為什麼OT防火牆需要特別注意
您可能會認為IT和OT防火牆具有相同的功能:篩選流量、封鎖威脅,以及保護關鍵資產。但是,OT防火牆必須因應工業營運特有的一系列挑戰。這些防火牆通常是在惡劣的環境中執行,例如二十四小時持續運作的工廠,而且必須管理專門的機器對機器通訊協定。此外,OT中設定錯誤的防火牆可能會造成監控漏洞或資料外洩,進而影響合規性。
OT防火牆的獨特之處:
嚴苛的條件
這些防火牆在炎熱、骯髒和吵雜的場所運作,必須足夠強大,才能承受灰塵、震動、高溫和持續運作。
安全的網路架構
工業網路並非單一的中央系統,而是會連結各種裝置,如PLC (可程式邏輯控制器)、感測器、機器人等。OT防火牆通常會在控制系統周圍建立一個安全邊界,來控制重要的流量。
工業通訊協定
許多OT網路使用Modbus或OPC UA等IT中並不常見的通訊協定。這些通訊協定可以讓機械設備即時通訊。
避免停機
雖然IT伺服器通常可以在一夜之間修復,但生產線無法輕易關閉,否則會造成嚴重後果。因此,OT的修補通常必須等到預計的停機時間才能進行。然而,您可以先在預計的停機時間計劃進行修補,然後再利用補償控制(例如,移除或進一步限制服務)。
強大管理
因為OT環境對生產有潛在影響,所以需要小心管理。變更的核准通常需要透過嚴格的變更管理流程。
常見的管理漏洞
當團隊缺乏正確的知識、略過必要的更新,或是無法整合IT和OT流量所使用的工具時,OT防火牆管理往往會失效。以下是一些典型的問題
- 知識落差: IT 專業人員可能未接受完整工業通訊協定的訓練就要處理OT工作,因而制定不正確的規則或是遺漏重要的規則。
- 延誤更新: 停機的代價高昂,因此許多工廠等很久才會修補防火牆,導致已知的安全性漏洞未解決。
- 整合不佳: 如果您的OT防火牆無法和其他資安工具交換資料,可能會遺漏IT和OT網路之間移動的威脅。
防火牆管理最佳實務
雖然每個工業據點都不相同,但核心原則可以引導您建立堅實的防火牆策略並保護生產。這些方法有助於徹底縮短停機時間、封鎖危險流量,以及維持重要設備運作。
- 從嚴格的規則開始
- 預設拒絕: 僅記錄和建立安全邊界通訊所需規則,並且拒絕所有其他的輸入和輸出流量。
- 將您的網路分區隔離: 將重要系統(例如,SCADA、PLC)和低度敏感區域劃分出區隔。如此,即使惡意軟體攻擊網路的某個部分,也無法輕易擴散到其他部分。
- 每季稽核: 移除過時或重複的規則,隨著時間過去這些規則通常會變成看不見的後門。
- 明智監控和記錄
- 專注在您的記錄: 追蹤失敗的登入嘗試、龐大的流量峰值,以及任何工業通訊協定的異常使用。過度記錄可能會造成雜訊,並不會增加太多價值。
- 使用正確的工具: 安全資訊及事件管理(SIEM)系統(或OT專屬的監控平台)可以將事件建立關聯並及早發現問題。
- 定期檢閱: 如果沒有人檢查,記錄就毫無用處。每星期或每個月檢閱有助於在問題變嚴重之前發現其跡象。
- 記錄每次變更
- 維護規則手冊: 注意提出每條規則的人員及其原因。如果某條規則再也無法證明其目的,就應該將其移除。
- 追蹤時間戳記和擁有者: 如果新的規則造成問題,則必須知道新增這條規則的人員及其時間。
- 繪製您的網路地圖: 記錄防火牆和交換器、路由器、代理伺服器,以及其他資安裝置互動方式的更新圖表。如此可以讓故障排除更為容易,以及協助新加入的團隊成員了解設定。
- 制定生命週期管理計畫
- 韌體更新: 在實驗室中測試修補程式(可以的話),然後安排在預計停機期間執行的時程。讓防火牆的韌體保持在最新狀態有助於縮小已知的安全性漏洞。
- 規則清理: 每年至少兩次檢閱和優化您的規則集,將任何過時的規則移除。
- 存取控制檢閱: 定期檢查擁有變更防火牆設定權限的人員,然後將不再需要此權限的人員移除或更新其存取權限。
- 備援計畫
- 避免單點故障: 如果主要防火牆失效,備用防火牆(主動-輔助或主動-主動的設定)應無縫接管。
- 測試容錯移轉: 定期在測試環境或停電期間(亦即安全和預計停電)模擬故障情境,以確保您的備援措施可以在壓力下發揮作用。
設定良好的防火牆不僅可以封鎖惡意軟體,也可以透過維持穩定生產和保護勞工安全來保護您的獲利。身為OT專業人員,您比任何人都更了解操作的細微差異。結合嚴格的規則、重點監控、完整的記錄、結構化的生命週期管理,以及慎重的備援規劃,即可建立可以滿足工業需求的防火牆策略。
安全性並非一成不變,透過檢視記錄、精簡存取權限,以及對全新威脅保持警戒來持續發展您的防護措施。越是主動積極,就越能預防入侵或非預期停機造成代價高昂的後果。
跳脫基本防火牆規則
標準實務(例如,嚴格的規則集、一致的記錄和頻繁的稽核)可以奠定良好安全性的基礎。不過,隨著OT環境連線程度日益增加,以及威脅變得更加複雜,有時基本的防火牆規則並不足夠。下列幾種進階防火牆功能可以協助您的設施防範新興風險。
應用程式篩選
防火牆在傳統上可以根據IP位址、連接埠或通訊協定允許或拒絕流量。然而,應用程式篩選可以更進一步,辨識使用流量的實際軟體或服務。在OT環境中,這種更深入的見解可以改變既有規則,因為這種見解可以確保僅有您設備所需要的特定應用程式,才能透過網路傳輸資料。
- 精準控制: 僅允許獲得認可的工業通訊協定,例如Modbus或OPC UA,同時封鎖任何其他的通訊協定。
- 更嚴格的安全性: 即使攻擊者入侵一般連接埠,防火牆也可以偵測與您所核准應用程式不相符的異常。
- 充分運用頻寬: 篩選出隨機或非必要的應用程式,即可讓網路流量集中在核心生產需求。
政策到期
許多OT團隊會暫時開放防火牆規則供承包商造訪或特殊專案使用,但這些例外情況在所有人下班後仍會持續很長一段時間。政策到期可以針對每個臨時規則設定一個內建的「截止日期」自動清除權限,如此您的防火牆就不會累積非必要的對外開放途徑。
- 減少監督漏洞: 您不再需要仰賴忙碌的人員記住哪些規則需要關閉。
- 一致的管理: 舊規則和臨時憑證不會持續存在,成為攻擊者的潛在入侵點。
- 更好的稽核路徑: 每條規則的生命週期都有記錄,因此可以更輕鬆追蹤存取權限的授予時間和原因以及終止。
和資安工具整合
您的OT防火牆不需要單獨運作。許多現代化的解決方案可以和其他資安工具搭配使用,例如入侵偵測系統(IDS)、網路存取控制(NAC),或是安全資訊及事件管理(SIEM)平台。這種集體運作的方法可以協助您以更快的速度查看及回應威脅。
- 整合視圖: 當您的防火牆和IDS或SIEM進行通訊時,某個系統上的可疑活動可能會觸發另一個系統的立即行動。
- 更快的偵測速度: 交叉參照事件(例如,登入嘗試、異常通訊流量)更全面繪製您網路的健康狀況。
- 簡化回應: 可以在偵測到威脅時啟動自動封鎖或隔離,在事件升級之前加以控制。
遠端管理
工業營運通常會跨越多座工廠或遠端據點,有時甚至跨越半個地球。遠端管理可以將您所有防火牆的控制整合到一個集中的位置,讓更新或規則調整更有效率。
- 一致的政策: 單一團隊可以將標準化的防火牆規則推送到每個設施,而不是將任務委派給當地的工作人員。
- 節省時間和成本: 現場造訪的次數更少,代表停機時間更短、差旅費用更少,以及現場設定錯誤的機會更少。
- 可擴充維護: 即使您購買新的工廠或擴大營運,也可以透過一致的資安政策讓其上線運作。
機器學習與 AI
嚴格的規則集可以封鎖已知的威脅,而機器學習和AI在設計上可以找出異常狀況,即使先前從未遇過。這些工具會學習典型OT流量的型態,然後在資料模式偏離常態時發出警告。
- 適應性防護: 隨著您的生產環境發展,AI對正常流量的了解也會持續增加。
- 零日威脅偵測: 在特徵碼系統更新到最新之前,異常的命令或資料流量即可觸發警示。
- 手動檢閱次數更少: 將注意力集中在AI認為可疑的事件上,人類分析師即可將時間用在解決實際問題上,而不是用在整理日常記錄。
充分利用進階功能
沒有任何單一的先進功能可以獨立解決所有問題。您可以把這些功能想像成拼圖碎片,每個碎片負責處理OT安全的不同部分。如果您的設施經常面臨供應商維護造訪,政策到期便可立即發揮其價值。
同時,應用程式篩選和OT專屬威脅情報可以協助防止破壞或惡意軟體進入您的關鍵控制系統。決定哪些功能最能解決您目前的痛點、在受到控制的環境中對其進行測試,然後在您確信這些功能符合您的營運需求後立即更廣泛實施。
最終,這些功能建立在以下核心原則之上:OT環境中的防火牆必須安全且適合生產。如果明智選擇並正確設定,進階功能可以讓您在攻擊日益創新的世界中佔上風。
您目前可以採取的三個步驟
即使您尚未準備好進行大規模改革,一些針對性的行動也可以快速強化您的防護態勢。這些措施本身並不能解決所有的安全挑戰,但可以大幅減少您接觸到常見威脅的風險,而且這些措施很容易就能立即實施:
1. 強化您的規則
刪減您防火牆政策中任何廣範圍的權限,並且用定義嚴格的條目加以取代。請務必記錄可疑或異常的流量,如此您才會知道是否有問題。
2. 移除休眠的帳戶
未使用或共用的憑證可能會成為隱性弱點,特別是在通常會忽視存取控制的OT環境中。停用任何不再符合營運需求的帳戶,並稽核共用登入以確保個人責任。
3. 檢查您的記錄
如果您注意到奇怪的外傳連線,或是和典型模式不符的資料流量,請立即調查。並非每個裝置都需要「背景連線通訊」,無法辨識的流量可能是更大問題的初期警訊。
採用這些簡單的步驟可以為未來更強大的安全性打下堅實的基礎。一旦您採用一致的方式管理規則、刪除不必要的帳戶,以及掃描記錄是否出現異常,您會發現為防護層新增進階功能(例如,應用程式篩選或OT專屬的威脅偵測)會變得更加容易,而不會產生停機或造成困擾的風險。透過保持主動、詳盡記錄,以及對全新威脅保持警戒,您的防火牆便可從被動的守門員演變為一面動態盾牌,協助您保護關鍵流程、工作人員和整體獲利。
請記得:資安不是單次事件,而是一個持續的循環。透過定期檢查您的設定、密切注意網路活動,以及明智規劃更新,無論是現在還是未來,您的OT防火牆都可以提供強大的防護。