多方檢視供應商問題處理能力　工業網路安全層層把關

過去幾年間，工業應用對網路安全的需求不斷攀升。越來越多的工業應用決策者，因而開始正視網路安全的重要性，並採取積極的措施。為此，許多企業紛紛提高網路安全防護投資；前提是，他們必須找到合適的解決方案供應商，以便做出明智的決定。

另一方面，工業網路安全是一個複雜的議題，其中涉及針對工業運作的考量。因此決策者不能僅止於查看產品規格書，或是簡易規格書所列的規格，而是要全面考量不同的關鍵問題，以確保他們能夠選擇合格的解決方案供應商。

本文將針對這些重要問題提供解答，並協助決策者選擇合適的工業網路安全解決方案供應商。

檢視方案供應商工業網路安全問題處理能力

可參考哪些指標選擇擁有成熟工業網路安全解決方案商？

不同產業和應用，對於網路安全各有不同的重要考量因素。由於這類文件通常無法明確區分供應商和使用者，因此以下提及的因素，可同時作為兩者的參考。首先，網路安全不只是一項功能或產品。事實上，這是一個複雜的程序，須在不同階段考量各種不同的因素。在供應商和客戶針對網路安全解決方案進行整合和維護的整個生命週期中，它是建立「人員」、「流程」和「技術」的基礎。

要衡量一家供應商的解決方案是否成熟並不容易，但可透過一些指標來確認該公司的成熟度，其中包括威脅情報管理程序、事件回應速度、採用穩固且經過國際認可之架構的解決方案、是否能夠經由外部機構獲得安全漏洞通知、在工業應用領域的經驗等，以及購買解決方案的售前、售後服務和支援。本文稍後對此有更深入的探討。

如何衡量網路安全解決方案供應商的成熟度？

不同供應商可能採用不同的防護框架和方法，因此很難制定一套衡量成熟度的標準。然而，根據ARC的網路安全成熟度模型，一家成熟的供應商應已建立威脅情報管理程序，並由專職的網路安全團隊來因應各種網路威脅。此外，他們應該要有能力偵測到異常和安全漏洞。最後，他們要能夠預見潛在的威脅，而不是等到發現威脅才去處理，這樣通常已錯過最佳時機。ARC的成熟度模型列出一些須考量的關鍵因素，以協助具體評估網路安全解決方案供應商的成熟度。

除了上述因素外，如果供應商採用可靠的威脅情報處理程序，則其網路安全成熟度會更高，使得該公司的團隊能夠有效地處理所發現的威脅，並找出安全漏洞。能夠預見潛在威脅的廠商，便可提供更出色的解決方案。另外還有「偵測成熟度模型—DML」和「網路威脅情報模型—CTI」等不同方法，可根據供應商處理威脅的方式來衡量其成熟度(不過這已超出了本文的範圍)。為了提升成熟度，網路安全解決方案供應商應建立完整的威脅情報處理流程，並配置一個專職團隊，以便快速回應在內部或外部偵測到的任何潛在威脅。

是否有任何方法可用於比較不同的解決方案？

有的，許多產業都有一些公認的架構(例如NIST和IEC 62443)，可針對不同產品特性提供實用而客觀的建議，並為這些產業中的企業提供一些需要考慮的建議。另外還應考慮同時採用垂直和水平標準。水平標準涵蓋較廣泛的工業應用，例如ISA/IEC 62443，而垂直標準則涵蓋較小的特定領域，例如電力領域的NERC CIP。視每個不同領域的要求而定，另外可能還有其他垂直產業標準可供參考並提供指引。最後，確認供應商產品成熟度的另一個重要指標是，他們是否遵循經過驗證的架構。使用公認的架構，有助於以獨立的方法來比較各種不同的解決方案。

如何計算網路安全投資的投資報酬率？

業界對於如何衡量網路安全的投資報酬率(ROI)或安全投資回報率(ROSI)仍爭論不休。儘管目前還沒有一個可因應所有產業與應用要求的通用公式，但是可以從增強安全性、提高生產穩定性等優點，來全盤考量自身的網路安全投資是否物有所值。簡單來說，網路安全應結合可用性、機密性和完整性(CIA三角關係)，因此投資於網路安全，不但可直接降低工業控制系統可能面臨的威脅，同時還可提高產能並加強整體安全性。換句話說，網路安全是在自己可承受的財務成本與可承受的風險之間找到平衡點。

解決方案商能否獲得來自其他外部來源的安全漏洞資訊？

進行產品評估時，另一個必須考慮的重要因素，就是確認解決方案供應商是否有合法管道，能夠從外部機構接收潛在安全漏洞的相關資訊。如果能夠完整接收這些資訊，便可開發出更成熟的解決方案，同時還可提高解決方案的可靠性。對於工業控制系統而言，這是一項新功能，但其開放性和持續改善的意願，可確保廠商能夠提供可靠的解決方案。而那些已經採用這種方法的廠商，此功能充分展現他們已準備好提供成熟的網路安全解決方案。

解決方案供應商的工業應用成功案例，是否符合我的要求？

一般而言，特定工業應用都有其獨特的要求。因此，請務必確認供應商是否曾針對與自身要求相似的應用，開發網路安全解決方案。由於工業與企業所需的解決方案不盡相同，如此可大幅減少潛在的運作問題，或至少可預測問題。決策者應盡可能要求廠商提供概念證明(PoC)，確保其解決方案能夠滿足需求。如同NIST和ISA/IEC 62443等重要工業標準的建議，必須強調，不得使用運作中的系統，而應在隔離的外部系統上進行所有相關測試，以避免擾亂現場作業。

解決方案供應商是否具有在OT環境中部署解決方案的經驗？

確定解決方案供應商是否具備充足的工業環境知識，以提供所需的支援，這點至關重要。雖然企業和工業網路安全解決方案有許多共同點，但兩者還是不可一概而論。為了獲得量身定製的工業解決方案，廠商必須考慮每一種工業應用各不相同的特定要求。在工業環境中，資料必須快速從一台設備傳輸到另一台設備。大多數工業應用完全無法接受延遲，因為這樣對系統運作有不良的影響。相較之下，多數企業應用都可接受些微的延遲。此外，環境因素也有很大的影響。專為工業環境開發的產品，其硬體必須能夠承受寬廣的溫度範圍、震動、灰塵和其他環境因素。相反地，針對企業開發的產品，通常不需要經過如此嚴格的測試程序。另一項重要功能是，其軟體應具備偵測並過濾PROFINET、EtherNet/IP、Modbus/TCP等工業協定的能力。這些協定已廣泛用於各種工業應用。綜合上述所有需考慮的因素，部署工業網路安全解決方案的複雜性顯而易見。因此，網路安全解決方案供應商必須對此要求嚴苛的產業有十足的認識。

解決方案供應商會全心投入於我的專案嗎？

在選擇解決方案供應商時，請不要僅參考並相信設備規格書。請務必確認廠商提供的安全解決方案，是否能與自己的整體網路安全策略互相匹配，同時還需確認解決方案供應商是否真的了解業者自身的需求。

過去幾年間，網路安全客戶越來越重視對售前和售後服務，要求也更為嚴格。因此，在購買網路安全解決方案之前，請確定解決方案供應商充分了解所需的網路架構，以及相關解決方案適合部署的位置。

不僅如此，解決方案供應商應該要能夠像專業顧問一樣，提供具體而實用的建議。專業的網路安全解決方案供應商，必須了解每個應用的要求，並針對每種情況提供合適的解決方案。對於工業網路安全，絕對不建議採用「一體適用的解決方案」模式。如果貴公司尚未建立自己的安全架構，可參考美國網路安全和基礎設施安全局(CISA)所提供的架構；它在網路安全評估工具(CSET)中使用可靠的工業架構，並以此為基礎來評估包含NIST和ISA/IEC 62443架構在內的工業控制系統。

全世界各個國家/地區都有自己的監管機構，如果位於美國以外的地區，建議仔細查閱所在國家/地區之監管機構建議使用的架構。最後，在購買解決方案後，應請廠商列出可用的服務，例如保固、故障排解、服務層級協議等。如此一來，便可從中挑選對自身最重要的服務，並根據貴公司的需求來考慮總擁有成本(TCO)。

總而言之，請記住以下兩點。首先，應在財務成本和所需的防護等級之間取得最佳平衡。其次，IT網路安全可能不適用於OT環境；因此，必須選擇經驗豐富的工業網路解決方案供應商，以獲得切合需求的解決方案。

(本文作者為國際自動化協會(ISA)網路安全講師和Moxa LATAM工業網路安全(IACS)專家)