關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
  4. 營運技術
顯示分類
2025.11.25
標準與框架/營運技術
嵌入式工業安全:網路原生優勢
營運技術 (OT) 網路整合帶來的安全挑戰與傳統架構的極限

營運技術 (OT) 網路不再孤立,工廠、公用事業、交通運輸系統和能源營運商如今已與企業 IT 和雲端平台連接,為提高效率、實現自動化和數據驅動的洞察創造了新的機會。但這種整合也使工業系統面臨網路威脅,這些威脅可能危及安全性、正常運作時間和可靠性。

傳統的 OT 網路通常依賴「氣隙」(Air-Gap)或嚴格的邊界防禦來確保安全,但隨著工業物聯網(IIoT)和遠端存取需求的增加,這種策略已然崩潰。IT/OT 的融合雖然帶來了效率提升,卻也將 IT 網路中常見的威脅路徑引入了原本專注於可用性(Availability)而非機密性(Confidentiality)的 OT 環境。

許多組織透過疊加外部監控來應對這一問題,他們部署了各種設備、SPAN(註) 連接埠和其他附加工具,試圖提高網路可見度和控制力。為降低對網路負載影響,這類解決方案通常只部署在少數幾個網路聚合點,並且只能捕獲一小部分流量。從少數幾個點對流量進行採樣或許可以提供部分可見性,但無法提供完整的網路狀況。每個站點的資產和通訊模式都各不相同,基於有限的數據進行推斷可能會導致危險的假設

 

傳統疊加式(Overlay)安全的固有缺陷與東西向流量盲點

傳統疊加式安全架構(如使用額外的流量探針和感測器)的核心問題,在於其對網路內部活動的感知能力不足。它們大多專注於「南北向」(North-South)流量,即工廠網路與企業網路之間的邊界通訊。

傳統的監控工具部署在工業 DMZ 下方,只能捕捉工廠網路與上層系統之間的南北向流量。它們無法捕捉網路內部的流量,而攻擊者最有可能在這些流量中進行橫向移動、發出惡意指令或篡改控制邏輯。因此,安全團隊需要在對實際發生的大部分情況一無所知的情況下,保護關鍵運作。

這種「東西向」(East-West)流量的可視性盲點,是造成重大 OT 事故的關鍵因素。在一個受妥協的網路中,威脅行為者會利用橫向移動技術,從一個受感染的工作站或低優先級資產,逐步滲透到核心的程序控制元件(如 PLC、HMI)。傳統的安全疊加層在攻擊發生的主要階段—網路內部偵察和傳播——完全無效,形同虛設。此外,疊加設備本身不僅增加了額外的管理複雜性、採購成本(CapEx)和維護成本(OpEx),還在關鍵時刻(如高負載或網路擁堵時)可能因為流量採樣不足而漏報威脅。

 

網路原生(Network-Native)嵌入式安全的範式轉變與技術優勢

思科的網路原生方法標誌著工業網路安全領域的一次重大範式轉變。這種策略將安全防護從網路的「邊緣」和「外部」移到了網路的「核心」和「內部」,使網路基礎設施本身成為了第一個、也是最有效的安全防線。

思科工業物聯網安全高級市場經理 Fabien Maisl 表示:「產業正在向一種不同的模式轉變,這種模式將安全直接嵌入到工業網路架構中。思科正引領這項變革,在其工業交換和路由產品組合中啟用其旗艦產品 Cyber Vision OT 可視性和分段解決方案,甚至在某些型號中免費提供該解決方案。」

思科的網路原生方法不是透過轉送封包,而是直接在已經承載工業流量的交換器和路由器內部進行深度包檢測 (DPI)。在這種模式下,網路本身就成為了感測器。這種架構透過捕捉南北向和東西向通信(註),彌合了可視性差距。它無需單獨的收集網路和專用設備,從而降低了成本。它加快了部署速度,因為安全需求現在可以用於資助網路現代化,而無需網路團隊部署對工業運營幾乎沒有價值的附加監控基礎設施。

網路原生的 DPI 技術具備多項技術優勢:

  1. 全面的資產清單 (Asset Inventory): 由於 DPI 發生在流量傳輸點,它能無間斷地解析所有工業協議,精確地自動識別網路中的每一個資產,包括它們的製造商、型號、韌體版本和運行狀態。這解決了 OT 環境中資產清單不完整或過時的長期問題。

  2. 行為基準線與異常偵測: 通過持續監控東西向通訊,系統能建立工業控制程序(PLC、HMI 之間)的正常行為基準線。任何偏離預期模式的活動,無論是未經授權的程式碼上傳(Code Upload)還是命令傳輸(Command Transmission),都能立即被標記為可疑異常,這對於偵測針對控制邏輯的潛在篡改至關重要。

  3. 零延遲的分段執行: DPI 產生的即時、精確的資產和流量數據,是實施微觀網路分段的基礎。由於安全功能已嵌入交換器,策略執行可以直接在網路硬體層級進行,無需依賴外部防火牆或代理,實現更低延遲和更高的可靠性。

 

網路原生的戰略價值:經濟效益與營運韌性

網路原生嵌入式安全模型帶來的價值遠超單純的資安功能。從戰略和經濟角度來看,它為企業提供了三重優勢:

  • 優化的總體擁有成本 (TCO): 通過消除對大量額外硬體、佈線和獨立管理系統的需求,組織可以顯著減少資本支出(CapEx)和維護的人力成本(OpEx)。安全投資被重新定義為網路現代化的驅動力。

  • 強化的營運韌性與合規性: 完整的東西向可視性,加上精確的微觀分段能力,極大地限制了惡意軟體或攻擊者在網路中的傳播能力,減少了潛在的停機時間,從而保障了營運的連續性與安全性。同時,更精確的監控數據有助於滿足嚴格的監管和合規要求(如 NERC CIP)。

  • 加速部署與擴展: 安全功能的內嵌化簡化了部署流程。對於擁有數百個甚至數千個站點的企業來說,不需要在每個地點部署和整合複雜的附加基礎設施,這使得安全方案的全球化或區域性擴展變得快速且一致。

 

實施與策略:邁向網路原生模型的六大關鍵步驟與變革管理

採用網路原生安全模型,需要組織從戰略和營運層面進行深思熟慮的規劃和變革管理。這是一個將安全需求與網路現代化投資相結合的機會,不僅提高了安全性,也提升了整體網路效率。

嵌入式工業安全評估和實施的後續步驟 工業安全領導者可以採取以下幾個步驟來評估和準備採用網路原生模型:

  1. 評估您目前的網路。找出未管理的交換器、舊設備以及可見性方面的不足。這包括對既有控制系統、網路拓撲圖和資產清單的徹底盤點。
  2. 量化隱性成本。比較疊加層、佈線、設備和人員配備方面的支出,與嵌入式方案可能節省的成本。此步驟旨在提供商業論證,將資安支出轉化為提升網路效率的投資。
  3. 充分利用更新周期。將嵌入式功能融入到計劃好的升級中,以最大限度地減少中斷並降低資本支出。利用網路生命週期管理作為實施新安全能力的機會。
  4. 優先考慮區域劃分。首先進行主要區域之間的宏觀劃分,然後再擴展到區域內的微觀劃分。這是實施縱深防禦的關鍵,確保一旦單一區域受到威脅,影響範圍被嚴格限制。
  5. 規劃安全營運中心 (SOC) 整合。確保監控和執法工作與現有營運和報告流程無縫銜接。OT 產生的高保真警報必須能被 IT SOC 有效接收和處理。
  6. 解決變更管理問題。對營運技術 (OT) 和資訊科技 (IT) 團隊進行培訓,使安全實務既能保障可靠性,又能提供有效保護。這要求 OT 團隊理解網路安全對可用性的積極影響,並促進兩個團隊間的文化和技能融合。

總結而言,網路原生嵌入式安全代表著 OT 網路防禦的未來方向。它將網路基礎設施從被動的傳輸媒介,轉變為智慧的主動感測和執行平臺,為高度整合的現代工業環境提供了全面、經濟且可靠的防禦。

註:

資料來源:https://industrialcyber.co/ot-network-security/embedded-industrial-security-the-network-native-advantage/
 
傳統 OT 安全架構在 IT/OT 融合趨勢下暴露嚴重盲點。本報告深度分析思科 Cyber Vision 如何透過網路原生方法,將深度包檢測(DPI)嵌入工業交換器,實現完整的南北向與東西向流量可視化,全面提升資產清單與網路分段能力,並提出工業領導者評估和實施此轉型架構的六大關鍵步驟及長期戰略考量。