Insight Tech

說到 IT，人人都知道網路安全至關重要；沒有保護資料，後果不堪設想。但是 OT 呢？IT 網路與 OT 網路之間的界限不像以往那般涇渭分明，這表示 OT 防護的重要性現今也不容小覷。試想一下機器與實體安全連接的環境，例如製造商工廠或醫院。但是工廠經理要如何著手預防網路犯罪呢？

其中一種解決方案可能就在 FPGA 中。如果您對這個詞還不熟悉，您馬上就會懂了。我們將和安全性IP和工具開發商 Veridify Security 的執行長
Louis Parks 以及 FPGA 安全性、通訊和設定技術行銷經理 Mark Frost，一同探討 FPGA 和其他內容。他們將討論 OT 安全性的挑戰、FPGA 在應對這些挑戰時所扮演的角色，乃至於可立即保護您 OT 網路的一些免費選項。因為漏洞無所不在，不肖人士會趁虛而入。

您在現今安全性態勢中看到哪些挑戰？

Mark Frost：顯而易見的是，裝置之間的連線正在迅速擴展。我們發現 OT 與 IT 網路之間的界限變得模糊，但很多人沒有考慮到其中的安全隱憂，尤其是連接新網路的舊網路。一般人的想法是：「這麼做好像行得通，所以一切都沒問題。」但近來網路攻擊事件層出不窮，因此人們勢必得提高警覺。 

OT 安全性為什麼格外困難？

Louis Parks：長話短說，OT 網路已存在數十年之久，但一般都與外界自然隔離或中斷連線；它們在建築物和工業網站等處運作。反觀 IT 網路自始至終都以非常安全的方式開發及定義（防火牆、VPN、惡意軟體偵測），原因在於 HR、會計、患者記錄等資料的感知價值。我想從舊金山或紐約看看我在芝加哥的大樓。如今您正將非常安全的平台（您的 IT 網路）連接到極為不安全的平台（您的 OT 網路）。您正在增加攻擊面，而這正是駭客求之不得的。

另一項挑戰是，不同於 Windows、Linux、Apple 環境那種同質性很高的環境，建築世界中存在著來自許多不同供應商的各式各樣的通訊協定。此外，您使用的是 32 位元或更小的裝置，其中的安全空間微乎其微或完全沒有，但它們如今成了進入系統的閘道。

為什麼現今的解決方案碰到 OT 就無計可施？

Louis Parks：問題出在哪裡？首先，在一個極高的層次上，可能有兩個完全不同的目標。在 IT 空間中，網路安全的目標是保護資料，並控制系統上的裝置。在 OT 世界中，目標可能只是確保一切正常運作，不妨設想一下醫院。在公用事業的 OT 領域中運行，可能是安全的。IT 安全性在市場則已相當成熟。結果您猜怎麼著？我們看到的許多 OT 網路安全性解決方案都來自 IT 市場空間，進入 OT 空間之 IT 產品的用途，與 OT 世界的實際需求之間存在著差異。

我想補充說明，您為確保網路安全所做的任何事都是好事。但是我們看到的典型安全性工具主要是網路型；重要的是，在 IT 世界中，IT 主管或 CESO 知道您是否把裝置從家裡帶來並將其插入網路。這在許多操作中是一大禁忌。在 OT 世界中，人們未曾真正想過會有人從家裡帶來溫控器並插上插頭。

而現今使用的 IT 工具一般會提供觀看權限，這是一大益處。因此，您可以監控、偵測及警示；但它們不會保護資料，因為沒人想到要在 IT 網路上傳送開放式文字，而且它們也無法攔截攻擊。此外，如果您確實獲悉攻擊，在 IT 世界中，您有網路人員、IT 人員坐鎮，嚴陣以待、蓄勢待發。換到 OT 世界，您可能要致電工廠或大樓經理，向對方告知：「嗨，我們透過您的 HVAV 系統看到 23 樓出現無法辨識的資料流量。」他們不太可能採取行動。

請說明什麼是 FPGA 及其在這裡扮演什麼角色。

Mark Frost：FPGA 代表可現場程式化的閘道陣列。它有點像是自訂硬體，您可以透過某些方式編寫程式及設定。我們可以在極高速的應用程式中看見使用案例，例如人們想要處理超級高速的資料，或是需要極低延遲或高確定性的應用程式。通常工業應用程式會有這些特殊要求。

此外，FPGA 也很適合自訂 IO。比方說，如果您想將這裡的 MRI 機器連到那裡的馬達驅動器，不可能到店裡買現成的產品這麼做；那種連接應用程式需要的是自訂硬體，這正是 FPGA 真正發揮作用的地方。

各種應用程式都能見到 FPGA 的蹤影，尤其是工業空間。我的團隊試著思考 FPGA 要怎麼搭配這個應用程式，因此部分解決方案具有工業傾向。我們會考慮諸如功能安全應用程式及長久的使用年限；OT 網路的設計和安裝通常能持續 20 年。FPGA 的優點在於您可以在現場更新；如果找到安全性漏洞，也可以在 FPGA 中更新。

Louis Parks：論及 IT，修補程式、韌體更新，是每週都會發生的家常便飯。在 #OT 的世界，某些情況下，它們根本不存在。因此，使用 FPGA 將處理移到邊緣的能力是無比強大。這就是 Intel^® FPGA 的卓越能力之一，我們無須在此時此刻妄自疑猜，純粹期望 10 或 15 年後仍一切順利。遇到問題，我們可以解決。

您預期能推出什麼安全性策略？

Mark Frost：過去 FPGA 人員往往仰賴「晦澀難解即是安全」的安全性概念。FPGA 當初是相當小眾的產品，因此沒有關於如何妥善設定裝置的公開資料。不過近期出現大規模成長，使用 FPGA 裝置的人們如今真的需要開始考量安全性原則。

不過考量的條件各不相同。 有的人搬到城裡，他們往往擁有龐大的安全性團隊可相互合作。有的客戶規模極小，可能一位工程師就要包辦一切。所以問題在於，要怎麼讓執行基本安全性功能變得更容易？

Louis Parks：我們發現另一個問題，那就是負責系統的大樓或工廠經理可能沒有安全性的背景，無法保護 IT 擁有的資料。但是 IT 方面可能並不認為保護 HVAC 系統是他們的權限。

還有個問題，那就是網路分段（一種網路工具的常見反應）在 IT 領域成效良好：這個伺服器上資料有問題，我可以先將它隔離，之後更換伺服器或將作業移到別處。但如果它是在醫院的某個部門運作，我可能無法以同樣的方式隔離。

所以我們在 Veridify 的重點是採用 Intel^® FPGA，在邊緣提供安全性以保護裝置。我們也試圖提供一種主動的解決方案，無須更換先前安裝的技術。執行我們技術的 Intel^® FPGA 可以作為安全性閘道置於裝置前，提供您在 IT 網路上預期的所有驗證與資料加密，但幾乎像 OT 網路上的 VPN 一般運作。

Intel^® FPGA 如何協助支援物聯網安全性工作？

Mark Frost：我們的主要任務是作為推動者。我們努力成為所有不同垂直市場的萬事通，因此裝置也是為多種市場而設計。我們試著思考可支援安全性的基本裝置功能，讓 Louis 和他的團隊隨插即用的基礎元素。

但我們必須在那個基礎元素上做對的事，銜接對的裝置。例如思考慮功能安全性套件等；關於特定的晶片功能、即時處理以及可供 Veridify 建構的其他一切。

Louis Parks：Intel 致力於安全性、確保在 FPGA 上執行的韌體資料安全無虞。我們接著放眼裝置如何與周圍的裝置互動，這是我們的重點。裝置之間的通訊基本上成了我們一般認為的物聯網。

組織如何能夠成功因應 OT 網路的問題？

Louis Parks：市面上有許多方便您查看網路的監測工具，網路級策略也能為您提供一些功能。也有可以增添安全性的通訊協定，但其中有些可能難以執行，田為執行或管理未必是他們的優先要務。

我們打造裝置級的安全性，基本上提供盒裝的網路安全性。只要插入我們的裝置，一切就會自動上線。由於瞭解 IT 和網路技能未必總是可用（在現場或邊緣更是如此），我們完成了零接觸的流程。有 Intel 作為合作夥伴，這成了我們的重點所在。

不過有些免費的事，您可以立即採取行動。不妨試想：我的風險在哪裡？如果有人進入我的網路，風險會是什麼？情況是否嚴重？進行評估。您是否有 OT 網路（您的大樓系統、工廠）的備用方案？任何人都會想到要將 IT 網路備份。

您提到與 Intel 合作；這個合作關係帶來什麼價值？

Louis Parks：我們擁有很多專家學者，我的合作夥伴是數學家暨密碼學家，因此我們將這些專業知識和工程學在實驗室集結。但我們的產品 DOME 之所以應運而生，是因為 Intel 找上我們，表示：「網路邊緣裝置的管理方式存有挑戰，我們認為您具備可以解決這個問題的平台。」也因此，他們不僅將機會帶到我們眼前，為我們開啟嶄新的領域；更重要的是，他們讓我們認識到隨後必須解決的問題。

Intel 團隊觸角的深遠皆無可取代。他們協助我們開發通訊協定和解決方案，幫助我們將其推向市場，這些都是相當珍貴的支援。Mark，謝謝！

Mark Frost：不客氣。從我們的角度來看，我們的首要目標是販售晶片。我們仰賴 Veridify 這樣的合作夥伴，畢竟如果沒有這些吸引市場的超酷解決方案，我們的晶片就無從賣起。我們盡一切可能，透過自家的銷售網路和通路網路，協助 Veridify 擴展到全球市場，但真正的功臣還是他們的團隊和解決方案。

最後還想補充什麼嗎？

Louis Parks：我認為大家都該去思考安全性。遺憾的是，我們處在一個處處皆有安全性威脅的世界。依我看，人們該尋找解決方案，不只要瞭解解決方案能為他們做些什麼，也要理解自己使用及管理這些方案的能力。還有，沒有任何一個解決方案是完美無缺、一體適用的。所以即使您成功了，還是要不斷努力、持續探尋，這是永無止境的。

Mark Frost：我同意；不要輕忽安全性問題。像驗證和加密 FPGA 設定雖然易如反掌，卻能對 FPGA 實施的安全性產生巨大的影響。過去許多備受關注的安全性漏洞，在開始時都是無害的，而且仍有不少人心存僥倖，認為：「不會發生在我身上。」我們樂意協助。

相關內容

如要進一步瞭解 OT 安全性，請收聽揭開 OT 和物聯網安全性與 FPGA 的神秘面紗：與 Veridify 合作。如要瞭解 Veridify 的最新創新技術，請在 Twitter @Veridify 和 LinkedIn 上追蹤。

 

本文由Erin Noble編審。

網路威脅形勢瞬息萬變。由於不斷出現新興威脅，任何組織都難以有效地防衛自己。公司行號一般必須從快速輕鬆和穩健全面之間找到平衡點，以確保業務安全並免於拖慢流程。

一家頂尖的全球網路安全公司 Fortinet 的零售暨餐飲部門現場資安長 Courtney Radke 表示，其實未必要如此。還是有可能在具備網路效能和效率的同時，保持強大的安全態勢。訣竅是從頭開始將安全性列為優先事項，並在企業透過新的分店地點、遠距網站，乃至於居家辦公室擴大生態系統時簡化管理。

在邁向數位創新的過程中，安全性往往是後來才想到的。這會導致網路安全解決方案在網路擴展中淪為「附帶品」，進而有效限制企業減輕風險的能力。在高度分佈式的環境中，這也造成了複雜性、阻礙可見度、增加脆弱的可能性，並大幅減少技術投資的 ROI。

然而，隨著高層主管和董事會愈來愈熟悉網路安全性的需求（通常是因為頭條新聞吸睛的資料外洩所導玫），各組織正在採取行的方法。「他們需要的東西更聰明、更穩固，」 Radke 表示。「他們需要一整套解決方案、一個平台，解決他們現今擺在眼前和甚至無法預見到的問題。而且可以縮放自如。」

Fortinet 透過其 Secure SD-Branch 解決方案滿足這些需求，該解決方案採用平台方法，為分支機構提供企業級的網路和安全性。憑藉 FortiOS 融合網路和安全性，各組織可獲得「新一代防火牆」、「零信任服務」、「IoT 防護」以及透過 FortiLink 整合交換與無線管理等優勢，一切盡在單一裝置中。

Fortinet Secure SD-Branch 也結合原生軟體定義的廣域網路（SD-WAN），緊密結合新一代防火牆防護，以提供安全、「永遠在線」的連線能力，滿足現今瞬息萬變的業務需求。憑藉範本配置、零接觸部署、集中管理和可見度，Fortinet Secure SD-Branch 也易於大規模管理。

隨著數位轉型使分支機構更為複雜，Fortinet Secure SD-Branch 在單一平台整合網路與安全性，為分支機構和所有使用者及連接的裝置提供可見度和安全性，進而在網路邊緣提供全方位的安全性，因應不斷擴大的攻擊面。

工作中的邊緣安全性

對於契克斯免下車外帶餐廳（Checkers Drive-In Restaurant），SD-Branch 的方法正是該公司管理其在 38 個州的 265 個地點所需要的。契克斯尋找的解決方案，要能保護邊緣的許多位置、隨著公司的成長而擴展，並提供集中的可見度。其舊式的 SD-WAN 平台無法支援組織的需求。

該公司決定以 Fortinet SD-Branch 的安全性驅動網路方法取代其過時的系統。具體而言，契克斯部署了 Fortigate Secure SD-WAN，該系統結合了新一代防火牆與網路協調流程和加速。

對契克斯來說，這表示用更少的資源簡化網路管理：降低成本並提高生產力。

擴展邊緣的網路安全性

只要具有正在成長中的分散式環境，幾乎任何企業都跟契克斯一樣，希望得到可擴展性和可見度。對許多公司行號而言，包括電腦、智慧型手機和 IoT 裝置在內的端點的激增，以及 #IT 與 #OT 的融合，造就了 Radke 所謂的「邊緣的爆炸 」，這會導致網路資源緊張、降低安全性效能，並使管理複雜化。

Radke 表示，組織求助於 Fortinet 時，尋找的是簡化的管理和更優異的網路安全解決方案，可進行縮放以滿足業務需求。Fortinet 的任務是瞭解客戶所尋求的業務成果並進而實現，同時提供一致的使用者體驗。

但最重要的是，各組織希望得到穩定性和復原力。「這關乎假設最糟的情況發生，業務能持續不中斷，」 Radke 表示。「該如何繼續滿足客戶的需求？該如何確保業務持續發展？該如何在競爭無比激烈的市場上與對手相庭抗禮？」Fortinet 使組織執行其業務目標，並安全自信地以數位化的方式，讓自己脫穎而出。

整合安全性，統一系統管理

Fortinet 的方法關鍵在於與 Intel 合作。該公司使用 Intel 處理器支援其解決方案的可擴充性需求。「 Intel 與 Fortinet 合作的精彩之處在於規模，我們已在許多組織中攜手合作，」 Radke 表示。

Fortinet 和 Intel 共同協助客戶保護邊緣。同時，SD-Branch 技術有助於為一般稱作 SASE（安全存取服務邊緣）的新安全方法奠定基礎。該模型要求整合雲端型的安全性和 WAN 安全性，以實現統一管理，無論使用者或裝置位於何處皆然。

SD-Branch 也為邁向「零信任」方法奠定了基礎，這是一種安全架構，承認光是保護網路的出入口是不夠的。必須透過微切分來保護網路內的橫向移動，必須建立身分，必須基於最小的權限存取資源，即使用者只能存取組織內角色所需的資源。

Fortinet 解決方案，包括 Fortigate NGFW，整合了來自 Fortinet 網路安全威脅情報組織 FortiGuard Labs 的威脅情報。FortiGuard Labs 使用數百萬個網路感應器和數百個情報共享合作夥伴，持續監控全球攻擊面，提供及時的情報、產品更新，並協助客戶更加瞭解及防護其威脅態勢。

Fortinet 的 50 多種安全技術組合在設計時考慮了整合和自動化，以即時共享威脅情報、關聯資料，並降低任何網路、端點和雲端中的威脅。如此一來，客戶便能超越單點產品，在技術投資上取得更佳的 ROI，並透過整合及統一網路和安全性加速業務成果。

 

由 insight.tech 編輯副總監 Georganne Benesch 編輯。

無論是運輸、醫療保健、教育或製造業市場，所有應用類型皆會產生高品質的視訊資料。如今，拜視覺 AI 進步之賜，在邊緣即可分析這項資料，提供寶貴的深入解析，加速數位轉型。

智慧視訊處理解決方案製造商聰泰科技開發股份有限公司總經理 HP Lin 表示：「應用邊緣電腦視覺處理超高畫質視訊資料是革命性的創新。」「它將在十多年前甚至想像不到的層面，改變我們工作、生活與學習的方式。」

在醫院、媒體、教室等領域應用視覺 AI

超高畫質視訊的 AI 視訊處理平台，可以處理多種基本的電腦視覺工作：視訊擷取與播放加速、目標偵測及動作識別等。換句話說，這類解決方案可執行許多不同情境需要的一般視覺 AI 工作負載，也就是說，使用者和系統整合商可針對各式各樣的使用案例調整解決方案：

• 在醫療情境中，邊緣的智慧視訊處理可實現即時的 4K60 視訊擷取、播放與分析，不需要獨立 GPU 即可處理醫療影像需要的繁重 AI 推論工作負載。如此一來，整合式的視覺 AI 解決方案可提供即時決策，在臨床診斷與治療期間支援醫療專業人員。
• 電視導播在直播時，面臨了幾道艱鉅的視訊編輯難題：處理多角度視訊、執行複雜的視訊剪接，以及切換等。執行這類「即時編輯」需要大量的處理能力，但是拜邊緣 AI 之賜，現在可以即時處理這些工作負載了，不僅擷取和轉場更順暢，影像畫質也更優異。
• 在教育情境中，AI 與電腦視覺有潛力讓學習與教學更豐富。時至今日，教室中的視訊擷取僅容許簡單的視訊儲存與播放。然而，智慧視訊解決方案可擷取及分析學生與教師之間的即時互動。也就是說，系統可監測教師動作和學生表情，即時提供課程的意見反應，協助教師識別需要額外協助的學生，或者在必要時調整教學方式。
• 安全領域可望出現廣泛的全新 AI 視覺應用方式。智慧城市若在交通路況攝影機應用視覺 AI，便能防範危險駕駛與交通違規情事。公共空間可利用 AI 視訊分析，協助簡化機場入口檢查作業，並且讓大學校園與學校更安全。

顯然各種極具吸引力的可能性不勝枚舉。然而，若要廣泛採用，必須先克服重重難關。各組織之所以遲遲不執行視覺 AI 解決方案的原因如下：推論工作負載需要大量處理能力、擔心系統在邊緣不穩定，加上已知全方位的視訊處理工作流程設計不易。

然而，樂觀以對的理由如今出現了，HP Lin 表示：「新式智慧視訊平台可解決長久以來對於視覺 AI 的疑慮，因為這種平台的邊緣處理能力強大又有效率、提供全方位的工作流程，而且部署後穩定可靠。」

專為邊緣 AI 打造的硬體與軟體

通用 AI 視訊處理解決方案之所以得以發展，專為邊緣視覺 AI 設計的電腦硬體問世是主因，加上各種軟體開發工具，也簡化了針對使用者特定需求量身打造解決方案的過程。

舉例而言，聰泰科技開發股份有限公司的解決方案便是採用 Intel 技術：

• Intel^® Celeron^® 與 Intel^® Core^™ 處理器提供的高效能硬體平台，已針對邊緣電腦視覺工作負載最佳化，並且支援多通道高畫質圖形處理。
• Intel^® OpenVINO^™ 工具組可加速電腦視覺工作效能，包括將 AI 演算法大幅最佳化。

HP Lin 表示：「Intel 的技術對於我們的解決方案上市極為重要。」「它非常適合建立邊緣 AI 與電腦視覺解決方案，對於必須兼顧效能與彈性的情況更是天作之合。」

成長中的電腦視覺生態系統

視覺 AI 的前途看好。一部分可歸因於視訊得天獨厚，可為建置 AI 應用奠定基礎：多維資料擷取、脈絡資料分析，而且能夠即時理解與回應人類行為。

但除此之外，電腦視覺解決方案以及相關支援技術越來越普遍，可能也是普及率提高的原因。聰泰科技開發股份有限公司管理階層似乎也有同感，HP Lin 表示：「我們致力於打造更積極的視覺生態系統，甚至在更多產業推動部署智慧視訊分析解決方案。」

過去那些阻礙導入的障礙現已排除，加上視覺 AI 生態系統蓬勃發展，系統整合商和解決方案製造商應該能更輕鬆協助企業、學校和政府，充分利用邊緣電腦視覺的優勢，包括即時分析、更高的效率，以及更安全的環境。

 

由 insight.tech 編輯副總監 Georganne Benesch 編輯。