工控
- Advertisment -
組織化分析資安風險 聯網工廠拒當駭客天堂
讀者是否準備向駭客支付數十萬、甚至數百萬美元的贖金來解鎖自己的檔案?根據Malwarebytes Labs在2019年1月23日發表的《State of Malware》資安報告顯示,惡意程式的開發者從2018年下半年已經開始將鎖定的攻擊對象從消費者轉向公司行號,因為從企業收到贖金的機會遠高過個人受害者。企業在過去一年偵測到惡意程式的比率大幅增加,達到79%—而其主要原因是後門、挖礦程式、間諜程式,以及資訊竊盜等程式增加所致。
工控設備迎數位時代喜憂參半
為何會出現這樣的情況?數位時代持續開創新的可能性。企業領袖不斷發掘新的創新機會,但這樣的創新也伴隨許多挑戰。企業領袖面臨其中一項最艱鉅的挑戰,就是網路的安全風險,而這方面需要針對組織架構推動有別於傳統的變革。推動這樣的變革需要對注入新文化以及採行新的商業流程,藉以因應系統以及生命週期方面的複雜難題。
各界正快速採用各種新型邊緣智慧裝置,這些會產生與轉換資料的裝置也促成系統複雜度疾速攀升。這種資料極具價值,因為主管者是根據這些資料做出決策,所以資料越明確與精準其價值就越高。然而要實現這樣的價值,涉及過程極為複雜。需要適合的基礎設施,加上能即時取得與解讀資料,進而讓人員能在時限內做出決策。這樣的需求帶動聯網世界的發展,在工業自動化領域的實現成果就是聯網工廠—各種裝置透過分散式網路相互連結,並藉由即時取得與解讀資料來創造價值。
工業4.0的大趨勢為創新打開了許多機會,而工廠控制系統也變得更敏捷、更精準、且更有效率(圖1)。因應網路攻擊的風險,確保資料的有效性,以及根據資料做出決策,這些關鍵元素都攸關聯網工廠能否獲得有價值的成果。由於發動網路攻擊的動機和資產價值成正比,因此因應風險的任務絕非易事。考量到網路維安的複雜性,以及必須從系統層面應付網路安全風險,為此企業主管紛紛尋求參考解方。
圖1 現今的工控系統面臨資安風險,因此建構安全聯網為首要之務
各國機關制定的新安全標準都列出這方面的指引,其中包括國際自動化學會(ISA)以及美國國家標準技術局(NIST)在內的主管機關。雖然各地區採行不同版本的標準,但這些標準的規範的方向大致相同。不過它們只能解決一部分的複雜問題,其提供的指引規範了如何評估風險,以及應採行哪些方法來因應風險。不過若想要成功實現安全的聯網工廠,還需要對整個組織進行徹底的整頓。
要建構安全聯網工廠,組織必須有能力解讀技術標準以及建立安全基礎設施。解讀相關安全標準,適切地因應網路安全風險,進而規範出相關的安全要求。發展關鍵的安全基礎設施,藉以在產品生命週期全程管理資產,才足以因應持續變遷的威脅環境。在邁入嶄新的聯網時代之際,組織必須由上至下推動商業流程。而這樣的策略將讓產品開發團隊能做出安全方面的取捨,以及擬定產品安全要求,藉以因應系統以及生命週期方面的複雜難題。
保護聯網工廠潛藏挑戰
要在複雜營運技術(OT)環境中維護安全,已經衍生出許多特殊的挑戰,而這些難題往往無法用標準的資訊科技(IT)解決方案加以解決。環境中現存的OT裝置,其資產價值、優先順序,以及限制都和IT環境截然不同。在IT環境中,各界關切的重點都是確保信心;然而對於工廠而言,優先順序最高的通常是資料的可用度。此外,這些安全解決方案未來建置的系統中,將會充斥各種高度受限制的產品,其生命週期大多會超過20年。因此對於工廠資產而言,包括優先順序和相關限制,這些因素需要特殊的技能和流程加以因應,以及研擬出適宜的產品安全要求。然而這些技能與流程往往超出傳統IT組織的能力範疇(圖2)。
圖2 威脅模型分析流程
要推行諸如保護OT環境這樣的系統性措施,首先須辨識出高價值資產、評估這些資產面臨的風險、以及在營運的範疇內針對安全適切取捨。由於面對高度受限的環境以及特殊的營運設計,因此並不是所有安全風險都能在裝置層面成功克服。定義出的系統層級策略能指引專家做出適合的安全取捨。要執行威脅模型分析有許多途徑,但組織必須針對所有新的發展情勢調適出適合的流程。
威脅模型分析的主要目的,是促使人員針對安全取捨進行討論,最終歸納出安全要求和規範。為此,可以根據營運的概念作為基礎,界定出關鍵資產,以及將系統拆分成較小的單元。之後,團隊可以開始運用成熟的方法來找出安全威脅與防禦弱點,以此作為初期的威脅模型。根據這樣的模型,即可建立安全降險措施(Mitigation),以及討論各種取捨作為。由於營運概念應考量整體系統設計,因此所有人都應參與這些取捨的討論。最終,在元件層面尚未排除的安全威脅都必須在較高的層面加以紓解,或視其為可容許的風險。採用標準流程進行威脅模型建構以及風險分析,有助於歸納出適宜的安全要求。
組織著手建構聯網工廠
為因應OT面臨的網路安全威脅,組織必須擬妥策略,進而採取措施建構聯網工廠。想要成功排除網路安全威脅的複雜性,通常都需要進行組織革新。在產品團隊中納編安全專家是邁向正確方向的一步,但光這麼做,組織還不足以掌握下一波工業革命的潮流。組織必須從最高層面著手,在整個企業環境推動與促成文化變革。這意謂著必須由一個中央組織負責網路安全事務,專責執行新流程與程序來因應網路風險、研擬網路安全要求、監視與回應網路安全事件、以及執行產品評估和驗證。
建立產品安全確保計畫,是因應未來網路安全風險的關鍵要務(圖3)。這樣的計畫可確保開發團隊真正瞭解網路安全風險、必須保護的關鍵資產,以及提升營運績效所需的安全功能。此外還須備妥支援這類計畫的人員與程序,確保產品生命週期全程都能應付網路安全,以及建立有復原能力的基礎設施,進而快速回應新浮現的網路安全威脅與事件。
圖3 產品安全風險管理框架
組織未來在因應新浮現的網路安全要求之際,必須展現感知能力,以及札根於組織文化,並透過標準流程與程序展現出適當作為。在過渡到聯網工廠的過程中,最困難的部分就是組織因應網路安全風險的工作。所有企業都必須回應這項挑戰,能夠推動文化革新的企業,將能掌握當前最重要的大趨勢。
有業者如亞德諾半導體(ADI)籌組了一個中央安全小組,負責在整個組織建立安全文化,藉此因應持續變遷的安全環境。透過公布施行安全程序,並整合到新產品開發流程,這樣的工作是整個組織建立安全文化的關鍵步驟。如此即可確保所有新產品皆針對安全需求進行評估,而且安全方針也納入研發計畫。安全方針旨在確保各項安全要求足以保護關鍵資產,並納入整合的系統設計中。此外,由於安全向來都是適當取捨,因此像ADI的安全作為都經過各大客戶的驗證,而這些客戶廠商經營的業務就是負責維護聯網工廠的安全,而和這些客戶聯手驗證安全作為,可進而確保相關的安全取捨能夠在營運環境中實行。
在運用制度化方法建立安全文化方面,業者的網路安全事件回應團隊會負責評估新浮現的安全威脅、回應客戶遭遇的網路安全事件、評估產品衝擊,以及執行產品安全更新。要管理數量龐大的產品,長遠下來將涉及極可觀的工作量。因此需要適當規畫以促成永續經營,以及管理業者旗下所有產品線的安全解決方案。系統整合廠商往往會尋求其供應商協助解決各種安全挑戰以及降低生命週期成本,新產品挑選標準有助於促成更緊密的合作關係,協助控管聯網工廠的總成本,如ADI便致力提供長期解決方案,針對各種新系統設計帶來較佳的整體價值。
回頭看首段假設案例,倘若眼前的抉擇是組織停擺或接受風險,那麼任何時間都應優先選擇讓組織停擺,而支付贖金則將成為次要的選項。
(本文作者為ADI工業解決方案系統經理)
Advanced Energy新靜電感測器實現工控設備準確量測
Advanced Energy日前宣布推出新的TrekModel 875靜電感測器。
Model 875靜電感測器與市場上出售的其他靜電感測器不同,Model 875可以在不觸碰受測產品的情況下監測其靜電電壓,而且測量的準確性不受距離長短的影響(在規格允許範圍內)。由於Model 875有這些獨特優點,因此可以在整個不斷移動的生產過程中監測其中產生的靜電,例如許多產品如半導體、平板顯示器、紡織品、產品包裝、電子照相設備、藥物和電子設備,都在生產過程中不斷產生和累積靜電,以至會干擾生產過程或對生產中的產品造成嚴重損害。
Advanced Energy的Trek產品部總經理Elisabeth Pederson表示:靜電電荷較難測出。Advanced Energy利用公司原有的靜電電壓量測儀的先進「Field Nulling」技術,並在這個基礎之上成功開發Trek Model 875,進一步完善靜電測量技術。客戶一直知道生產過程中會不斷產生和累積有害的靜電,他們會採用不同的方法試圖消減靜電的積累。Model 875可以不斷監測整個生產過程,即時測量累積的靜電數量,讓客戶可以迅速採取行動,大幅減少現場故障和避免生產流程出現問題。
敏博新工控TLC SSD助攻Edge AI/5G應用
敏博(MEMXPRO)在工控TLC儲存乘勝追擊,於2020年德國紐倫堡嵌入式電腦展推出新一代擁有一萬次抹寫週期的PT31系列SATA3與四萬次抹寫週期的PC32系列PCIe Gen3 x4固態硬碟產品。PT31與PC32系列兼具耐用性、壽命長,以及連續高檔讀寫不降速的優勢,在Edge AI與5G應用上,提供穩定的儲存解決方案,滿足資料寫入密集與讀寫混合使用的工作負載需求。
這兩款新產品系列在韌體優化下,擺脫傳統TLC共性的掣肘,適用於對持續穩定讀寫效能有高度要求的工控儲存應用,包括持續擷取資料的Edge AI平台運算、安防交通影像監控,以及5G潮流下智慧物聯網儲存裝置的建構與部署。
敏博新推出的PT31 SATA SSD採用美光原廠工控專用一萬次抹寫週期的3D TLC B17A,PT31系列使用慧榮SM2259主控制器,支援Direct TLC模式不降速,持續MLC同級的讀寫速度,容量從64GB到2TB,循序讀寫最高可達每秒560/525MB,報價與三千次抹寫TLC SSD價格相近,首先推出2.5吋SSD,其他嵌入式尺寸陸續到位。PC32 PCIe Gen3x4系列則採用美光原廠工控專用一萬次抹寫週期的3D TLC B17A與慧榮SM2262EN主控制器,首推M.2 2280 SSD,容量從80GB到 320G,支援Pure SLC模式,擁有四萬次抹寫週期,循序讀寫最高可達每秒3250/2980MB。
驅動技術/物聯方案雙管齊下 光寶力拓工控市場版圖
工業4.0熱潮持續升溫,為擴展工控市場版圖,並提升競爭優勢,光寶科技未來將聚焦驅動控制技術,2019年除將陸續發布變頻器、伺服器、運動控制器等新品外,也將透過工業物聯網(IIoT)解決方案,協助製造業者順利走向轉型「智慧智造」的第一哩路。
光寶科技工業自動化事業部總經理鄭智峰表示,光寶於2014年成立工業自動化事業部門,在過去五年的時間裡,該公司已經形成變頻器、伺服系統、人機介面(HMI)和運動控制器在內的一系列相對完善的自動化產品體系。而面對競爭激烈的工業自動化市場,該公司有一定的電源和驅動技術經驗,同時也有許多工廠可進行自動化產品的先行驗證和測試;這些都是光寶科技的基礎優勢,而未來該公司聚焦驅動控制技術,投入更多資源於驅動控制產品開發,提升其性能及功能,藉此提升競爭優勢。
像是光寶科技近日便發布全新ISA-7X伺服系統,整套系統包括伺服驅動器、伺服馬達、電纜及相關配件,功率範圍從100W至2kW,産品功能齊全,性能優異,可滿足包裝、3C、紡織機械等不同產業應用需求。
據悉,ISA-7X伺服系統之濾波功能能抑制機械振動,其內建的ISA-Pro調試軟體,可讓參數設置及調試更加便捷,方便使用;且速度頻響能達到1kHz,滿足高響應要求,並支持最高4MHz差分脈衝輸入、Modbus總線通訊編碼器分辨率高達20位,實現高精度定位。
至於安裝後的維護,因ISA-7X可耐受較寬的電壓輸入範圍,適應電壓波動較大的環境,ISA-Pro軟體並可監控與蒐集資訊,便於故障排除;系統並內建MSC功能丶制動電阻及電子凸輪功能,不需要專業運動控制器及額外的制動電阻,讓中小型企業能夠節省成本。
另一方面,光寶科技除了將陸續推出變頻器、伺服驅動器、伺服馬達、可程式控制器、HMI等工控產品搶攻市場商機之外,為協助製造業者能順利跨進「智慧智造」,也於今年推出基於硬體產品和軟體服務的整套IIoT解決方案。
光寶指出,此一IIoT解決方案不光只是提供軟硬體產品,更多的還是「服務」製造業者踏入「智造」領域;也就是提供整體的規畫,從機台聯網到數據採集、數據呈現及數據分析等。換言之,透過IIoT方案的協助,製造業者可以更清楚的瞭解其生產過程所產生出來的數據及資料如何為他所用。
鄭智峰說明,企業經營不再只是一場有限賽局,像籃球賽或棋局,競爭對手、遊戲規則、勝負結果一目了然。如今企業經營已轉變為『無限賽局(The Infinite Game),也就是所面對的挑戰沒有終點,企業須具備長期持續參賽的資格,才是經營之道;而光寶將聚焦驅動控制技術、IIoT方案,並以靈活彈性的營運策略,布局全球工控市場,迎接無限賽局的挑戰。
也因此,除了持續提供軟硬體新品和服務之外,光寶科技也致力打造更完善的經銷商體制。光寶科技全球經銷商管理暨業務資深處長陳子健舉例,當客戶機台出貨至海外,電控零件發生故障情況時,多數業者均無法提供當地的即時支援服務,而光寶透過完善之經銷商體制,不僅能提供即時服務,也在機台出貨前,就提供終端使用者完整的諮詢服務,做到預防管理,目前該公司全球經銷商據點已涵蓋全球美、歐、亞、非四大洲。