身為40多歲老牌化工廠,曾以「N次貼」揚名國際的聚和國際,近幾年積極展開數位轉型,邁向智慧工廠,但這段期間,為了蒐集產線生產數據,用於數據分析加速轉型,導致產線上越來越多設備開始聯網,使得以往封閉的工廠OT環境,曝露在資安風險之下,這也成了聚和國際資訊中心協理王邦畯所要面對的考驗,決定開始打造產線的資安防線。
王邦畯表示,以往聚和的工廠生產系統,皆採實體隔離的網路環境,資安風險相對較低,但近幾年因推動數位轉型,使得過去這些封閉的生產系統開始連上網際網路,因而增加了被駭客攻擊的風險。
尤其,他強調,聚和的國際大型客戶對資安稽核十分要求,所以對於聚和來說,平時就必須持續強化資安防護能量,如此一來,才能提高供應商的評級,來獲得更多的訂單。
但對於屬於中小企業的聚和而言,投入資安防護的資源總是有限,所以王邦畯採取的策略是,先找出內部資安體系較薄弱的地方來切入,作為資安加強或改善的防護重點,並也透過政府補助案取得資金挹注,來幫助他們陸續完成產線資安升級。
先從IT端的資安強化著手,接著建立OT端的資安防線
經過盤點後,聚和提出的資安策略和改善架構,先從IT端的資安強化著手,接著展開OT端的資安防線的建立,到資安團隊的建立與威脅監控的分析,「我們的願景是,資安上要能強化自身完善,與供應鏈聯防的目標。」他說。
首先,在IT系統端,聚和一開始優先導入供應鏈身分辨識零信任機制,包括強化身分認證,落實存取控制,來確保數據交換的安全。
王邦畯以遠端連線服務來舉例,以往不論是供應商或海外子公司存取相關內網服務,都是使用VPN廠商的服務,但因為該服務架設在外網,容易產生資安風險,讓駭客有可乘之機。後來,王邦畯採取三道防護措施作為改善的對策,分別是結合加密連線的VPN通道,搭配雙因子認證,還有使用桌面虛擬化VDI做遠端存取控制,才解決這個問題。
聚和接下來也強化OT和IT端的端點防護,包括導入入侵偵測及入侵防禦系統來加強各端點的保護,並優先運用在郵件安全防護上。
王邦畯表示,過往公司經常收到大量隱匿的釣魚信件,以及惡意連結郵件,令人防不勝防,但經過幾年改善後,他們依照資安縱深防禦的概念,建立起三道防線,首先是把郵件服務搬上雲,減少對外連接的通道,也藉由雲服務廠商的防護,作為第一道阻擋關卡;其次,他們導入 SPAM ADM防禦模組來強化惡意信件的攔截,後來還導入了能偵測和防護APT攻擊的端點防護軟體,防止APT滲透攻擊。
就算遇到資訊系統有漏洞,聚和現在也能夠迅速將該漏洞修補,王邦畯表示,因為資訊團隊導入了一套自動化機制,能管理端點安全與組態更新,提升漏洞修補的效率,不像以往都是透過有限資訊人力,以手動方式進行修補,容易會有疏漏的地方,反而造成重大資安風險。
靠3大工控資安防護措施,來降低OT設備聯網的資安風險
在工控資安防護上,王邦畯也祭出三大資安防護措施,來降低OT設備或裝置聯網的資安風險。
首先是建立OT設備聯網作業辦法,明確定義出相關上線程序,像是如AOI等OT設備聯網之前,必須在OT和IT層之間設置防火牆,也必須完成掃毒及網段隔離程序,才能夠上線使用。
其次,是增加OT端的防護設備來加強防護,例如OT閘道防護設備等,以便在遇到異常的狀況時,能將遭駭災情限縮在局部範圍內,防止損害繼續擴大。最後,是強化OT端的端點防護功能,像是導入具預防APT攻擊能力的防毒系統等。
不僅如此,王邦畯也要求徹底落實OT實體防毒,不只制定OT設備聯網作業程序,要求工廠各產線來全面落實,也會定期抽查,對於所有新添購的OT聯網裝置、設備皆需提供無毒證明,或是經過完整掃毒,確認安全無虞後,才能夠在產線上使用。
此外,在供應鏈資安防護的強化上,除了透過增加資安稽核項目的方式 ,要求供應商配合,聚和還聯合上下游供應鏈建立資安協防機制,來加強防堵資安破口,平時也會透過舉辦資安工作坊的形式 ,讓彼此有共識、能夠團結合作,來落實資安聯防,降低資安風險。
為了加快資安事件應變能力,聚和也建立資安團隊,負責處理資安問題,並加強威脅監控分析能力、建立資安應變程序、強化稽核監控等。
除了建立資安防護機制之外,王邦畯強調,備份與災害還原機制的重要性,是資安的最後一道防線。
像是資安演練,聚和過去只完成ERP系統還原演練,所以遇到駭客攻擊時,就可能因為其他系統無法恢復,而導致營運受影響,就算事後想要做資安事故分析,也常常因為效能和硬體空間不足,無法取得完整Log記錄檔案,以致於難以有效追溯,但現在這個問題已經解決。
王邦畯表示,目前已制定完整資安事故的演練程序,不光只是ERP演練而已,還強化資安事件蒐集Log的能力,還與視覺化儀表板結合,能呈現不同資安事件面貌,更快找到異常發生的前期預兆。同時,他們還使用SecPaaS企業資安評級工具找出資安弱點,幫助公司制定相關的對策,並且做好資安事件通報的機制。
