在面對資料保護的議題下,IT 與 OT 的思維大不同,在華碩雲端打造的 DataGuard OT 解決方案中,即針對了傳統 IPC 工業電腦管理所面臨的資安問題,提供了多重的防護機制與解方,為受限的 OT 環境建構一套完善的資料守護盾,保障企業在營運持續的前提下,透過設備監控、威脅偵測、關鍵資料、及系統保存和還原,為製造業賦能。
IT 與 OT 的邊界逐漸模糊,資安防禦思維也須精進
在本月份線上技術練功坊,華碩雲端規劃了《工控資安健診,打造 OT 防護罩》主題,邀請架構規劃部的技術經理劉一忠 (Maverick Liu),從過去自身在傳產製造擔任 IT 與 OT 管理的角色與實際維運的經驗,和企業客戶及 IT 管理者分享工控環境的演進,以及面對人為疏失或惡意攻擊時,企業可採取的防禦措施;並且透過線上的實機展示,演示了企業內部發生勒索攻擊的當下,如何進行威脅偵防與復原。Maverick 於分享中提到,傳統 OT 面臨的幾個資料管理痛點,包含了使用者透過不安全的 CIFS 網芳或者帶有資安風險的 USB 裝置進行資料的交換,導致惡意的勒索病毒入侵造成檔案損壞;其次是工業生產線上的機台發生無預警故障,如溫度過高或硬體故障的藍屏現象,生產資料因而毀損;最後是上下游供應鏈廠商間的資料交換,因部分廠商的電腦採用了非正版軟體,造成連鎖性的感染事件。這些事件不僅影響產品生產交期,嚴重者更造成收益損失。據此,Maverick 統合了製造業的三大資安需求:第一,跨廠區的管理與生產設備狀態的監控;第二,遠端的安全設備連線控制、程式更新與電源控制;第三, IT 與 OT 融合之際衍生的資安入侵事件的偵防。三大需求都與 OT 工控環境的營運持續及資料可用性有著緊密的連結。
華碩雲端架構規劃部技術經理劉一忠解說 OT 工控環境下資料保護的作法
華碩雲端助企業打造 IPC 三大工控關鍵應用
華碩雲端提供的工控資安與供應鏈協作解決方案 DataGuard,以 Cloud Native Data Protection 雲原生資料保護為服務核心、ASUS OmniStor 為產品主軸,為高科技及傳統製造業建立工控資料的安全控管機制,從工控資料安全的防護、威脅的停損、營運持續以及資料軌跡實時的監控,滿足 OT 工業電腦管理的三大資安防護需求。由這項 OT 解決方案延伸的 IPC 工控系統資料保護方案,是華碩雲端和國際級合作夥伴共同打造的全方位資料防禦機制,提供以下主要的應用:
威脅防禦:磁碟系統狀態監測、應用程式白名單、檔案異常行為自動偵測與停損
攻擊停損:磁碟系統快照備份、無接觸式備份還原
營運持續:產線資料自動備份及還原
OT 場域資料保衛戰的致勝關鍵
面對工控環境的資安挑戰,我們也訪問到 Maverick,請其針對一些常見的企業痛點,提供企業具體方案與工控管理建議與新思維。
問:從 IT 走向 OT,在資料的防護上有什麼樣不同的考量?
Maverick: IT 與 OT 在資料防護上最大不同的點是,IT 所使用的設備和 OT 有很大的差別,因為在 IT 上的系統規格,包含 RAM、包含 CPU 等,要求都相對高,雖然現在多半使用 Windows-based 的作業系統,但在 OT 的設備上面,沒有辦法附加太多安全保護的軟體,因為在 OT 方面,它所考量的點是可用性、營運不中斷、阻斷任何故障發生的可能,所以沒有辦法在 OT 的系統當中,去附加像防毒軟體或是一些保護的措施;而在 IT 方面,則可以透過防毒軟體進行保護。因此,如何在不仰賴傳統防毒軟體的機制,同時保障 OT 設備的檔案處於安全的防護狀態,是 OT 管理最大的一個考量點。
問:從 OT 的角度,客戶在工控環境如何做好資料的防護?
Maverick:在 OT 工控環境的設備當中,資料有區分兩種,一種是我們講的系統碟,也是所謂的 C 碟,另外一個則是存放生產應用程式,或者 data,我們稱之為 D 碟。針對 C 碟的部分,華碩雲端 DataGuard 解決方案中的 IPC 工控系統資料保護方案,提供了 Data Mirror 的功能;從 SSD 的角度,能把資料做一個 Mirror 的動作,另外也可以搭配備份還原的機制,當遇到系統故障,因為它是某些檔案的毀損,可以透過冷還原的機制,這樣的還原方式來快速覆蓋。
過去的解決方案,透過 USB 進行還原。傳統 USB 的速度只有 480 Mbit/s,還原的時間長,往往從 20 分鐘到半小時起跳,透過專利的的還原機制,我們是以 SSD 的速度,大約在五分鐘左右就可以讓系統還原。如果是一些物理特性,比如硬碟毀損,我們也提供了秒級還原的機制,只要透過遠端操控,即可觸發 controller 進行 switch 的動作,立即讓 C 碟還原回來。針對 D 槽的部分,也就是所謂生產程式以及資料,搭配華碩雲端 IPC 工控系統資料保護方案,當 C 碟復原後,系統重新啟動,作業程式或檔案會透過雲端硬碟進行下載,讓生產程式或者資料能夠快速復原。日常作業,生產程式與資料可以透過自動的即時備份,來為 OT 設備中的資料建立防護的機制。
問:遇到人為疏失或勒索攻擊時,如何快速還原維持營運不中斷?
Maverick:華碩雲端的 DataGuard 產品,從儲存的機制上,把資料區分為 metadata 及 raw data,什麼是 metadata?我們會把檔案的名稱存在資料庫,實質的檔案則會存在 Data Server 當中。一般勒索病毒在攻擊的時候,它會加密檔名,這其實也是針對 metadata 在做攻擊,透過 DataGuard OT 解決方案的機制,平常系統在使用的時候,會自動進行多版本備份,也就是檔案只要有任何的異動,會自動做備份;當勒索攻擊加密檔名時,可以透過多版本備份還原的機制,將被加密的檔案還原回來。另外,針對人為惡意破壞或攻擊,如果發生惡意大量刪除資料或是檔名變更,DataGuard OT 解決方案中,也提供了一個 Windows 小工具「 OmniStor 同步應用程式」,透過將此同步應用程式安裝到各設備端,當遇到惡意破壞與攻擊行為,系統會自動進行偵測與阻斷,並且透過 Omnistor Web 使用者平台上的資源回收桶機制,即可把被刪除的資料復原回來。
結語
華碩雲端 IPC 工控系統資料保護方案,從幾個層次為企業客戶帶來效益,包含:透過自動化的機制,大幅降低傳統監控與維運作業的管理成本;藉由即時性的風險監控與阻斷,防堵資安事件發生;當資安事件發生時,亦能透過秒級的備份與還原,快速協助客戶恢復作業,保障企業生產運作不中斷。