全球製造商如何在維持完整 OT/IT 隔離的同時,實現即時 OPC 資料可視性
文/OPSWAT
確保大規模重要資料移動的安全性
製造商在控制能源和維護成本方面一直面臨挑戰。工廠的設備每年可能消耗數百萬美元的能源和水,即使是微小的性能問題也會導致成本迅速增加。設備故障意外是另一個主要問題。缺乏預測性維護會導致生產停頓,每小時的停機時間都會造成重大的收入損失。
根據Aberdeen Research 的資料顯示,製造商每小時可能因意外停機而損失高達 26 萬美元。目前,攻擊平均會造成 21 天的停機時間,其利害關係可想而知。我們的客戶是一間擁有多條生產線的大型製造商,高度依賴傳統的 OT(作業技術)系統來維持正常運作時間、產品品質及合規性。由於員工數以千計且分佈全球,不間斷的運作至關重要。
為解決這些問題,製造商利用分析平台和節能績效合約來協助維護團隊。他們使用 OPC 和其他資料流,來掌握每個設施的關鍵設備、排定任務的優先順序,並對此進行投資。
然而,內部 OT (作業技術) 安全團隊卻認為將工廠生產線與網際網路連線存在極大的網路安全風險:
- 傳統 OT 裝置通常缺乏內建安全性或修補功能。
- 在外部公開 OPC 資料可能會為攻擊者提供可攻擊媒介。
- 修改生產系統的成本高昂,並有停機的風險。
這些安全疑慮是有根據的,並得到聯邦指引的支持。2022 年 3 月,CISA (Cybersecurity & Infrastructure Security Agency)建議使用單向通訊二極體,以加強網路分割並保護工業控制系統免受網路攻擊。2023 年,NIST 和國防部在最新的 NIST SP 800-82r3 和 UFC 4-010-06 中均建議將單向傳輸閘道作為保護 OT 基礎結構安全的選項,進一步強化了這一指導方針。
該設施需要一種方法來安全地提取和共用 OT 資料,不能有破壞性的系統變更或增加新的漏洞。
具備 Enero 通訊協定轉換功能的MetaDefender Optical Diode
製造商與OPSWAT 及 Enero Solutions 合作,設計出安全、低延遲的資料傳輸架構。
部署MetaDefender Optical Diode (Fend) ,使用光纖隔離技術確保僅在單一方向傳送資料,從實體上保護關鍵資產。它提供系統的可視性,同時禁止惡意軟體、贖金軟體和其他攻擊攻破網路連線。
與Enero Solutions合作,我們從傳統系統中帶來 OPC UA 資料饋送,而無需修改原始系統。使用MetaDefender Optical Diode (Fend) 的 OPC 通訊協定轉換採用多步驟、低延遲的方式,將 OPC 資料安全地暴露在 OT 網路之外,而不會為不良分子引入潛在的攻擊媒介。
運作方式
受保護端的 OPC Client 消耗 OPC UA 或 DA 訂閱。
資料在 OT 端邊緣裝置進行 TCP 直通序列化,轉發至MetaDefender Optical Diode (Fend),並傳送至企業端的 TCPServer ,與 IT 端邊緣裝置進行反序列化,並擷取為可行的 OPC 點(路徑、值、時間戳記)。企業 (IT) 邊緣裝置上的 OPC Client 會在 OPC UA 伺服器上寫入點數,客戶可透過訂閱存取這些點數。
結果
透過整合式解決方案,製造廠達成以下目標:
- 完整的 OT/IT 隔離: 實體的單向傳輸可確保任何外部威脅都無法滲透 OT 網路。
- 即時可見性: 安全、持續地將 OPC UA 資料傳送至 IT 系統,以加快回應時間、改善監控和資料驅動的決策。
- 保留正常運作時間和投資:傳統 OT 系統不受影響,避免了昂貴的更換成本或中斷停機時間。
- 降低網路風險:透過移除與直接連線或僅軟體方法相關的攻擊媒介,該設施強化了其整體網路安全態勢。
- 與法規一致:本實施方案遵循聯邦網路安全最佳實務,符合 CISA 對單向通訊二極體的建議,並與 NIST SP 800-82r3 及 DoD UFC 4-010-06 有關保護 OT 基礎架構安全的指引一致。
展望未來
傳統的 OT 系統不必成為安全負擔。透過正確的方法,製造商可以擷取有價值的作業資料,同時維持完整的網路隔離,並保留現有的資源。立即聯絡OPSWAT專家,瞭解MetaDefender Optical Diode (Fend) 如何在維持硬體強化保護的同時,從傳統系統中安全地提取資料。
