工控機與物聯(lián)網(wǎng)裝置需要防范資安威脅嗎？又該如何防范資安威脅?

工控機與物聯(lián)網(wǎng)裝置需要防范資安威脅嗎？又該如何防范資安威脅?

在國內(nèi)出現(xiàn)許多跟OT應(yīng)用有關(guān)的資安事件后，大家對于工控設(shè)備與物聯(lián)網(wǎng)裝置的安全性，有了更多的關(guān)心與重視。IT(資訊科技)人員對于IT設(shè)備的資安維護其實已相當熟悉，但對于生產(chǎn)線上的OT(操作科技)設(shè)備則相對比較陌生，這也給了駭客入侵的可趁之機。傳統(tǒng)IT領(lǐng)域重視資料的機密性與完整性，但OT設(shè)備則更著重于可用性與人員安全，但為了因應(yīng)遠端連線的需求，OT設(shè)備從比較封閉的環(huán)境下逐漸打開網(wǎng)路大門，面臨與IT設(shè)備同樣的安全威脅。

針對更為廣泛的工控機臺聯(lián)網(wǎng)甚至是物聯(lián)網(wǎng)裝置，又該如何防范資安威脅?

2、多層次的應(yīng)用程式白名單技術(shù)

國際間與臺灣本地都發(fā)生過工業(yè)機臺(工控機)與物聯(lián)網(wǎng)裝置遭受入侵的事件，導(dǎo)致工廠生產(chǎn)與運作都遭受到重大損失。工業(yè)技術(shù)研究院副組長卓傳育表示，工控機器設(shè)備每天進行的工作相當固定，物聯(lián)網(wǎng)裝置也幾乎是全天候運作，只要設(shè)備運作正常，管理者通常不會特別注意是否有異?；蛞驯获斂腿肭?，因此成為駭客下手攻擊的首要目標。傳統(tǒng)防毒軟體采用黑名單概念──即發(fā)現(xiàn)黑名單中的惡意程式被執(zhí)行便加以警示阻擋，但這種作法難免會出現(xiàn)漏網(wǎng)之魚，導(dǎo)致系統(tǒng)遭受惡意程式感染。應(yīng)該采用應(yīng)用程式白名單概念，只有列在白名單中的應(yīng)用程式才允許被執(zhí)行，包括程式所進行的系統(tǒng)呼叫、控制流程等，這種多層次的應(yīng)用程式白名單技術(shù)，才能主動做好OT設(shè)備的資安。

3、晶片加密技術(shù)的聯(lián)網(wǎng)安全

想要在產(chǎn)品的開發(fā)階段做好資訊安全工作，可以嘗試從晶片加密開始做起，國內(nèi)提供晶片加密方案的尚承科技執(zhí)行長賴育承表示，資訊安全是開發(fā)物聯(lián)網(wǎng)裝置的首要工作，以PiLock晶片加密技術(shù)為例，能在產(chǎn)品開發(fā)階段保護韌體安全、對晶片韌體進行加密，使其在生產(chǎn)制造過程中不被破解，短時間即可做好韌體加密保護工作。其亦可以協(xié)助廠商在物聯(lián)網(wǎng)裝置的生命周期間，無論是韌體保護、韌體更新、晶片制造、產(chǎn)品交付的過程，都能夠做好安全防護工作，一方面保護廠家的智慧財產(chǎn)，也可避免產(chǎn)品被駭客破解注入惡意程式。

想要避免物聯(lián)網(wǎng)裝置被駭客入侵，可以從建立網(wǎng)路安全邊界做起，做好內(nèi)網(wǎng)隔離的工作。此外，企業(yè)也應(yīng)該經(jīng)常性地進行場域的弱點掃描檢測，發(fā)現(xiàn)裝置與系統(tǒng)的弱點，以便能及時地加以補強，讓駭客無可趁之機。