為何製造業需要更強大的 OT 網路安全?
根據Verizon 的 DBIR 報告,製造業的資料外洩個案逐年增加 89%,達到 1,607 宗確認個案,而 2024 年則為 849 宗。這主要是因為 IT 和 OT 系統之間的互連日益增加。CAD 設計、預測性維護日誌或供應商更新等檔案目前在這兩種環境中流通,為攻擊者創造了新的切入點。
當這些檔案外洩時,結果不只是資料遺失,還會造成生產停機、作業中斷和法規遵循風險。由於製造業的正常運作時間非常重要,因此即使是小事故也可能升級為供應鏈延遲和財務影響。
本部落格重點介紹製造商用來加強 OT 網路安全的五種策略,並以實際部署來說明。
1.在入口處確保可攜式多媒體 的安全
USB 機和其他可攜式媒體仍然是製造環境中的主要風險來源。檔案經常在各部門、承包商和供應商之間移動,而沒有集中檢查,壓力下的生產團隊可能會在沒有安全檢查的情況下連接裝置。這就讓惡意軟體有機會入侵敏感的 OT 系統。
實際的防禦方法是在可攜式多媒體進入網路之前,對其執行掃描和清除。OPSWAT 解決方案涵蓋此程序的不同階段:
MetaDefender Kiosk™
在允許檔案進入 OT 網路之前對其進行掃描和消毒。
MetaDefender Endpoint™
在滿足安全條件前封鎖媒體,同時提供額外的安全效益。
MetaDefender Endpoint Validation™(Endpoint )
驗證已根據強制執行的政策掃描卸除式媒體。
MetaDefender 多媒體 Firewall™
使用前檢查開機磁區和檔案內容。
全球製藥商Abdi Ibrahim 提供了一個真實案例。該公司最初依靠空氣隔離,但發現便攜式媒體仍然對敏感資料(如藥物配方)構成嚴重威脅。透過部署MetaDefender Kiosk,Abdi Ibrahim 現在每天可以掃描超過 18,000 個檔案,而無需停機。此解決方案不僅能防止惡意軟體,還能支援其製造據點的法規遵循。
2.在連線前驗證第三方裝置
想像一下:承包商來到生產現場執行緊急維護。他們的筆記型電腦需要立即連線至 OT 網路,讓系統重新上線。在盡可能縮短停機時間的壓力下,該裝置在未經過驗證的情況下插入。這個決定可能會為惡意軟體打開大門,繞過現有的防護措施。
這種情況比大多數組織想像中更常發生。供應商筆記型電腦和其他第三方裝置是威脅進入 OT 環境的最常見途徑之一。依賴信任或時間壓力會產生弱點,讓攻擊者有機可乘。
OPSWAT 用以下方式來解決這個問題:
MetaDefender Drive™
掃描裝置,以確保它們在存取 OT 環境之前沒有惡意軟體。
MetaDefender Endpoint Validation™(Endpoint )
在授予存取權之前,確認裝置符合掃描和淨化要求。
一家全球汽車製造商就面臨這種挑戰。他們現有的多供應商安全設定難以整合,並留下暴露關鍵系統的缺口。透過採用OPSWAT的平台,包括MetaDefender Kiosk 和訪客管理整合,他們獲得了可靠的第三方裝置控制。結果是更強的威脅預防、更少的停機時間,以及管理外部裝置的統一流程。
3.在 IT 和 OT 之間安全傳輸檔案
檔案傳輸是製造業的例行必要工作。Software 更新、安全修補程式和設計檔案經常需要從 IT 系統轉移到 OT 環境中。如果這些傳輸沒有受到適當的控制,就有可能繞過檢查,將惡意軟體導入關鍵系統。單靠空氣隔離已無法提供足夠的保護,因為大多數廠房現在至少需要一定程度的連線。
面臨的挑戰是為每種類型的轉移選擇正確的方法。OPSWAT 提供多種選項,每種選項都是針對特定情況而設計:
挑戰 | OPSWAT 解決方案 | 效益 |
|---|---|---|
IT 與 OT 之間的例行檔案傳輸 | MetaDefender Managed File Transfer™ 檔案傳輸管理工具 | 透過先進的威脅防護功能重新掃描每個檔案,自動化並確保傳輸安全 |
監控或合規所需的單向資料流 | MetaDefender NetWall®Optical Diode] | 強制執行單向資料移動,以保護 OT 免遭入站威脅 |
世界各地的製造商都在應用這些方法。越南的一家化學製造公司使用MetaDefender Optical Diode 建立硬體強制的單向連結,以營運扁平、非分段的網路。這消除了 IT 與 OT 之間的通訊漏洞,同時維持了作業的穩定性。
一家財富 500 強的石化公司在其防火牆達到使用年限時,也採取了類似做法。他們以OPSWAT 光學二極體取代防火牆,大幅降低入站攻擊的風險,確保符合法規要求,並為公司的關鍵系統建立長期穩定性。
4.集中網路安全作業與管理
在許多製造組織中,每個據點都以自己的方式處理網路安全。一個工廠可能有掃瞄站,另一個工廠可能依賴防毒軟體,而第三個工廠可能完全缺乏明確的流程。這種各自為政的情況很難一致地執行政策、應對事故或準備稽核。
集中化作業可解決這個問題。透過My OPSWAT Central Management,安全團隊可從單一平台管理註冊裝置、強制執行端點安全政策,以及監控資料流。在涉及多個工廠、承包商和裝置的複雜環境中,這種可視性是不可或缺的。
主要效益
- 在所有地點和端點執行一致的政策
- 即時瞭解裝置使用情況和存取模式
- 利用集中式稽核日誌簡化合規性報告
- 統一監控可加快事件回應
透過整合安全管理,製造商不僅能降低複雜性,還能強化其維持正常運作時間與法規遵循的能力。
5.與國際合規框架接軌
製造商必須在多重法規框架下運作,這些法規規範網路安全、資料完整性和作業安全。要通過稽核,必須要有明確的控制證據,但依賴試算表和零散的日誌卻很難做到這一點。與公認的標準接軌可確保合規性,並提高抵禦威脅的能力。
常見的架構包括
- 資訊安全管理ISO 27001
- 適用於工業控制系統安全性的IEC 62443
- 歐洲基本服務(包括製造業)的NIS2 指令
- 資料保護和隱私權的GDPR
- 適用於食品和藥品製造的FDA cGMP和FSMA
OPSWAT 解決方案透過提供集中式政策執行、可追溯的記錄和安全的資料流控制,支援合規性。
一家全球性的農業和食品製造商為了保護關鍵流程而對 IT 和 OT 系統進行空中封鎖時,面臨了這項挑戰。這雖然安全,但卻妨礙了業務團隊存取規劃所需的 OT 資料。透過部署MetaDefender Optical Diode™,他們實現了從 OT 到 IT 的單向資料流。這可保護易受損害的 OT 資產,提供團隊即時的可視性,並協助組織符合 FDA 和 FSMA 的要求。
建立製造業的網路復原能力
製造業仍是網路攻擊的最大目標之一,其風險不只是資料,還包括生產正常運作時間和工人安全。這裡概述的五項策略說明製造商可如何加強抵禦這些威脅的能力。
這些不只是理論。汽車、製藥、石化和農業等領域的公司已經在應用OPSWAT 解決方案來保障其運作安全,使當前的生產保持順暢,並為處理未來的需求做好準備。
