還是未來，您的OT防火牆都可以提供強大的防護。

已發佈 2025年2月28日

Michael Lester

Sr. Product Security Engineer, Rockwell Automation

Michael Lester is a dedicated Senior Product Security Engineer at Rockwell Automation. Michael has over 10 years of experience safeguarding critical infrastructure. Specializing in Operational Technology (OT) infrastructure, product security, and automation, Michael has a proven track record of protecting infrastructure from electrical generation and transmission to water/wastewater and manufacturing. Holding multiple certifications including a GICSP and a degree in Computer Engineering, Michael thrives on staying ahead of evolving cyber threats, blending technical expertise with a passion for innovation to build and automate resilient systems.