資安
- Advertisment -
意法推首款低功耗IoT微控制器護資安
意法半導體(ST)日前推出以安全為亮點的STM32L5x2系列低功耗微控制器(Microcontroller, MCU),為物聯網連接應用提供更好的安全保障。
Arm汽車和物聯網業務線資深總監Thomas Ensergueix表示,隨著物聯網和嵌入式裝置不斷提升其智慧和功能,安全性必須從頭開始構建。STM32L5系列讓開發者可以更輕鬆地開發採用Arm Cortex-M33處理器的PSA認證可信賴裝置,為研發消費性、工業級等各種裝置提供一個可靠安全的平台。
STM32L5系列MCU的工作時脈高達110MHz,其內建Arm TrustZone硬體安全技術的Arm Cortex-M33 32位元RISC處理器内核心。初次為桌上型電腦、行動裝置和通訊基礎建設等裝置開發設計,加入可信賴運算技術,能夠驗證聯網裝置的合法性,為資料保護功能和敏感程式碼(加密模組和密鑰儲存)打造一個受保護的執行環境,以阻止任何企圖破壞裝置或軟體的行為;不受信賴程式碼則在另一個獨立環境下執行。
在此基礎上,意法半導體增加可以針對每個I/O腳位、外部周邊、快閃記憶體或SRAM記憶體區塊,放入或是移出TrustZone隔離保護區的功能,將敏感的工作任務完全隔離,並最大限度地提升裝置的安全性。此外,意法半導體提供之TrustZone還支援安全啟動、內部SRAM和快閃記憶體專用讀寫保護,以及加密演算法加速技術,包括AES 128/256位元密鑰硬體加速和公鑰加速(Public Key Acceleration, PKA),以及保護外存程式碼或數據的AES-128即時解密(On-The-Fly Decryption, OTFDEC)。STM32L5另外支援主動竄改偵測和安全韌體安装。因為如此關注安全性,STM32L5已通過PSA 2級認證。
意法揭2020十大科技新趨勢
2020年CES展已在上個月圓滿落幕,消費電子展不僅展現大量的創新概念和原型設計,亦是一個可以探索創新動力,以及引領未來科技的發展方向。意法半導體(ST)表示,2020是一個新十年的開始,對於未來十年改變人類生活的產品來說,2020年將是影響深遠的一年,因此分享未來十大新趨勢。
首先為現實世界中的預測性維護應用,過去十年見證預測性維護興起。因為機器學習的出現,預測性維護能夠預測故障並建議更好的維護計畫。不過,2020年對於預測性維護應該是具有象徵意義的一年,因為開發預測性維護解決方案將變得越來越容易。例如,工程師可以買到開發板,幾分鐘後就可以開始編寫配套應用,而無需擔心雲端安全問題、伺服器農場或運算傳輸量。關於預測性維護,製造業者不再只是考慮,而是在積極地實現。
至於邊緣機器學習,過去十年,機器學習需要大型的伺服器、複雜的模型,還有罕見的專業團隊,其需要投入大量的時間和資源。如今,機器學習可以放入動作感測器中,而且該公司將會在邊緣裝置中看到更多的智慧功能。邊緣運算永遠不會取代雲端運算,但可以快速完善雲端運算的功能。透過在感測器內創建決策系統,工程師可以優化資源,節省大量能源和時間。
而談到數據科學,缺乏數據和缺少數據科學家是阻止機器學習應用的主要障礙之一。建立神經網路需要乾淨、準確和巨量資料,這意味著始機器學習普及的前提是需要大量可自由使用的資料。然而,意法半導體的合作廠商,如Cartesiam,正進而從另一個角度解決此問題,使用一種能夠在同一嵌入式系統上執行訓練和推理運算的系統來代替資料科學家。
隨著Sub-G網路的普及以及5G到來,嵌入式裝置連線互聯網變得越來越容易。人們將會看到更多的基礎建設,以及更好用、更便宜的聯網方案。現在開發這些解決方案變得更加實際,而且不需花費太多成本。即使是新創公司也計畫使用LoRa、Sigfox或其他的Sub-G網路。因此2020年意法半導體推出STM32WL以因應此一趨勢。
至於資料安全要求將更加嚴格,過去曾有評論家表示IoT為「威脅之網」(Internet of Threats)。但在走完一段長遠路程後,企業更加明白保護嵌入式系統、資料資訊及更新機制的重要性。隨著消費者提出更嚴格的網路攻擊防護需求,意法半導體預計企業將會更加地保護產品的資料安全。幾年前,資料外洩只是一種幾乎無間接負面影響的教育學習,當今,此為一場公關噩夢,可能危害公司利益,甚至危及生命安全,而STM32Trust正是ST提供合作夥伴保護嵌入式系統的方法之一。
另一方面,區塊鏈是過去十年出現之具有重大意義的熱門技術之一。不過,企業現在開始意識到,這些系統的用途遠不止於貨幣。透過IOTA和X-CUBE-IOTA1等專案,ST看到整個科技界都在利用分散式帳本技術來促進機器間的通訊,尤其是IoT節點間的通訊。目前該專案本身進展順利,2020年資訊傳播方式可能會發生變化。
在很長的一段時間裡,嵌入式系統是有幾個按鈕的黑盒子,如今,變成征服新產業和新應用的人機互動式系統。這也導致產品的成功對易用性的依賴程度越來越高,開發人員往往需要在圖形化使用者介面上花費很多時間。意法半導體TouchGFX等解決方案的出現讓使用者介面設計相較從前要簡單很多,同時最新的優化設計讓低功耗微控制器(MCU)也能支援60 FPS的動畫,以及多種顏色和細節。
電動汽車的售價越來越便宜,某方面歸功於ST研發的SiC元件。然而,崛起於2019年的更高效、更實用的充電器市場,2020年應會全面爆發。假設電動汽車充電器無處不在,城市街道到處都是充電樁,且家裡安裝也不用花太多的錢,電動汽車續航問題將會成為歷史。正如Enel X於2020年CES中所展示的應用,ST最新IGBT產品有助於創造出更高效的充電系統。
此外,意法半導體與重點大學合作,在未來工程師教育方式上發揮作用。如為了讓學生更快速地掌握控制系統知識,加州大學洛杉磯分校(UCLA)的教授Kaiser示範一個價格適中,而且每個學生都能買得起的旋轉倒立擺實驗平台。ST亦展示如何用透過無人機套件幫助學生瞭解嵌入式系統。隨著教育工作者為未來十年的熱點應用培養人才, 2020年將繼續上演大規模的教育學術創新。
回顧過去十年,嵌入式系統真正觸及人們的生活。從監測心率的智慧手錶,到追蹤運動量的健身手環,再到看護銀髮族的跌倒偵測器,嵌入式技術為人們帶來實質益處。2020年應該會讓此一趨勢崛起,未來十年可能提升生活品質。嵌入式電子產品正在從小工具變為對人們生活有深遠影響的智慧產品,而且在機器學習的協助下,人們可以獲得有關如何改善健康、減輕壓力、安全駕駛,以及如何用心交流的資訊和建議。2020年將提煉我們從過去十年學到的知識經驗,並開始應用,使其更有意義。
伊頓電源管理三策略布局企業轉型2.0
全球環保意識的抬頭,使國際大廠陸續要求供應鏈需供應100%綠電;台灣再生能源發展條例即將上路,都充分證明能源與電力轉型迫在眉睫。與此同時,5G的發展驅動著企業數位轉型邁向2.0時代,而安全穩定的電力儼然成為企業成功邁向數位轉型2.0基石,為此伊頓提出三大電源管理策略,協助企業達到成本、環保、穩定效能等三局面。
伊頓台灣區總經理宮鴻華表示,面對全球瞬息萬變的產業趨勢,思維的升級是企業轉型的關鍵要點,而轉型思維則應從企業的全方面需求著手,包括最基本但也最易被忽略的電力需求。展望2020,伊頓提出三大電源管理策略—成本資產化、資安落地化、用電靈活化,以協助企業因應新能源世代。
為了協助企業更能有效運用既有資產,伊頓推出兼顧儲能與系統效能升級的UPS解決方案,讓UPS成為設備與電網的雙向溝通管道,最大化能源效益,有效進行智慧電力管理,同時讓企業省去建置儲能系統的額外資本。
資訊安全成為伊頓在提供電源管理解決方案時的一大要點,不僅在美國及印度成立伊頓資安研發中心,伊頓的不斷電系統更為全球第一家同時通過UL 2900-2-2和IEC 62443國際資安標準,幫助企業在建置工廠設備時,同時將資安落地化。
為滿足客戶需求,該公司推出Eaton Connected,將不斷電系統與低壓配電盤系統整合,提供同一廠牌的一體化設計,並減少安裝、操作、維護的複雜性,以提供高達100kA的解決方案。這個同時結合不斷電性統的可靠性及配電系統安全性的整合設計,可協助企業更彈性調整其用電管理策略。
Wi-SUN支援IPv6 提升物聯網應用互通/安全性
在物聯網時代要實現一物一位址,萬物皆上網,才能使得每個連接互聯網的設備都可通過自己的IP位址識別,保持網路互聯互通性,進行任何形式之雙向連線。Wi-SUN技術支援IPv6協議能有效統一訊息,實現雙向互動功能,同時支援基於IP的設備身分驗證與加密通訊的安全技術,有效解決每一聯網設備都是資安洩漏節點的問題。
濎通科技總經理李信賢博士表示濎通科技研發團隊經過多年研發積累,完全掌握Wi-SUN技術特點。Wi-SUN產品線VC7300系列已通過Wi-SUN FAN認證,符合802.15.4g與IPv6標準、具備AES256加密功能,主要技術突破在於可長距離傳輸且具備嚴密的資訊安全防護機制,訊息絕不外洩。
在物聯網中採用IP技術需要大量的IP位址資源,歐洲網路協調中心(RIPE NCC)在2019年11月26日發布訊息公告IPv4全球所有43億個地址已全部分配完畢。IPv6(Internet Protocol version 6)是取而代之的下一代互聯網協定,IPv6能夠提供足夠的位址資源,滿足點到點的通訊和管理需求,同時提供位址自動配置功能和移動性管理機制,同時可識別網路上的設備,方便網路管理者隨時找到它們,便於部署節點。
由Wi-SUN(Wireless Smart Ubiquitous Network)聯盟主導的Wi-SUN FAN認證支援IPv6協議。IPv6像是每一聯網設備的網路身分證,具備IP節點與大型網狀網路等特質,這項技術相當適合物聯網應用,其點到點(P2P)IP基礎架構充分運用逾30年的IP技術開發經驗,促進開放標準與互通性。
過去ZigBee、藍牙得透過應用層閘道才能連接至網路,但應用層閘道不支援新應用,且不同的應用層閘道無法互通;而IPv6透過網路層連接網路,網路層閘道只要端點與雲端互相識別、互動,即可讓新舊應用或不同應用共享一個網路基礎。
此外,安全性對物聯網非常重要,也是一大難題,在物聯網的應用中,當所有的設備都連結到網路上時,網路中傳輸資料的機密性、完整性與可用性容易受到駭客威脅。由於物聯網節點眾多,且許多節點的功能也有限,容易遭受外部攻擊。
因此,物聯網需要絕佳資安方案,Wi-SUN FAN運用IEEE 802.15.4的強大AES(Advanced Encryption Standard)連結層安全功能,由連結層提供封包加密,並且運用IETF EAP-TLS做入網認證,及以IEEE 802.11i做密鑰管理,提升網路安全性。Wi-SUN技術的特性即是對IPv6與相關網路安全特性的支援,如入侵偵測、流量塑形、網路分析和滲透測試等,這使得Wi-SUN技術能夠更有效地抵禦拒絕服務(Denial-of-Service, DoS)攻擊。
濎通科技主要提供符合Wi-SUN FAN認證的解決方案,目前已在濎通科技辦公區域部署超過1000個節點的網狀網路,並成功展示非常短的組網時間、自適應能力、穩健數據收集和可靠遠程韌體升級;濎通科技另有融合雙模自動組網(Mesh)方案,其特點在於同時支持無線通訊(RF)與電力線通訊(PLC)兩種傳輸方式,符合Wi-SUN通訊標準,具有低功耗,廣覆蓋,自動網狀網路組網、無縫自動互補連接等特性。
顛覆智慧生活體驗 NTT放眼數位新氣象
技術服務供應商NTT日前舉辦智慧城市發展暨2020科技展望媒體座談會,會中除預測2020年關鍵科技趨勢、分享國內外的智慧數位化合作案例外,亦勾勒智慧生活藍圖,迎接新商業模式。
NTT台灣執行長廖宇解說未來科技趨勢與新商業模式。
NTT台灣執行長廖宇表示,數位時代的企業策略為經營(Run)、改變(Change)及重塑(Reinvent),如何轉型並將價值傳遞給客戶為關鍵。該公司透過整合國際線路一步到位,與全球優秀廠商合作共享相同公平完整技術架構,並透過同步即時認證服務整合。
NTT發表2020科技趨勢預測報告,提及十項技術將在2020年融合,聚焦於智慧城市與物聯網,將對城市建設、工作場域及企業產生影響,創造實體數位化(Phygital)虛擬環境體驗。在此前提下,如何將資料分析應用、整併及保全資料安全至關重要。如判斷資訊真偽、駭客入侵等情況,如何搜集其資訊及時程,透過AI資料分析行蹤設備軟體及資料分析應用,與智慧解決方案息息相關。
至於該公司智慧數位化於全球的實踐,以數位化環法自行車賽為例,將車上的感測器即時上傳至資料中心分析。智慧城市應用則以賭城為例,將酒瓶、刀、槍進行智慧分析,並將相關道路通報警方支援,透過影像回看犯罪路線,試圖防範事件發生而非於其後才補救。針對棒球觀賽體驗變革,整合4K技術以手機連線轉播賽事,分析選手表現並預估其未來表現。此外,NTT將擔任2020年東京奧運技術夥伴,運用5G技術創新應用。
智慧數位化來到在地實踐則結合在地科技,NTT日前已與桃園市政府及航空城簽訂合作意向書,並協助桃園棒球場轉型為數位智慧球場,且於中華職棒賽事已展示AR虛擬互動表演。另一方面,該公司協助桃園機場智慧化,開發新行動應用程式以改善服務體驗。
會中亦介紹數位世界新商業模式。該公司欲實踐的ICT基礎設施服務包括依據客戶需求執行的智慧企業(Intelligent Business)、智慧工作場所(Intelligent Workplace)、智慧基礎設施(Intelligent Infrastructure),以及智慧網際安全(Intelligent Cybersecurity)等四領域應用。
英飛凌聯手各界強化聯網及ICT安全防護機制
聯網機器與ICT系統尤其需要強大安全防護機制,並且在其長期使用週期中維持高度安全性。面對長期的承受攻擊意味著必須透過更新機制維持最先進的防護狀態。歐洲ALESSIO聯合專案的目標旨在研究和評估此種可更新的安全機制,專案成員於自動化產業的主要貿易展SPS的VDMA論壇中展示其研究結果。
在英飛凌(Infineon)領導下,佛朗霍夫應用及整合安全研究院(AISEC)、Giesecke+Devrient Mobile Security、西門子(Siemens)、慕尼黑工業大學(TUM)及WIBU-SYSTEMS等公司,自2016年以來持續針對聯網運算應用及嵌入式系統,開發晶片式解決方案與原型。ALESSIO獲得德國聯邦教育與研究部(BMBF)約390萬歐元的資助,並計畫於2019年12月31日結束。
每個新聯網裝置都是潛在的網路攻擊閘道。敏感的公司資料與資訊可能會被擷取並遭到惡意使用,以進一步攻擊。因此裝置上任何攸關安全的重要資訊,都必須倚賴軟硬體的雙重防護,才能獲得可靠的保障。雖然軟體仍可透過後續修改,硬體或安全晶片一旦整合,就能受到防止被遠端操控的保護。安全晶片可比擬為保護嚴密的區域,在其中,資料及安全相關資訊會與軟體分開存放。儘管如此,安全區域本身仍必須有更新的方法,因為攻擊手段會隨著時間日新月異。
ALESSIO專案成員展示兩種不同技術方法實現可更新的安全解決方案,包括使用具有可更新軟體的晶片式安全元件,以及實作於稱為FPGA可程式邏輯裝置的可更新安全元件,其中的硬體元件可在運作期間安全更新。上述兩種方法皆可長期有效地管理並確保ICT網路與安全相關資料的安全。
晶心科技與Secure-IC策略聯盟加強網路安全
晶心科技日前宣布與Secure-IC建立合作夥伴關係,共同推出安全、高效能的處理器。Andes RISC-V處理器整合Secure-IC的Cyber Escort Unit,針對物理性和網路攻擊,包括緩衝區溢出、錯誤注入攻擊、跨越或取代指令等提供保護,並符合安全評估共通準則(Common Criteria)的高安全等級(EAL)認證與PP0084保護描繪(Protection Profile)認證。此外,該解決方案與DARPA推出的硬/韌體系統安全集成(SSITH)程序亦一致。
隨著連線設備普及,攻擊者破壞性越來越強,為網路安全帶來巨大跳戰。晶心科技技術長暨執行副總經理蘇泓萌博士表示,樂見與Secure-IC合作提供網路安全解決方案,幫助客戶設計強韌的物聯網SoC。藉Secure-IC的Cyber Escort Unit整合平台、FPGA原型就緒解決方案與Andes RISC-V處理器,讓SoC設計人員容易防止外部攻擊。Secure-IC執行長Hassan Triqui亦表示很高興能整合解決方案與處理器,為客戶提供安全、高效能的處理器,保護系統安全免受資安威脅。
整合平台透過逐步護送程序,即時降低零日攻擊頻率,填補軟體網路安全和硬體間的資安漏洞,安全實現高效能需求。此產品為硬體網路安全奠定基礎,成為市場上結合檢測與欺騙網路攻擊的解決方案,具確定時間性,適合即時性及關鍵任務應用(如汽車安全性要求),也適用於檢測網路實體系統上來自物理改變或網路攻擊的問題。
羅德史瓦茲2019年度科技論壇圓滿落幕
全球行動通訊技術在短短十多年間快速演進,當4G逐漸遍及全球的同時,新一波的5G浪潮早在數年前已蘊釀而生,透過新的頻寬開發及延展,未來的5G世代將引領人們迎向一個更快速、更便利的世界。因此,在5G正式商轉前,電信營運商、晶片製造商及行動裝置廠商皆積極投入大量資源搶先布局。
羅德史瓦茲(R&S)於11月12、13兩日分別在台北美福飯店及新竹國賓飯店舉辦年度科技論壇:2019 R&S Technology Week in Taiwan。羅德史瓦茲邀請到財團法人電信研究中心副執行長林炫佑、工研院資訊與通訊研究所副所長丁邦安以及台灣諾基亞(Nokia)技術總監陳銘邦等三位重量級講師帶來主題演講,內容涵括5G特性與垂直應用、各項創新應用與外部資源連線帶來的資安風險挑戰、5G基地台白牌化之龐大商機及其所面臨的挑戰、各國5G發展現況簡述、5G網路布建及相關技術發展時程介紹。
此外,羅德史瓦茲同時也請來R&S德國總公司技術專家,針對5G技術發展及量測方案提供完整介紹,內容涵蓋毫米波暨OTA、兆赫茲(THz)、5G NR等最新技術及標準規範;並規畫解決方案展示區,包括5G行動通訊多功能模擬基站、自動化測試解決方案、5G與後5G寬頻量測、物聯網無線技術解決方案及5G FR1 MIMO量之應用等主題。
本次R&S年度科技論壇與會來賓遍及電信系統營運商、行動通訊裝置製造商、產品研發技術人員、學術研究單位等不同領域;羅德史瓦茲也期望持續與各產業緊密合作,在即將到來的5G世代中創造無限可能性。
數位轉型需求帶來的資安新挑戰
傳統 IT 資安措施力有未逮
資訊安全的框架,若講到連網裝置,不外乎五個構面:裝置確認 (Identify)、裝置保護(Protect)、事件偵測 (Detect)、事件回應 (Respond)、修復彌補 (Recover)。透過這樣的框架,企業在這一層一層的交錯防護網裡面,即使無法百毒不侵,也能將資安事件的衝擊降到最低。然而,面對越來越多非傳統的連網裝置,這樣的框架在實際執行上,越來越不像字面上看來這麼容易。當裝置無法部署安全軟體,甚至無法被確認,後置的偵測、事件回應與修補,顯然都斷了鏈。
NIST網路安全核心框架,資料來源:NIST
巨大的損失竟來自不起眼的裝置
2019年六月,一份來自美國太空總署 (NASA) 的內部調查報告,為業界敲響了一聲警鐘。NASA下屬的火箭推進實驗室 (JPL),確認遭到駭客攻擊,與火星計劃相關的資料 中,有一筆500MB內含23個重要文檔,已確認落入駭客手中。調查報告明確顯示這是一個標準的 APT 攻擊案例,跟其他案例相似之處在於本案目標明確,滲透潛伏期也夠長。另一方面,引起資安人員注意的,則是這個攻擊的發動起點是一個名為樹莓派 (Raspberry Pi) 的開發裝置。
「我們無法禁止研發工程師使用樹莓派並接入公司網路,因為這是現今科技產品開發的常態。然而我無法知道這個裝置何時上線,現今也沒有相對應的標準套件可以安裝在樹莓派上面來確保資訊安全,這才是我們的恐懼。」類似的訪談對話重複出現,也讓趨勢科技的資安團隊開始思考一個根本性的問題 – 有沒有可能取最大公約數,在現今的企業環境中,用標準化的方式來保護樹莓派這個被廣泛使用的裝置?如此一來,樹莓派的存在,不再成為企業資安框架的破口,讓研發人員以及網管人員,都可以欣然接受樹莓派作為開發工具的便利,同時不失其安全。
各種介面一應俱全的樹莓派 資料來源:RaspberryPi.org
趨勢科技成為市場先行者
順從市場的需求,趨勢科技將其物聯網安全套件中的主要功能,如入侵防禦 (IPS)和白名單管理等等,整合為標準化的樹莓派安全套件,同時也開發了一套簡易的應用程式,幫助網管人員找出企業網路中的樹莓派裝置。深入市場兩年,趨勢科技不僅保護了許多企業中的非傳統裝置,更發現許多大型企業開始大量部署樹莓派裝置,為企業內部提供特規的網路服務。為加速數位轉型的腳步,企業的研發團隊無不枕戈待旦、追求新技術與新應用,而負責資安的您,面對多平台、多設備的複雜環境所帶來的資安挑戰,自然責無旁貸!
IoT設備資安事件資訊看板示意圖,資料來源: 趨勢科技
作為資安人,您是否理解物聯網裝置在企業內部的安全狀態呢?不如先從這個問題問起:駭進 NASA 的樹莓派,您的企業中有多少個?
整合企業內部/串聯產業供需 資安防護IT/OT齊動員
企業應由上而下落實資安防護,發展智慧資安。若有成熟的資安事件應變能力、資安人才團隊,並結合AI邁向智慧資安,企業將能夠更穩健地推動數位轉型,保護數位資產。為幫助產業加強資安防護、落實整合資安供需,除了企業內部須戮力同心,整個產業鏈更需要統一的資安標準,讓各個崗位在資安這漫長的耐力賽中有方向可以依循。
工業資安保衛戰 IT/OT各司其職
資安是企業裡每一個人的責任,除了IT部門,OT部門也不能置身事外。IBM全球安全營運中心副合夥人黃勵孟(圖1)表示,針對工業資安防護,有三項要點,首先應注意的是資安事件管理平台(Security Information Event Management, SIEM)與威脅獵捕(Threat Hunting)能夠相輔相成;另外,OT和IT的資安防護可以在資安監控中心(SOC)裡融合;並應定期增進SOC的能力。
圖1 IBM全球安全營運中心副合夥人黃勵孟表示,資安危機瞬息萬變,須有完善資安系統才能保護企業資訊。
台灣有非常多智慧財(IP)的廠商,因此資安防護也就更顯重要。黃勵孟進一步說明,資安威脅有80%是已知的,然而未知的20%卻能夠造成80%的傷害。威脅獵捕是歷史數據的分析,廠商可以透過這樣的技術,看出哪些行為是異常的,藉此增強SOC的能力。威脅獵捕讓SOC具備主動出擊的能力,在獵捕後可以進行分析,之後再分享給企業的其他團隊進行反應與處理。但要注意的是,威脅獵捕並不能取代SIEM功能,SIEM是即時的反應回饋,而威脅獵捕則是收集大數據的歷史數據進行分析與追蹤(圖2)。
圖2 威脅獵捕與SIEM功能比較表。
資料來源:IBM
資安威脅是瞬息萬變的,必須與時俱進。黃勵孟指出,不能依賴單一產品處理資安危機,應有健全的系統,才能防堵惡意威脅。除了IT部門,OT部門也要納入資安防護體系之中。IT和OT部門最大的差異在於文化,IT通常十分動態,習慣不斷變化的工作環境;OT則相對安定,OT部門的設備年齡動輒十年,就算有使用補丁也不會想要大幅度的變動。然而既有的系統未更新、未加密、使用第三方廠商的產品等都是資安漏洞可能的藏身之處。
OT和IT的資安管理是不同的,OT部門可能正在使用舊的設備與協定,針對OT部門的資安保護黃勵孟說明,須要關注的是設備的輸出,有輸出的地方就會有漏洞,因此就須要進行檢測。OT部門應注重資產的發現(Asset Discovery)、協定的識別/違反(Protocol Identification/Violation)和參數的分析/偏差(Parameter Profiling/Deviation)。資訊安全管理是一條漫長的路,因此必須擬定一個長期的計畫,釐清手上擁有的資源並善加利用。
數位轉型浪潮起 資安保護全面啟動
隨著數位轉型浪潮席捲大大小小的產業,資安同時成為數位化與智慧製造背後的隱憂,面對病毒、惡意程式愈發猖狂,針對智慧製造的資安保護,台灣微軟雲端平台事業部副總經理李啓後(圖3)說明,智慧製造可以分成IT、IoT和OT,要解決資安問題必須從所有層面同時改善,才可能杜絕資安威脅。為協助企業數位轉型,並提供全方位的資安保護。台灣微軟近日宣布結合「雲端SIEM+SOAR」功能的Azure Sentinel正式在台上線。而Azure Sentinel在點線面的觀點,是做面的資安保護,且不會排斥各種不同的資料輸入,所以只要資料能夠輸入的話,該產品就可以納入控管。舉例來說,一個軟體允許Azure Sentinel跟其連繫與控制的話,就可以做端到端(End To End)的資安保護。同時Azure Sentinel具簡單的圖形介面,加上AI的理論後盾,讓所有人員都可以輕鬆的操作。
圖3 台灣微軟雲端平台事業部副總經理李啓後表示,Azure Sentinel透過身份識別管理、數據分析監測、信息保護與威脅預警等各層面,協助企業徹底降低資安威脅。
微軟亞洲首席資安顧問Minoru Hanamura(圖4)表示,Azure Sentinel以Microsoft Security Graph為巨量資料庫,透過機器學習分析每日從微軟產品與服務收集到的數兆筆資安威脅訊號,不僅擁有足以防護、偵測、回應甚至追擊的真正智慧,更可讓企業直接串連現有的跨平台資安方案,匯集組織內所有來自雲端、地端、軟硬體的Log且加以分析、去蕪存菁;並優先推播與企業最相關且急須IT人員關注的重大資安威脅事件,以圖像化的儀表板輔助IT人員操作。
圖4 微軟亞洲首席資安顧問Minoru Hanamura表示,結合AI分析技術,將可協助企業預測資安威脅攻擊並提前預防。
每一個資安產品都有其專長的能力,有的在前端、有的在終端、有的在後端、硬體端、網路層等。Hanamura指出,Azure Sentinel的優勢在於,把所有的Log收集進來之後,可以統一地看到全面端對端的視野,結合這些產品功能同時進行回應。每個產品都有其優勢和擅長的領域,但以企業的資安角度來看,需要全面性的整合服務,Azure Sentinel涵蓋了不同產品,整合所有產品的優勢,在中央串連所有功能進行統一的回應。
資安產品各有所長 跨域整合安全無漏洞
Azure Sentinel不是為了取代原有的資安產品,但是故有的資安產品多數無法提供跨領域的整合服務,網路資安產品就侷限於網路、郵件資安產品就侷限於郵件,雖各有專長,但對企業資安人員來說,必須關注於整個企業全面的資安,透過Azure...