【digitimes】禾伸堂藉助Nozomi 即時監測OT資安威脅

【2021年1月28日,digitimes】伴隨工業4.0浪潮席捲,各製造業廠商逐步推動OT和IT網路融合,導致越來越多惡意程式流竄到OT場域,使工業控制系統(ICS)資安議題轉趨嚴重。

長年聚焦生產利基型積層陶瓷電容(MLCC)的禾伸堂企業,五年前投入IT與OT融合,陸續展開諸多自動化、智慧化專案,同時高度重視OT資安課題,積極研究相關防護方案;歷經嚴謹評估和測試,於2020年底拍板定案,引進精誠資訊代理的Nozomi Networks資安與可視化方案。

禾伸堂資訊中心資深副理彭志泓表示,2016年禾伸堂經營高層決定付諸實踐工業4.0,亟欲找到合適「中間人」協助串接IT和OT系統,並經資訊中心協理郭建中詢問過去長期服務於IT團隊的他,因而決定挺身承擔這項挑戰。

彭志泓歷經多時摸索與磨合,得以熟悉OT環境,理解MLCC複雜製程中,許多環節仰賴操作員(OP)以人力做銜接,例如手動將參數Key-in到生產機台電腦,或每隔1~2小時抄錄一次機台狀態資訊;心想若OP出現手誤,恐對產線造成影響,因而推動優化措施,改由機台向MES詢問參數到機台電腦,並與團隊主任劉倫華另行開發監控系統,主動監測所有機台狀態。

深具IT管理歷練的他,認為OT資安防護水平急待提升,否則可能釀成資安事件,輕則產線停擺、重則工安意外。綜觀MLCC製程,從調漿粉、製薄帶、印刷電路、疊層、壓實到切割,接著進入燒除,萬一此時駭客入侵控制燒結爐,使之溫度持續飆高,即可能造成爆炸危險。

為此彭志泓著手評估OT資安方案,發現多數產品由IT演化而來,對底層工控協定的識別能力不足,再者都定位為OT領域的IDS入侵偵測系統,雖可偵測惡意行為發生,但僅限於此,無力呈現更深層內容。

由工控安全技術顧問夥伴漢昕科技推薦的Nozomi Networks方案,明顯與其他產品有所區隔,首先它對工業資產與網路協定具備更準更深的辨識能力,能看見更底層資訊,從而迅速將所有事件加以關聯、便於後續分析 ; 其次Nozomi的可視化特性提供了一目瞭然的網路拓撲圖,顯示不同設備之間的溝通行為及資料流,並以綠、橘、紅等顏色標示,且用戶可立即Drill Down探究箇中細節。

再者Nozomi Networks強調「非侵入式」監測,僅被動收集資訊,一次就能從封包內容看出深層端倪,完全不干擾OT ICS的運作。Nozomi Networks除了資安監控外,也能執行營運狀態監測。不只能洞察威脅入侵,還可即時清楚點出哪些控制指令遭到擅改或數值發生偏差、哪些連線行為異於Baseline,滿足OT場域安全性及高可用性的需求。

更特別的,彭志泓由於對此解決方案頗感興趣,爭取延長POC期限,有幸獲得總代理精誠資訊居間協調,獲得Nozomi Networks原廠首肯,讓禾伸堂擁有足夠時間,好整以暇與原廠、工控安全技術顧問夥伴漢昕科技攜手合作,將偵測與告警機制調校到最佳狀態。

基於上述緣由,禾伸堂最終選定Nozomi Networks,之後還獲得意外驚喜,只因它在2020年改版後新增威脅情資(Thread Intelligence)比對功能,也強化原有資產識別功能(Asset Intelligence)、將IoT設備納入辨識範圍,讓禾伸堂更能化被動為主動,透過即時監控與分析,立即掌握OT場域各種異狀,例如:駭客入侵、馬達轉速失常、燒結爐溫度過高等等。