รู้จักกับ Zscaler OT Security: 6 แนวทางปกป้องอุปกรณ์ OT และ IIoT ขององค์กรที่ตอบโจทย์ยิ่งกว่าเดิม

ทุกวันนี้เรามักจะเห็นข่าวการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังอุปกรณ์ OT และ IIoT ที่มีการใช้งานในธุรกิจองค์กรและหน่วยงานภาครัฐมากขึ้น เนื่องจากภัยคุกคามในรูปแบบนี้สามารถสร้างความเสียหายให้กับธุรกิจได้เป็นอย่างมาก และยังเป็นช่องทางในการโจมตีต่อเนื่องที่มีประสิทธิภาพสำหรับผู้โจมตีอีกด้วย

อย่างไรก็ดี เทคโนโลยีด้าน OT Security ที่มีอยู่ในปัจจุบันนี้ก็มักยังไม่สามารถตอบโจทย์ได้ดีนัก ทำให้องค์กรหลายแห่งนั้นอาจจะยังไม่ได้ตัดสินใจเลือกลงทุนในส่วนนี้ หรือลงทุนไปแล้วแต่กลับไม่สามารถปกป้องระบบ OT และ IIoT ได้ดังที่คาดหวัง

Zscaler ในฐานะของผู้นำทางด้าน Zero Trust และ SASE จึงได้ทำการพัฒนาโซลูชัน Zscaler OT Security ขึ้นมาเพื่อตอบโจทย์นี้โดยเฉพาะ ด้วยแนวทางใหม่ๆ ที่จะช่วยเสริมความมั่นคงปลอดภัยของระบบ OT และ IIoT ให้สูงขึ้น และรับมือกับภัยคุกคามได้อย่างเห็นผลยิ่งขึ้นกว่าเดิม

ทำไมแนวทางการทำ OT Security แบบดั้งเดิมจึงไม่เพียงพออีกต่อไป?

เมื่อพูดถึงการทำ OT Security นั้น โซลูชันที่เรามักพบเห็นได้โดยทั่วไปก็มักจะเป็นโซลูชันในลักษณะของ OT Firewall และ Vulnerability Management เป็นหลัก

แนวคิดของ OT Firewall นั้นก็คือการมีอุปกรณ์ Cybersecurity ไปวางกั้นการเชื่อมต่อระหว่างอุปกรณ์ OT และ IIoT ก่อนที่จะทำการเชื่อมต่อไปยังอุปกรณ์อื่นๆ ที่เกี่ยวข้อง เพื่อตรวจสอบข้อมูลเครือข่ายที่รับส่งว่ามีความผิดปกติหรือไม่ มีแนวโน้มที่จะเป็นภัยคุกคามหรือเปล่า ก่อนที่จะทำการยับยั้งภัยคุกคามหรือความเสี่ยงที่ตรวจพบ ไม่ให้การโจมตีเหล่านั้นประสบความสำเร็จ

ในขณะที่ Vulnerability Management นั้นก็มักจะเป็นโซลูชันที่มุ่งเน้นการจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยของอุปกรณ์ OT และ IIoT ด้วยการมุ่งเน้นไปที่การตรวจสอบช่องโหว่ของแต่ละอุปกรณ์ ที่อาจเกิดขึ้นจากการไม่อัปเดต Software ให้มีความมั่นคงปลอดภัยเพียงพอ หรือมีข้อมูลจาก Threat Intelligence ที่แสดงถึงช่องโหว่ใหม่ที่เพิ่งค้นพบเกี่ยวกับอุปกรณ์เหล่านั้น เพื่อให้ผู้ดูแลด้านความมั่นคงปลอดภัยทำการอุดช่องโหว่เหล่านั้นก่อนที่จะเกิดการโจมตีขึ้น

แนวทางเหล่านี้เป็นประโยชน์อย่างมากต่อธุรกิจองค์กรทั่วโลกที่มีการใช้อุปกรณ์ OT และ IIoT ในช่วงแรกที่เทคโนโลยีเหล่านี้ได้เริ่มถูกนำมาใช้ แต่ในระยะยาวนั้น ธุรกิจองค์กรก็จะพบว่า ภัยคุกคามที่เกิดขึ้นต่ออุปกรณ์ OT และ IIoT นั้นมีช่องทางการโจมตีที่หลากหลายมาก ไม่ว่าจะเป็นจากภายนอกองค์กร, ภายในองค์กร ไปจนถึงจากการโจมตีต่อเนื่องผ่านระบบอื่นๆ เข้ามา ในเวลาเดียวกัน โซลูชันเหล่านี้ก็ยังไม่สามารถครอบคลุมถึงการบริหารจัดการกำหนดสิทธิ์การเข้าถึงอุปกรณ์ OT, IIoT หรือระบบบริหารจัดการที่เกี่ยวข้องได้ อีกทั้งโซลูชันเหล่านี้ก็ยังไม่ครอบคลุมถึงการใช้งานอุปกรณ์ OT และ IIoT ที่มีการเชื่อมต่อเครือข่ายผ่าน 4G หรือ 5G อีกด้วย

เหตุนี้เองทำให้ธุรกิจองค์กรทั่วโลกต่างต้องมองหาแนวทางใหม่ในการปกป้องระบบ OT และ IIoT ที่มีการใช้งานอยู่ และ Zscaler ก็ได้เริ่มนำเสนอถึงแนวทางใหม่ที่ได้ผลยิ่งกว่าเดิมด้วยโซลูชัน Zscaler OT Security

Zscaler OT Security: ปกป้องระบบ OT และ IIoT ด้วยแนวทาง Zero Trust ผสาน SASE

Zscaler นั้นได้ทำการคิดค้นถึงแนวทางใหม่ๆ ที่ผสานแนวทางดั้งเดิมเพื่อปกป้องระบบ OT และ IIoT โดยได้ประยุกต์นำแนวทาง Zero Trust และ SASE ซึ่งเป็นเทคโนโลยีที่เป็นหัวใจสำคัญของ Zscaler มาเสริมความมั่นคงปลอดภัยให้สูงยิ่งขึ้น ดังนี้

1. Zero Trust Device Segmentation

ระบบ OT และ IIoT นั้นมีความเสี่ยงเป็นอย่างมากที่จะตกเป็นเป้าหมายในการโจมตีต่อเนื่อง ไม่ว่าจะเป็นการโจมตีต่อเนื่องจากระบบอื่นๆ ภายในองค์กร หรือแม้แต่การโจมตีต่อเนื่องจากอุปกรณ์ OT และ IIoT ด้วยกันเอง ดังนั้นประเด็นแรกที่ Zscaler ให้ความสำคัญนั้นก็คือการแบ่งส่วนของระบบเครือข่ายเพื่อป้องกันปัญหาดังกล่าวนี้

แนวทางที่ Zscaler เสนอนั้นก็คือการทำ Zero Trust Device Segmentation นั่นเอง โดยเริ่มต้นจากการแบ่งส่วนของระบบเครือข่ายของอุปกรณ์ OT และ IIoT รวมถึงอุปกรณ์ OT/IIoT Controller ให้เป็น Segment of One หรือระบบเครือข่ายที่มีเพียง IP Address ของ Gateway และอุปกรณ์ OT หรือ IIoT เพียงหนึ่งชิ้นเท่านั้น ทำให้เสมือนว่าอุปกรณ์เหล่านี้มี Subnet ที่มีเพียงตนเองใช้งานอยู่เพียงอุปกรณ์เดียวเท่านั้น และสามารถเชื่อมต่อไปยัง Gateway ได้เพียงอย่างเดียว

ด้วยแนวทางนี้ ทุกการเชื่อมต่อเครือข่ายของอุปกรณ์ OT หรือ IIoT ในแต่ละ Subnet จะสามารถถูกตรวจสอบและควบคุมได้โดย Gateway อย่างสมบูรณ์ และไม่สามารถเชื่อมต่อในระดับ Layer 2 ไปยังอุปกรณ์อื่นๆ ได้เลย ซึ่งเป็นวิธีการที่ตอบโจทย์ต่อการป้องกันการโจมตีต่อเนื่อง และการเชื่อมต่อเข้าถึงอุปกรณ์ OT/IIoT โดยไม่ได้รับอนุญาตได้เป็นอย่างดี

2. Zero Trust Edge/Gateway

เมื่อทำ Zero Trust Device Segmentation เรียบร้อยแล้ว ขั้นตอนถัดมาก็คือการมีอุปกรณ์ Edge/Gateway ที่สามารถตรวจสอบด้านความมั่นคงปลอดภัย, ควบคุมการเชื่อมต่อเครือข่าย และเชื่อมต่อขึ้นไปยัง SASE ได้ ซึ่งหน้าที่ทั้งหมดนี้ก็เป็นของ Zero Trust Edge/Gateway นั่นเอง

Zero Trust Edge/Gateway จะเป็นระบบที่มี Gateway IP Address ของทุก Subnet ที่ถูกสร้างขึ้นมาในขั้นตอนการทำ Zero Trust Device Segmentation เพื่อให้ทุกการเชื่อมต่อของอุปกรณ์ OT, IIoT และ OT/IIoT Controller นั้นถูกรับส่งผ่าน Zero Trust Edge/Gateway เสมอ และสามารถตรวจสอบค้นหาภัยคุกคามได้

Zero Trust Edge/Gateway จะทำ Discovery และสร้าง Segmentation Policy ในระดับของ device เอาไว้ เพื่อป้องกันไม่ให้อุปกรณ์ Server, OT, IIoT และ Controller ที่อยู่ภายในเครือข่ายเดียว สามารถติดต่อสื่อสารกันได้โดยตรง หากไม่ตรงตามสิทธิหรือการสื่อสารที่ถูกต้องในการทำ Segmentation รวมทั้งยังสามารถนำทราฟฟิคจาก อุปกรณ์ Server OT, IIoT และ Controller เหล่านั้นไปยัง Zero Trust Exchange เพื่อให้อุปกรณ์นั้นสามารถเชื่อมต่อผ่าน SASE ไปยังระบบงานอื่น ๆ ภายใน Data Center, Cloud และอินเตอร์เน็ตได้อีกด้วย

3. Zero Trust Exchange

Zero Trust Exchange คือศูนย์กลางของการทำ SASE บน Cloud ของ Zscaler ที่จะเชื่อมต่อองค์ประกอบต่างๆ เหล่านี้เอาไว้ด้วยกัน

• Zero Trust Edge/Gateway สำหรับการเชื่อมต่อให้อุปกรณ์ OT, IIoT และ OT/IIoT Controller สามารถรับส่งข้อมูลหรือถูกเข้าถึงได้ผ่าน SASE
• Data Center ในกรณีที่อุปกรณ์ OT, IIoT และ OT/IIoT Controller ต้องมีการส่งข้อมูลไปยังระบบใดๆ ภายใน Data Center เช่นระบบ ERP, Data Analytics หรืออาจจะมีการนำ OT/IIoT Controller ไปติดตั้งอยู่บน Data Center
• Cloud ในกรณีที่อุปกรณ์ OT, IIoT และ OT/IIoT Controller ต้องมีการส่งข้อมูลไปยังระบบใดๆ บน Cloud เช่นระบบ ERP, Data Analytics หรืออุปกรณ์ OT, IIoT และ OT/IIoT Controller อาจมีระบบบริหารจัดการรวบรวมข้อมูลอยู่บน Cloud ของผู้ผลิตอุปกรณ์นั้นๆ
• Internal User สำหรับให้ผู้ใช้งานสามารถทำการเชื่อมต่อใช้งานอุปกรณ์ OT, IIoT, OT/IIoT Controller หรือระบบบริหารจัดการรวบรวมข้อมูลที่อาจอยู่ภายใน Data Center หรือ Cloud ได้
• 3rd Party User สำหรับกรณีที่เจ้าหน้าที่ภายนอกผู้มีบทบาทรับผิดชอบในการดูแลรักษา อุปกรณ์ OT, IIoT, OT/IIoT Controller ต้องการเชื่อมต่อเข้ามาดำเนินการใดๆ

จะเห็นได้ว่าด้วยแนวทางนี้ Zero Trust Exchange จะสามารถควบคุมทุกการเชื่อมต่อระหว่างแต่ละองค์ประกอบได้อย่างครอบคลุม เช่น การรับส่งข้อมูลระหว่างอุปกรณ์ OT, IIoT และ OT/IIoT Controller ไปยังระบบใดๆ ที่อยู่บน Data Center หรือ Cloud นั้นก็อาจเปิดให้มีการเชื่อมต่อได้ผ่าน API หรือ Protocol ที่จำเป็น แต่การเข้าถึงระบบบริหารจัดการหรืออุปกรณ์เหล่านี้ ก็อาจต้องผ่านกระบวนการทำ Secure Remote Access ที่มีการควบคุมด้านการยืนยันตัวตนและการรักษาความมั่นคงปลอดภัยที่เข้มงวด เป็นต้น

4. Secure Remote Access

สำหรับการเชื่อมต่อใช้งานไปยังระบบบริหารจัดการของ OT, IIoT นั้น ไม่ว่าจะเป็นการเชื่อมต่อไปยังแต่ละอุปกรณ์, การเชื่อมต่อไปยัง OT/IIoT Controller ภายในแต่ละสาขา, การเชื่อมต่อไปยังระบบบริหารจัดการบน Data Center หรือ Cloud นั้น จะถูกควบคุมด้วยนโยบาย Zero Trust ดังนี้

• ต้องมีการยืนยันตัวตนก่อนการเชื่อมต่อ
• ต้องมีการกำหนดสิทธิ์การเชื่อมต่อได้ตามสิทธิ์ที่ผู้ใช้งานแต่ละคนมีอยู่ได้เท่านั้น
• ต้องสามารถควบคุมการให้สิทธิ์สำหรับ 3rd Party ได้อย่างเหมาะสม เช่น กำหนดกรอบระยะเวลาที่ 3rd Party จะสามารถเข้าถึงระบบได้ และกำหนดสิทธิ์ในการทำงานแต่ละครั้งแยกจากกันได้ เป็นต้น
• ต้องมีการทำ Web Browser Isolation เพื่อเสริมความมั่นคงปลอดภัยในการเข้าถึงแต่ละระบบ
• ต้องมีการกำหนดสิทธิ์ในการทำสิ่งต่างๆ กับระบบได้ เช่น ควบคุมหรือตรวจสอบไฟล์ที่มีการอัปโหลด, อนุญาตหรือยับยั้งการ Copy/Paste/Download ข้อมูล
• ต้องสามารถควบคุม Session การเชื่อมต่อได้ เช่น สามารถบันทึก Session ได้, สามารถเปิดให้พนักงานภายในตรวจสอบการทำงานของ 3rd Party ได้ในแบบ Real-Time เห็นหน้าจอร่วมกัน เป็นต้น

ด้วยความสามารถเหล่านี้ การกำหนดสิทธิ์ให้พนักงานภายในเชื่อมต่อไปยังระบบที่เกี่ยวข้องกับ OT หรือ IIoT นั้นจะสามารถทำได้อย่างรัดกุมมาก ในขณะที่เมื่อ 3rd Party จะเข้ามาช่วยแก้ไขปัญหาหรือซ่อมบำรุงระบบ องค์กรก็จะสามารถควบคุมสิทธิ์ให้มีความเหมาะสม และเปิดให้พนักงานภายในที่เกี่ยวข้องเข้าไปร่วมตรวจสอบการทำงานของ 3rd Party ได้

5. Active Defense for ICS/SCADA Systems

เพื่อค้นหาภัยคุกคามหรือการโจมตีต่อเนื่องที่อาจเกิดขึ้นต่อระบบ OT หรือ IIoT ได้ ทาง Zscaler จึงได้นำแนวทาง Honey Pot มาใช้โดยการจำลองอุปกรณ์ OT หรือ IIoT ขึ้นมาในเครือข่าย ให้ตกเป็นเป้าของภัยคุกคามหรือการโจมตีต่อเนื่องนั้นและรวบรวมข้อมูลเอาไว้ เพื่อให้ธุรกิจองค์กรสามารถเตรียมรับมือกับความเสี่ยงที่อาจเกิดขึ้นได้ตั้งแต่เนิ่นๆ โดยไม่ทำให้ระบบ OT หรือ IIoT จริงต้องตกอยู่ในความเสี่ยงใดๆ

6. Zscaler Cellular

สำหรับอุปกรณ์ OT หรือ IIoT ที่มีการเชื่อมต่อผ่าน 4G หรือ 5G ทาง Zscaler ได้มีการทำงานร่วมกับผู้ให้บริการโครงข่ายในประเทศไทย และมี 4G/5G SIM จัดจำหน่ายโดยเฉพาะ โดยการเชื่อมต่อ 4G/5G ผ่าน SIM เหล่านี้ ข้อมูลเครือข่ายทั้งหมดจะถูกส่งผ่านไปยัง Cloud ของ Zscaler และเชื่อมต่อเข้าเป็นส่วนหนึ่งของ Zero Trust Exchange ได้ ทำให้การควบคุมอุปกรณ์ที่เชื่อมต่อผ่าน 4G/5G นี้สามารถเกิดขึ้นได้อย่างสมบูรณ์

ผลลัพธ์ของ Zscaler OT Security: ความเสี่ยงน้อยลงอย่างมหาศาล

จากแนวทางข้างต้นที่ Zscaler OT Security ใช้งาน จะเห็นได้ว่าเมื่อดำเนินการครบถ้วนทุกขั้นตอนแล้ว ระบบ OT และ IIoT จะมีความมั่นคงปลอดภัยสูงขึ้นเป็นอย่างมาก ด้วยเหตุผลดังนี้

• อุปกรณ์ OT และ IIoT ไม่สามารถถูกโจมตีจากนอกองค์กร, ภายในองค์กร หรือถูกโจมตีต่อเนื่องได้อีกเลย ไม่ว่าจะเป็นอุปกรณ์ OT หรือ IIoT ที่อยู่ภายในระบบเครือข่ายขององค์กรหรือเชื่อมต่อผ่าน 4G/5G ก็ตาม เนื่องจากระบบเครือข่ายถูกแบ่งส่วนออกมาจากระบบเครือข่ายปกติ และเหลือช่องทางการเข้าถึงผ่าน SASE ได้เท่านั้น
• ระบบริหารจัดการอุปกรณ์ OT และ IIoT รวมถึง OT/IIoT Controller ถูกปกป้องอย่างรัดกุม ไม่สามารถเชื่อมต่อเข้าถึงโดยตรงได้ ต้องเชื่อมต่อผ่าน SASE เท่านั้น และยังมี Web Browser Isolation ช่วยปกป้องอีกชั้น ทำให้สามารถตรวจสอบและควบคุมทุกการเข้าถึงได้อย่างละเอียด
• สามารถกำหนดสิทธิ์ของพนักงานภายในที่ต้องมีการเชื่อมต่อไปยังระบบ OT และ IIoT ได้ ทั้งในระดับของสิทธิ์ในการเชื่อมต่อถึงแต่ละระบบ ไปจนถึงการกระทำที่สามารถทำได้ต่อแต่ละระบบ
• สามารถกำหนดสิทธิ์ ติดตาม และตรวจสอบการทำงานของ 3rd Party ที่เกี่ยวข้องกับระบบ OT และ IIoT ได้อย่างครอบคลุม
• สามารถตรวจสอบค้นหาภัยคุกคามที่มุ่งเป้ามายังระบบ OT และ IIoT ได้ด้วย Honeypot

ซึ่งโดยสรุปแล้ว แนวทางของ Zscaler นั้นก็คือการนำ Zero Trust และ SASE มาประยุกต์ใช้ในการทำ OT Security นั่นเอง โดยผลลัพธ์ที่ได้กลับมานั้นก็ถือว่าคุ้มค่า เพราะ Zscaler OT Security สามารถปกป้องได้ทั้งอุปกรณ์ OT/IIoT, ระบบริหารจัดการ OT/IIoT, Application ที่เกี่ยวข้องกับ OT/IIoT ไปจนถึงผู้ใช้งานทั้งจากภายในและภายนอกองค์กร

สนใจ Zscaler ติดต่อ Fusion Advantech ได้ทันที

สำหรับองค์กรที่สนใจโซลูชัน Zscaler หรือต้องการคำปรึกษาจากผู้เชี่ยวชาญที่มีประสบการณ์จริงในประเทศไทย ทีมงาน Fusion Advantec พร้อมให้บริการ ติดต่อเราฝ่ายขายได้ที่ 02-965-8006-8  อีเมล์ [email protected]

หรือกรอกข้อมูลที่ลิงค์: https://forms.office.com/r/6FrZGffndR?origin=lprLink