延續(xù)自這兩年來疫情肆虐全球期間，推動基礎建設及產(chǎn)業(yè)數(shù)位轉(zhuǎn)型需求大增，工業(yè)電腦（IPC）應用也越來越普及，隨之造就營運技術（OT）資安領域的完美風暴。由於皆採用PC + Windows OS架構，讓駭客只須採用與資訊科技（IT）同一套「解決方案」，就能入侵OT產(chǎn)線設備，也促使資安軟體業(yè)者開始與IPC硬體業(yè)者積極整合以協(xié)同解決。

根據(jù)Cybersecurity Venture研究，近年來伴隨著物聯(lián)網(wǎng)、AI技術，帶動工業(yè)4.0、智慧製造的浪潮，讓工廠遠端操作需求不斷提升，並為此設立了大量感測器，以及監(jiān)控各處數(shù)據(jù)的零組件所形成的網(wǎng)路架構。卻常因為單一元件的處理效能有限，往往缺乏內(nèi)建安全防護功能，也讓駭客擁有更多可趁之機，據(jù)統(tǒng)計只須平均耗時5分鐘，就能針對剛連線的裝置攻擊。

生產(chǎn)線又為了提高效率，而從前端ERP接單，直接連結到後端MES流程高度整合，用來蒐集數(shù)據(jù)的感測器也會互相串連，形成範圍更廣的工業(yè)物聯(lián)網(wǎng)系統(tǒng)。因大量將IT與OT融合的佈建下，促使原來受封閉式網(wǎng)路保護的OT端大量暴露在網(wǎng)路威脅之下，形成一場完美風暴，單一漏洞可能很快就會成為入侵公司網(wǎng)路的起點。截至2021年全球因資訊安全事件已造成6兆美元的成本損失，建議企業(yè)應透過更完整由端到雲(yún)的資安防護，以確保在資安環(huán)境數(shù)位轉(zhuǎn)型，免於資安威脅。

其中，工業(yè)控制系統(tǒng)（ICS）環(huán)境的資安防護便在「防患於未然」，以免遭遇巨大的資安危機。依趨勢科技研究觀察2020年10大勒索病毒家族，皆鎖定感染OT、ICS為攻擊目標，臺灣科技製造業(yè)也成為駭客發(fā)動勒索病毒攻擊的受駭者。且在最新針對日本、德國及美國的工業(yè)網(wǎng)路資安調(diào)查中，也顯示有高達61%的受訪製造業(yè)者都經(jīng)歷過資安事件，甚至造成43%企業(yè)產(chǎn)線停擺4天以上，劇烈衝擊著製造業(yè)營運。

Gartner也預測，企業(yè)在2023年因為CPS（Cyber-Physical Systems）遭受攻擊，造成的財務損失已超過500億美元；加上受到資安攻擊衍伸的相關賠償、訴訟、保險、監(jiān)管罰款，以及人為失誤所產(chǎn)生的責任損失將持續(xù)擴大，顯示OT安全性勢必成為製造業(yè)營運的一大挑戰(zhàn)。

因應現(xiàn)今只要有資料的地方，就必需要有安全的考量。否則可能發(fā)生蒐集不到，或是蒐集了錯誤的資料，甚至是資料被鎖住不能用的情況，所以必須在每一個環(huán)節(jié)做足準備。趨勢科技執(zhí)行長陳怡樺便強調(diào)：「對製造業(yè)而言，資安應該就是製程的一部分，千萬不能當成附加成本。務必讓臺灣製造的所有元件與成品，都能有資安思維在其中，才能夠幫助世界數(shù)位轉(zhuǎn)型的成功更安全。」

依趨勢科技觀察，現(xiàn)今政府與銀行雖然一直都是駭客主要攻擊目標，但2020年製造業(yè)與醫(yī)療業(yè)遭受攻擊的狀況更嚴重。由於臺灣GDP有30%以上都是來自於製造業(yè)，在全球製造業(yè)重組供應鏈扮演要角，半導體產(chǎn)業(yè)更被譽為「護國神山」，撐起了全世界數(shù)位轉(zhuǎn)型的半邊天，鎖定OT環(huán)境進行攻擊的勒索病毒也與日俱增，對於製造業(yè)已是當務之急。

最近臺灣政府積極在五加二產(chǎn)業(yè)創(chuàng)新的基礎上打造新一代六大核心戰(zhàn)略產(chǎn)業(yè)，便特別強調(diào)「資安即國安」的重要性，已在《產(chǎn)業(yè)創(chuàng)新條例》條文中將新增資通安全產(chǎn)品或服務投資抵減優(yōu)惠項目，包含：終端與行動裝置防護、網(wǎng)路安全維護、資料與雲(yún)端安全維護有關的硬體、軟體、技術或技術服務，及跨終端、網(wǎng)路、雲(yún)端的資通安全技術服務等。藉以鼓勵產(chǎn)業(yè)加速或提前導入資安產(chǎn)品或服務，儘速完備臺灣產(chǎn)業(yè)資安聯(lián)防體系，確保可在國際供應鏈上取得客戶信賴，並能因應國際日益嚴重的資安攻擊與威脅。

圖1 : 因大量將IT與OT融合的佈建下，促使原來受封閉式網(wǎng)路保護的OT端大量暴露在網(wǎng)路威脅之下，形成一場完美風暴，單一漏洞可能很快就會成為入侵公司網(wǎng)路的起點。（source：arbor-technology.com）

法人協(xié)助推廣零信任　降低資訊存取前端風險

另隨著近年來美中科技戰(zhàn)導致供應鏈重組等因素，全球企業(yè)的營運模式正大幅改變，使得資安不再只是單純的技術議題。若是遭遇網(wǎng)路端攻擊，現(xiàn)行普遍使用防毒軟體打造防火牆雖也一樣有效，但在駭客規(guī)模逐步企業(yè)化，漏洞偵測工具及加密等攻擊手法不斷精進之後，資安漏洞未來只會持續(xù)增加、防不勝防。

企業(yè)必須確保用戶能在任何環(huán)境、從任何地點無縫存取必要的應用程式與數(shù)據(jù)；同時控管不同網(wǎng)路、裝置與地點的存取權限並執(zhí)行適當?shù)陌踩雷o，才能因應目前混合辦公與數(shù)位優(yōu)先的互動模式。已有業(yè)者開始引進美國積極提倡的「零信任（Zero Trust）」概念，要求每個資源使用控制權限都有明授予的特權，強調(diào)當用戶和裝置每次存取企業(yè)網(wǎng)路資訊，皆需經(jīng)過驗證帳密、生物特徵，藉此降低安全風險。

根據(jù)思科（CISCO）最新發(fā)表《安全成果研究第二卷》（Security Outcomes Study Volume 2）調(diào)查報告中也指出，現(xiàn)今共有88%臺灣受訪者的公司已投資「零信任」策略、68%穩(wěn)定執(zhí)行、20%公司在技術部署已臻成熟。另有86%受訪者表示，公司正投資於「安全存取服務前端」（Secure Access Service Edge ,SASE）架構，其中68%反映導入進度良好、18%指出技術部署已至成熟階段。

IPC大廠提升供應鏈互信　確保雲(yún)端與邊緣運算資安

值得一提的是，考量供應鏈牽一髮動全身的特性，在分工細膩、認證嚴格的高科技產(chǎn)業(yè)尤其如此，供應商必須承認資安絕對不是單家企業(yè)能獨善其身，以免若出現(xiàn)嚴重的資安疏失，將會嚴重損及供需雙方信任的基石。

且隨著人工智慧（AI）、邊緣計算、5G、網(wǎng)路虛擬化等新一代技術發(fā)展，使企業(yè)需要更高速、安全、彈性的網(wǎng)路架構，都讓資安問題從過去單純的security，又多了一層safety考量，企業(yè)已難存有僥倖的心態(tài)，更應該要清楚意識到，絕對不可能有「絕對的安全」！

甚至必須在採購流程裡，強制納入供應商的資安能力評估，進而透過不同規(guī)模的聯(lián)防，才有利於爭取時效，將安全融入產(chǎn)業(yè)生態(tài)中，讓參與聯(lián)防的所有上、中、下游夥伴，能持續(xù)交付、提供安全的產(chǎn)品與服務，實現(xiàn)防護資源的最佳化。「在資安防禦上，需要講求零信任，而在聯(lián)防上，供應鏈則需要相互信任。」

工業(yè)電腦大廠立端科技近年來也強化對於電信邊緣運算及工業(yè)物聯(lián)網(wǎng)布局，以網(wǎng)安為核心，協(xié)同各垂直市場技術領導夥伴，提供SD-WAN及NFV等網(wǎng)路虛擬化應用的網(wǎng)路白牌設備解決方案，共獲得Verizon在內(nèi)的全球20大電信營運商認可，已完成超過20萬企業(yè)SD-WAN站點部署。進而宣佈與臺灣大學電機系團隊進行產(chǎn)學合作計畫，打造新一代無線入侵偵測與防禦系統(tǒng)，提升立端產(chǎn)品無線網(wǎng)路傳輸?shù)陌踩浴?/span>

研華公司則展示其WISE-STACK私有雲(yún)工業(yè)物聯(lián)網(wǎng)解決方案在智慧工廠的應用，透過研華邊緣設備原本的安全機制與資安共創(chuàng)夥伴合作整合，將硬體、韌體、軟體、服務與顧問打包成一套完整解決方案，讓資安貫穿整個物聯(lián)網(wǎng)基礎架構與應用情境，以確保裝置連接由端到雲(yún)端的安全防護，解決不同產(chǎn)業(yè)對生產(chǎn)數(shù)據(jù)的安全疑慮，以加速實現(xiàn)智慧製造數(shù)位轉(zhuǎn)型過程。

智慧工廠從底層端點生產(chǎn)設備本身內(nèi)建資安防護軟體，到雲(yún)端服務的應用之間，皆可依資安特性分層，並透過可視化工具即時監(jiān)控生產(chǎn)與資安可能產(chǎn)生的威脅，包括：第一層在既有邊緣設備，提供的白名單/UTM防護方案；第二層WISE-STACK私有雲(yún)工業(yè)務聯(lián)網(wǎng)解決方案，提供IaaS及PaaS多樣的資安機制；第三層與共創(chuàng)夥伴的資安軟體防護機制合作，多層式防護以保障數(shù)據(jù)安全、降低資安風險。

圖2 : 透過研華邊緣設備原本的安全機制與資安共創(chuàng)夥伴合作整合，將硬體、韌體、軟體、服務與顧問打包成一套完整解決方案，讓資安貫穿整個物聯(lián)網(wǎng)基礎架構與應用情境。（攝影：陳念舜）

整合工控軟硬體同中求異　全方位解決供應鏈資安疑慮

趨勢科技與工業(yè)電腦廠商合組的工業(yè)物聯(lián)網(wǎng)資安公司TXOne Networks（睿控網(wǎng)安）執(zhí)行長劉榮太進一步指出，如今工控資安最大的問題約可歸納為IT與OT聚合（Convergence）而成，「由於現(xiàn)代OT工控環(huán)境大量使用IT的技術，充斥著大量多樣的端點，不僅存在著有自身尚未修補的安全漏洞，還要添加其他IT環(huán)境的弱點，但OT卻往往沒有與IT環(huán)境同樣的防護措施，這也為駭客提供了各式各樣的攻擊機會，面對更嚴重的威脅。」

其中OT架構主要可以分為三層，第一層為服務層，囊括應用程式等服務；第二層則是ICS工控系統(tǒng)；第三層，也就是最底層的設備、裝置等，但無論是攻擊任何層級，都可能造成製造廠商一整條線停擺，導致面臨嚴重生產(chǎn)問題。若是供電系統(tǒng)、水庫等相關類型的關鍵基礎建設受到攻擊，所造成的可能是民生問題，甚至危及廠房整體運作與人身安全。

然而，因為工業(yè)與資訊產(chǎn)業(yè)的需求不同，前者實際運作的工作場域更常處於戶外極高溫或極低溫，或者像在船上要防摔、列車上要防震等，許多地點電源不也穩(wěn)定，大型機臺須兼顧節(jié)能又不能延遲而影響運轉(zhuǎn)。劉榮太說：「過去資訊業(yè)談的資安，優(yōu)先順序通常是『C-I-A』，也就是機密性、正確性、可用性。」

但是工廠卻是相反，最重要的是先時時確保運作，還要考量實體的人身安全，比如系統(tǒng)問題可能造成毒氣外洩、鑽油平臺失誤會造成生態(tài)災害等等，這些都是可用性的範疇，應先確保人命安全、場域可用，接著才會考慮正確與機密性。

因此，有別於資安防護在傳統(tǒng)IT領域是用來監(jiān)管異常事件，OT人員更在乎機臺哪裡出問題，所以不能直接採購IT的管理軟體供營運端使用，對於安全管理的劃分也要調(diào)整成從機臺角度出發(fā)，使得製造業(yè)很難找到既能保護工控環(huán)境的資產(chǎn)設備安全無虞，又兼顧生產(chǎn)線效能及營運順暢的解決方案。加上OT的場域與資安部署較為碎片化，將會有愈來愈多新型態(tài)技術加入環(huán)境中，無論是資安業(yè)者或是企業(yè)端皆須與時俱進，以防堵網(wǎng)路攻擊的威脅。

劉榮太強調(diào)：「OT資安必須要Top-down，而非過去Bottom-up的思維！」即除了要針對既有漏洞補丁（patching）之外，還應導入零信任（Zero Trust）、微分割（Micro Segmentation）等架構，阻斷所有機臺都要存取的資料庫、HMI等不該連結到的端點藉由虛擬修補，來因應場域端點無法停機修補的困難；以信任（白）名單限制重要端點，只能執(zhí)行允許的應用程式。或是運用AI機器學習、自動化等技術程序，更為了解攻擊途徑或守法，以儘量降低風險。

TXOne Networks亦非透過完全客製化方式去滿足所有工廠多變環(huán)境下的客戶需求，而是針對相同垂直領域客戶，提供不同模組化架構的ICS網(wǎng)路資安防護解決方案。目前專為供應製造業(yè)現(xiàn)場所需的首創(chuàng)原生OT端點防護資安解決方案TXOne StellarProtect，便為了保護在各種嚴苛環(huán)境中的現(xiàn)代化OT設備需求的端點而設計。

除了結合機器學習與ICS信任根（root of trust，RoT）技術，蒐集了1,000多個ICS 軟體憑證與授權，並已預先完成確認可信任標的檔案，還要認得工控大廠的通信協(xié)定；再搭配內(nèi)建的ICS應用程式行為學習引擎，不必連上網(wǎng)路，就能用來防範已知及未知的惡意程式攻擊，或人為操作失誤所造成的營運中斷，協(xié)助企業(yè)在營運不受干擾的情況下，快速滿足OT不同場域、特定用途等需求。

圖3 : TXOne Networks針對相同垂直領域客戶，提供不同模組化架構的ICS網(wǎng)路資安防護解決方案，以滿足在所有工廠多變環(huán)境下的客戶需求。（攝影：陳念舜）

同時強調(diào)從機臺一落地到進入工廠場域，製造業(yè)者就可以開始利用TXOne StellarProtect來驗證防毒，機臺廠商也會要求更上游IPC供應商必須在交貨組裝前，同樣通過驗證與記錄，成為機臺的安全履歷，才能符合「零信任」要求。

從而確保關鍵ICS可正常營運，並避免重複掃瞄惡意程式的動作影響效能，協(xié)助身處不同數(shù)位轉(zhuǎn)型階段的企業(yè)簡化與解決複雜多變的資安問題，在不影響效能、不中斷營運，以及能應付任何環(huán)境條件下，提高生產(chǎn)力與資安營運效率。

。

總結

除了上述常見的OT工控環(huán)境資安問題，已有資安軟體與工業(yè)電腦大廠聯(lián)手解決之外，隨著近期元宇宙（Metaverse）概念被熱議，也有專家提醒，隱私與資安將成為影響元宇宙發(fā)展的最大黑洞！

目前元宇宙可被理解為是沉浸式的社群連結，也是VR/AR的應用提升，但也勢必要搜集大量的眼部活動、表情、語音、生物特徵或周遭環(huán)境等數(shù)據(jù)；因此不論是穿戴裝置遭駭客入侵，或是元宇宙入口平臺的數(shù)據(jù)遭濫用，又例如虛擬資產(chǎn)被盜等網(wǎng)路資安風險事件，到了元宇宙時代並不會消失，過去駭客可能透過PC、手機入侵系統(tǒng)，將來也可能利用頭上的VR/AR裝置，同樣需要精密的資安防護。

臺灣工研院智慧機械中心經(jīng)過智慧製造技術驗證場域，整合AR/VR遠距沉浸式協(xié)同工程與零信任（Zero Trust）資安防護架構等技術，協(xié)助產(chǎn)業(yè)導入智慧製造系統(tǒng)解決方案及新生態(tài)體系，從點線面提供單站智慧化、產(chǎn)線數(shù)位化、跨域雲(yún)端管理等全方位技術服務；同時輸出智慧製造SI系統(tǒng)整合服務，佈建東南亞市場海外產(chǎn)線，提升臺商競爭力。

現(xiàn)在只要透過與研華合作開發(fā)的智慧機上盒SMB，就能連上工研院VMX機械雲(yún)，使用所有「零信任」資安防護功能模組SaaS軟體；再向下連結機臺、裝置等硬體，達到國際端點傳輸資訊安全的最高等級，如同動態(tài)防火牆，不像一般VPN架構洩漏帳密就破功。進而與達梭系統(tǒng)合作，將SMB從新舊不同機臺蒐集到的Edge Computing資訊上傳達梭系統(tǒng)（DASSAULT SYSTEMES）的3D EXPERIENCE平臺，用於戰(zhàn)情室建構Digital Twins、元宇宙等體驗活動。

圖4 : 現(xiàn)在只要透過工研院與研華合作開發(fā)的智慧機上盒SMB，就能連上機械雲(yún)，使用所有「零信任」資安防護功能模組；再向下連結機臺，點對點傳輸資料。（攝影：陳念舜）

**刊頭圖（source：iiot-world.com）