如何減少網路威脅的風險

 

現在隨著OT/IoT領域的快速擴張,IT與OT需要密切連結,對於具安全性的解決方案需求明顯增加。現在許多的工廠、發電廠、建築等已全面自動化,容易將自己暴露在網路上的潛在危險之下,招來惡意的人趁機攻擊、報復並獲取利益。

在過去的十年裡,惡意的威脅者各方面都有了顯著的進步,不僅改善了裝備也變得更有組織,而北爾電子一直以來致力於網路安全,持續發展我們的產品以面對最新的威脅。本文概述了我們如何減輕威脅,以及可以做些什麼來增加網路安全性。

 

我們如何確保產品的安全與可靠性

網路威脅是一個現實存在的因素,因此北爾電子致力於改善產品的網路安全性,並積極面對網路中的威脅。透過不斷監控和審核產品及其元件,確保自己掌握最新的威脅情況,能夠及時回應安全事件。在開發早期引入安全開發營運(Secure DevOps)*,可以確保在開發週期早期發現潛在漏洞,並在進入生產前先進行修復。

 

Danut Niculae, 網路安全架構師 

 

「很多客戶問我們在網路安全方面做了些什麼,以及我們能如何協助他們。對我們而言,網路安全不僅是一個是非題,更是一個持續增進的過程。」北爾電子網路安全架構師Danut Niculae說道。

 

當產品進入生產階段再交到客戶手中,北爾電子將持續提供軟體和操作系統的更新版本以維持安全標準。此外,北爾電子的網路安全團隊將積極掌握產品潛在的新威脅和漏洞,可以快速識別、及時回應,並透過安全警示通知客戶,提供軟體的更新版本。

 

「北爾電子的使命是不斷精進軟、硬體,確保所有產品均擁有強大的網路安全性。我們期望能持續精進、變得更好,深入了解客戶的需求並提供具安全性的解決方案。」Danut Niculae解釋道。

 

積極主動的設計流程

為了能夠防禦網路攻擊,了解攻擊的發生方式非常重要。

 

「我們可以透過分析網路攻擊的技術,瞭解攻擊的方式以及對客戶的影響,來採取積極的設計方法,確保我們的產品在使用上是安全的。」Danut Niculae說道。

 

在設計新功能時,網路安全團隊會審查設計提案,以確保所有安全層面都被考慮到。當進入實現階段時,我們會確保所有代碼都經過同行審查和安全掃描器分析,以盡早發現任何潛在問題。

在北爾電子,我們遵循以下框架:

  • 所有的軟體元件都是依照嚴格的安全要求開發的。
  • 所有的要求都經過北爾電子的安全團隊審查和批准。
  • 透過執行安全風險評估、靜態應用程式安全性測試 (SAST) 和程式碼審查,以執行和維護安全程式撰寫標準。
  • 我們軟體中所使用的第三方程式庫均會經過徹底掃描並仔細檢查,以探查可能存在的安全漏洞。
  • 經常進行程式碼審查。
  • 所有應用程式都是依照OWASP安全專案所開發的。

 

如果您在我們產品中發現任何問題,或者想要報告漏洞或安全事件,您可以隨時聯繫我們的安全事件信箱:cs@beijerelectronics.com

 

如何加強您的資訊安全性

在擁有安全的硬體和軟體不一定足夠,你還需要考慮人為因素。因此,我們想分享一些建議,以增強您的網路安全。

  • 首先最重要的是注意到威脅和危險。
  • 人為疏失往往是一個比較薄弱的環節,請多注意網路安全的威脅,並教育自己和團隊成員。
  • 建議配置網路防火牆以限制連接到設備(例如:人機介面)。從安全性的角度來看,當您的設備於工業網路中,需確保與其他 IT 基礎設施(辦公室等)分開以最小化資訊外流的情況。
  • 確保您擁有良好的補丁修復策略,以安裝最新的安全補丁。
  • 所有網路上的設備都應使用支援的設備並更新最新版本的韌體、操作系統和其他應用程式。
  • 部署產品時,請確保將網路安全最佳實踐納入考量,例如密碼強度、使用者角色和權限。

 

安全的心態不僅是預防惡意行為,還要從以前的錯誤中學習並適應不斷變化的環境威脅。Danut Niculae 說道。

 

因此,保持積極和維持高安全水準是最好的預防之道。如果您有疑慮或想知道更多關於如何增加我們產品的安全性,請隨時聯繫我們的技術支援團隊或聯繫我們的安全事件聯絡信箱:cs@beijerelectronics.com

 

 

* SecureDevOps:又稱為 DevSecOps,是一種軟體開發方法,將安全實踐整合到 DevOps 流程中。它從設計、開發、部署到維護,軟體開發的生命週期全程納入安全考量,以提高軟體系統的安全性和韌性,其目的在於將安全性作為開發過程的一部分,而非獨立的功能。