Categories
在工業自動化與智慧製造的浪潮下,OT (Operational Technology) 環境的資安需求日益提升。在過去,OT 區域與 IT 區域的網路相對隔離,使得OT系統在部署和採用,以及設計的階段,主要著重功能可用性與穩定度,對資安威脅的考量較少,甚至很多環境下都沒有可量到資安的威脅。然而,隨著網路資料交換更複雜、更頻繁,OT 環境中的各種 OT 設備也開始連接到更廣泛的網路,加上物聯網裝置、智慧製造監控與分析等設備的導入,一旦在 OT 環境中缺乏適當的保護機制,OT 舊設備、產線的伺服器、工業電腦與機台等等、就可能成為惡意攻擊目標,或成為資安破口,去感染其他 OT 環境中的機器,造成業務停擺與損失。
本文採用 QNAP QGD-1602P 資安網路交換器為例,說明如何以IT和資安人員容易維護的部署方式,在工業電腦環境、產線環境與其他網路做實體區隔的OT區域,建立一個獨立且安全的基礎資安防護環境。
在資安層面,OT 區域有以下特點與挑戰:
- 高可用性需求:設備與系統必須 24 小時不間斷運作,需要避免被攻擊停擺造成的重大損失。
- 專有協定與系統:許多工業通訊協定(如Modbus、PROFINET等)和工控系統較缺乏成熟的資安防護措施。
- 缺乏即時時監控與告警機制:許多工廠網路管理尚停留在傳統架構,缺乏針對異常行為或惡意程式的即時監測與告警機制。
因此,若能在OT區網路層導入具有惡意程式檢測與裝置行為監控能力的交換器,將能強化OT區的防護能力,能夠即時攔截惡意行為,讓威脅自動被隔離在特定網路連接埠或指定的區域、VLAN,確保OT環境中的各系統穩定與安全。
我們實際安裝這款 QNAP QGD-1602P 資安網路交換器在 OT 環境,並連接上其他 2.5G、1G 網路交換器,分析環境中設備的運作情形。
在開機進行系統設定與安裝前,需要先安裝硬碟和SSD到這台設備中,它本身也是一台NAS,所以是 NAS 加上資安網路交換器的雙重功能,優點就是所有資安相關的軟體、記錄檔,你是可以直接放在這一台設備中的 NAS 區域,做記錄檔的彙整,再拋轉給其他的資安日誌收容設備(如 LogMaster 或其他設備、設置 WORM 區域的 QNAP NAS等),以及 SIEM 資安事件管理平台 (如Wazuh等SIEM)。
安裝初始時,你會發現可以透過QNAP Qfinder軟體來查找網路中的這台設備,可以看到它本身是屬於 ADRA Scutity 的產品分類,內建 ADRA 資安功能。
連線到該系統的安裝頁面時,會告訴你可進行智慧型安裝,或選擇其他的韌體版本來安裝,這是因為這一台設備可選擇具備 ADRA 資安功能的韌體,還是標準的 QNAP QTS 作業系統來運作。
以目前這個版本為例,預設可先安裝 QNE ADRA 的版本,同樣能另外手動上傳不同版本韌體進到這台系統中。
如果是QTS系統,也可以選擇安裝的版本。
這是選擇切換到 QNE ADRA 的畫面,選 OK 後就會確認安裝過程並進行。
這台設備可以選擇要用獨立模式運作或雲端管理模式運作,這個在 OT 環境中,選擇獨立模式還是可以連上網的,因此包括更新與示警功能都可以運作,而假設你的OT環境政策,是沒有對外聯網,或者是需要對外更新聯網時才從防火牆端那邊開放上網時斷的政策,通常也是建議選擇獨立模式運作即可。至於雲端管理模式則是方便人員透過雲端來控管,都需要使用 QNAP AMIZ 雲端 Join Key 才可以用,也具備相當的安全機制。
設定完帳號密碼後就可以開始設定安裝使用。
QGD 設備預設的管理介面。
點選 myQNAPcloud 可以看到這台設備的雲端連線機制狀態,如果不想要使用雲端管理模式,你也可以把它切換回獨立模式運作。
設定這類設備時,OT環境中最重要的就是資安告警功能,因此你可以選擇透過電子郵件或SMS、IM、網頁Push服務來獲得系統資安告警通知。
選好通知方式後,可設定通知的規則,建議高風險的威脅事件都要通知,其他中風險、低風險等其他訊息,視情況設定規則通知即可。
設定好告警規則與收件的電子郵件後,就完成這個通知的設定。
具惡意程式檢測與行為監控功能的交換器特色
1. 深度封包檢測(Deep Packet Inspection, DPI)
傳統交換器主要處理L3或L2網路交換,無法針對工業協定或應用層進行深入解析。但具備惡意程式檢測功能的交換器通常內建 DPI 引擎,能針對常見的惡意程式特徵進行比對,QNAP這款產品,是採用內建的ADRA NDR 網路端點資安防護功能,定期去更新資料,就能夠進行下列工作:
- 分析檔案特徵碼(malware signatures)。
- 檢查協定封包是否包含已知弱點或攻擊行為。
DPI 可針對工業專用協定進行偵測,若發現可疑封包或異常資料傳輸,即會觸發告警或進行進階檢測,避免惡意檔案在OT區內橫向擴散。
2. 行為監控與裝置辨識
除了惡意程式檢測外,交換器也可執行行為監控,如:
- 裝置狀態監控:偵測到異常的網路行為(流量突增或突降、封包型態異常等),進行通報。
- 異常登入與使用者權限監控:監測是否出現連續失敗的登入嘗試、或來源IP/使用者帳號異常等,並觸發告警或封鎖。
3. 即時告警與可視覺化
工業網路管理人員常需即時掌握生產環境狀況,因此具有即時告警與可視化資料能力的交換器十分重要:
- 事件即時通知:偵測到惡意程式檔案或異常登入後,立即透過電子郵件、SMS、IM即時通訊軟體或網頁 PUSH 發出通知,讓管理人員能第一時間採取應對措施。
- 可視化儀表板:以圖形化方式顯示裝置間連線狀況、流量趨勢與告警事件,便於快速識別可疑區域。
4. 彈性部署與整合
OT 環境通常架構複雜、且系統停機成本高。具備惡意程式檢測與行為監控功能的交換器若能以下列方式部署或整合,能大幅降低導入門檻:
- 現有系統整合:可相容主流工業通訊協定與老舊設備,盡可能減少對現有網路架構或設備更新的需求。
- 漸進式部署:可先從關鍵節點(如高安全需求裝置前)導入,再逐步擴展到整個工廠。
點開 QGD 系統頁面的資安中心 Security Center後,可以看到你系統目前的資安風險狀態,這是針對設備本身的,不是針對 OT 環境中監控的設備,因此先把這邊的設備風險按照系統的建議值降到最低。
從 QGD 的控制台中,可以選擇將 ADRA NDR 網路端點資安防護功能相關的軟體都更新到最新版本為優先。
而本系列產品最重要的 QNE 資安網路交換器,需要透過這個網路管理員 Network Manager 進行 QNE 交換器的管理,要記住這台設備其實是 NAS和網路交換器所組成的,因此網路交換器它本身有一個自己的作業系統韌體,也是需要更新。
在 QuNetSwitch 的系統畫面中,可以看到不同連接埠連接的燈號,左邊則是網路管理人員熟悉使用的連接埠管理、POE、VLAN等網管網路交換器常見的標準設定功能。
本產品的核心最關鍵功能就是 ADRA NDR 網路端點防護功能,點開這個頁面時,可以選擇威脅分析頁籤,能把目前 OT 環境網路中發生的惡意程式動作、駭客登入等事件做紀錄和說明。如果有系統誤判的正常行為被列出來,也可以將之排除掉,建議審慎分析。
在資安威脅中也可以看到可視覺化的圖表,列出主要威脅的設備IP,以及不同風險在OT網路中的趨勢。
針對 OT 環境中的風險管理,可以選擇將有問題的裝置或設備,繼續監控或將之先隔離,以避免橫向聯繫造成 OT 環境中的網路資安威脅。
在 ADRA NDR 中可以看到列出的設備清單,可以針對它們做不同的動作設定。
在資安威脅分析中,可知到這台 OT 設備的威脅資料。
可視覺化的資料可長期追蹤。
對 OT 區提供的關鍵防護機制
1. 防範惡意軟體的竄改與橫向擴散
由於 OT 區通常對於系統穩定性要求高,若遭受勒索軟體、木馬程式或蠕蟲攻擊,不僅會使生產線癱瘓,更可能導致安全風險與損失。
- 惡意程式攔截:內建惡意程式檢測功能的交換器可在惡意檔案傳送到終端設備前先行攔截,阻止它擴散至整個工廠網路。
- 快速事件回報:可疑檔案或可疑連線被發現時,系統能即時通報管理者,改善應對威脅的處理時間。
2. 防止未經授權或惡意登入
OT 系統內的設備若被駭客登入,後果不堪設想。
- 監控登入行為:透過交換器對流量與封包層的深度觀察,能有效識別異常的登入行為(如不尋常 IP、異常大規模掃描連接埠行為或密碼輸入錯誤過多的嘗試)。
3. 提升整體資安能見度與合規性
導入此類具惡意程式檢測與行為監控功能的交換器,除了能有效強化安全防護,也有助於廠商能夠更符合各種工業資安合規要求(例如IEC 62443)。
- 記錄與稽核功能:交換器可提供完整的流量與告警事件報告,讓管理者與稽核人員能追蹤重要網路活動,這樣在導入 ISO 27001 或進行內部稽核、第三方外部稽核或供應鏈資安稽核檢查等活動時,更能提高和規性。
4. 實際導入建議
釐清關鍵資產與高風險區域
我們通常會先去辨識OT區中的關鍵設備(如產線控制設備、關鍵伺服器)與可能受到外部連線威脅的節點,優先導入或替換高風險位置的交換器,換言之,把傳統交換器替換為QDP-1602P 這樣的設備,就非常實用,在不影響既有設備運作的情況下,增加了對 OT 設備的保護,同時監控流量與行為,進行記錄,對未來資安合規性有幫助,減輕網管人員的負擔。
逐步佈建與驗證
可以先少量部署在生產或測試環境中,觀察其對流量、性能與穩定性的影響;確認監控、偵測與告警功能無誤後,再逐步推廣至整個OT區。
做好日誌管理與告警回應流程
即便擁有先進的惡意程式檢測與行為監控能力,若沒有明確的告警處理流程、以及適當的日誌管理與分析工具,仍無法發揮最大效果。
與 IT 部門協同合作
雖然 OT 與 IT 的訴求不盡相同,如 OT 方面通常是求穩就好,不想要太多系統更新或複雜環境導入,讓OT工作區域被影響,OT絕大部分情況是不容許被停機的。IT則會訴求較即時的更新,使用者端少許的斷線或重開機情形比較能被接受,但OT則不同。
在工業電腦 OT 環境中,傳統交換器多僅扮演資料轉送角色,而現今的資安威脅日益複雜,設備層與網路層若能導入具備惡意程式檢測與裝置行為監控功能的交換器,將能顯著強化對勒索軟體、木馬攻擊、未授權存取等風險的防禦能力。
此類交換器可從最基礎的封包檢測與行為比對著手,結合即時告警與可視覺化資訊,為OT環境提供優於以往的安全保護,是 QNAP QGD這系列產品的優點。
