又是業內產業標準,又是上市櫃資安指引,還有客戶要求的資安稽核,製造業該如何化繁為簡達到法規遵循?製造業OT環境不再封閉、遠距外點互連的安全性,該如何導入零信任架構?
近年國內數家製造業接連傳出遭勒索病毒加密攻擊,導致營運停擺數天或機密資料、原始碼外洩等災情,主管機關開始加大對製造業的法規要求,包括上市櫃公司需設置資安長、資安專責人員,且導入資安管理系統及驗證通過者可納入公司治理評鑑指標加分項目。有鑒於製造業對於資安管理制度及雲端資安實務詢問度日增,數聯資安與合作夥伴Cloudflare日前舉辦「製造業資安研討會」,分享製造業資安導入經驗。
以新版ISO 27001為基礎 對齊各項產業標準有豐富製造資安導入經驗的資安管理顧問部經理陳文川指出,現今製造業面臨的資安法規力道已逐漸增強,除了「上市上櫃公司資通安全管控指引」外,有相當多的產業標準對於資安有深入著墨,包括汽車產業的TISAX(可信任資料安全評估交換機制)、SEMI E187(半導體設備資安標準)、ISO 26262(車用電子系統的功能安全規範)等。仔細深入這些規範內容,不難發現跟新版ISO 27001:2022資安管理系統有許多相通之處,因此建議企業以新版ISO 27001為基礎,在擴大到個資保護、資訊服務,接著與各項產業標準對齊,繼續深入是營運持續管理,最後達到資安治理。
陳顧問也提到,新版ISO 27001新增許多控制措施,包括防制資料外洩、雲端資安、組態管理及持續監控等,若企業能及早規劃部署相關工具或服務可達到較好的控管成效,或是能自行設計監控機制來管理。此外,對於已經導入ISO 27001的企業在2025年須完成轉版之前還有一段緩衝期,尚未導入過的企業則會建議在11月1日後直接以新版ISO 27001:2022做驗證。
Cloudflare兼具安全與成本的零信任架構在許多企業歷經駭客攻擊之後,業界開始提倡零信任機制,以避免駭客突破邊界防禦進到企業內網後可以橫向存取、提權、一覽無遺。再加上遠距辦公、混合辦公模式興起,以及製造業跨國多據點的連線需求,如何打造效能與安全兼具並兼顧成本的網路架構,是許多企業正重新思考的議題。
以CDN起家的Cloudflare在全球有285個節點,包括台灣北部與南部也各有節點,處理全球20%的網路流量,Cloudflare Radar服務能看見全球網路威脅。Cloudflare顧問Bryan指出,過去企業要串連多據點之間的連線以及遠端使用者的連線存取,多半是透過拉MPLS專線以及VPN的方式來達成,然而MPLS雖然私密性強但拉線成本高昂且費時,且遠端員工要連上網際網路,需要透過VPN連回總部再由防火牆對外連線,對總部頻寬會造成瓶頸。至於SD-WAN雖說速率還好,價格也不貴,但各據點地端設備部署以及後續維護人員部署都需要費用,也要評估若設備故障需要維護或更換的管理問題。
Cloudflare的零信任網路服務平台Cloudflare One不需要任何額外硬體,透過企業現有網路設備路由器、防火牆直接建通道連上當地節點,4個小時即可完成設定部署。在遠距員工的筆電或行動裝置中安裝代理程式,透過代理程式連到Cloudflare骨幹網路節點再連接到網際網路,公司存取政策設在Cloudflare平台上,單一平台設一套政策對所有用戶,用戶位在哪一城市就連去那裡的節點,既可快速傳輸又符合公司政策。
最後在座談交流時間,Bryan也針對製造業最關心的問題提出解答,「在工廠產線,通常OT與IT網路是獨立切割,若是產線機台設備發生異常,需要設備廠商由外部連線進來處理時,該如何兼顧安全與效率?透過VPN行不通,防火牆開放通訊埠連進來OT環境,又違背資安規範。」對此Bryan表示,首先Cloudflare One零信任平台可支援非企業內部人員零信任連線,裝代理程式或不裝代理程式皆可實現,以私有連線方式呈現在外網,在政策控管下的原點進行連線存取。
此外,企業若有部署跳板機,外部廠商人員可先來跳板機,跳板機後面放特權帳號側錄稽核系統(PSM),所有連線session先側錄下來,可進行分析,外部先連到跳板機再到內部網路。另外,數聯SOC中心也能提供登入後將日誌匯入SOC做分析 。從連線、監測、日誌搜集分析,數聯與Cloudflare可以聯合起來提供製造業各種情境的防護解決方案,讓資安疑難雜症一站式解決。
