研華選擇微軟來實現網路安全現代化 並鞏固其全球零信任 (Zero Trust) 策略
全球工業電腦大廠研華瞭解,為落實其現代化工作場所的相關計畫,必須在全球各地的企業網路及製造設施中採取更機主動的 IT 安全態勢,以因應此計畫的需求。研華與合作夥伴 自由系統 (Freedom Systems) 聯手,並且將奠立於現有 Microsoft 365 投資基礎之上、提供各種易於部署操作之相關功能的 Microsoft Security 視為最佳選擇。研華員工現在享有更安全且更符合法規的環境,讓他們能專注於核心業務目標。
我們在雲端上的投資、合作夥伴的專業技術,以及 Microsoft 提供的現代化安全基礎架構,讓我們得以專注地執行我們的核心業務,對我們以及我們的客戶而言效益匪淺 – Jack Lin: IT 總監
研華是工業電腦與自動化設備的全球領導者,領域包括適用於 IoT (物聯網) 智慧系統、機器自動化和嵌入式運算的軟體與硬體解決方案。該公司的使命是成為「智能地球推手」(Enabling an Intelligent Planet),旗下超過 5,000 名員工在 2020 年創造了約 18 億美元的營收。
但直到最近,該公司一直都沒有專屬的 IT 安全團隊。在近期歷經一次可見度極高的安全性威脅事件,使得其 IT 基礎架構安全性受到各方檢視之際,研華決定與 Microsoft 合作夥伴網路成員 自由系統 合作,進行徹底審查。因此,該公司召集了一個新的安全團隊,負責監督 Microsoft Security 解決方案的部署,以協助內部網路及亞洲、歐洲、美國和澳洲的製造設施維持高度安全與合規。
全球製造業面臨的安全挑戰
國際 IT 安全威脅逐漸成為新聞矚目焦點,而近來,從進公司上班切換為遠端工作模式的過程也極為迅速,這些對研華的 IT 管理員來說都是疑慮點。接著,在 2020 年 11 月,研華發現其網路遭到勒索軟體攻擊,使公司內的寶貴資訊蒙受風險。該公司希望 自由系統 能協助瞭解問題所在、提供立即的緩解措施,並幫助制定出更積極主動的安全態勢,以減少未來發生類似情況的風險。
最終而言,該攻擊並未影響生產,而營運迅速恢復正常。但根據研華的 IT 經理 Kevin Lin 的說法,他和同事發現了多個需要立即關切的疑慮點。他表示:「我們有很多遠端業務部門,在全球約有 50 個分公司,但我們卻無法清楚確認公司網路的狀況。」這次攻擊影響到的是企業網路伺服器,並很快得到緩解。但是,此攻擊使得工廠生產中潛在威脅浮上檯面,這些威脅可能影響營收、延誤客戶交付時程、使產品設計等敏感智慧財產權遭竊取,甚至導致安全事故產生。Kevin Lin 提到:「我們意識到我們沒有專門的員工來瞭解公司的安全情況,尤其是在製造工廠中,IT 安全並非這些員工的專長。這次的攻擊讓高層管理人員警覺到他們需要在工廠網路中部署營運技術安全監控措施。」
聯絡專家尋求建議
有鑒於 11 月甫遭受攻擊, 自由系統 不僅提議對公司的基礎架構進行分析,找出潛在弱點,更主張應進一步做好準備,因應未來更大量、更複雜的網路威脅。 自由系統 服務顧問 Russell Chen 表示,這當中的一大問題是,由於受到 COVID-19 的緣故,員工開始加快轉換為遠端工作模式,自此員工一直使用各自的第三方解決方案。為求能持續有效工作,進行工作時的安全性往往遭到忽視。Russell Chen 表示,這不僅導致風險增加,也使得研華 IT 管理員難以察覺有風險存在。
Russell Chen 舉了一個例子:「員工使用了隱含信任 VPN,但這些 VPN 原本並不應被信任,而惡意軟體能夠透過互連的 VPN,在不被偵測到的情況下快速發起和傳播,而研華所遭受攻擊就是如此,該攻擊源自歐洲。」 自由系統 製作了一份 40 頁的文件,其中包含來自 Microsoft 的意見指點,內容概述了所有發現的漏洞。這份報告建議研華發展零信任策略,以針對公司的多個已識別風險點提供保護。
令研華團隊印象深刻的是, 自由系統 並未為任何特定產品或解決方案背書。該合作夥伴保持中立,並將重點放在分析和使用案例上。唯有在經過透徹分析後, 自由系統 才會考慮可能的解決方案,並將其投入試驗和概念驗證 (POC)。由於研華遭受到的勒索軟體攻擊能見度極高,許多前來接洽的廠商都著重在推銷產品,而非解決方案,但大多數都未能滿足研華的需求。Kevin Lin 說道:「我們需要的是安全性,但在確保安全性之餘,也希望能不影響用戶端的效率,且不需要管理員進行專業安裝和設定。」
Kevin Lin 表示,Microsoft Security 服務和安全性兼顧,做法完備,提供了明顯的優勢。他說:「其他解決方案,無論是用於產品還是支援,都有點獨立、專門且需要個別測試。多數解決方案未能充分因應製造工廠的營運技術需求,而且我們意識到研華的環境所需要的,是像 Microsoft Security 這樣一套全方位解決方案,而不是多套解決方案。」除此之外,Microsoft 作為研華現代化工作場所基礎架構的設計者、建造者和供應商,其專業實力有目共睹,因此 Microsoft Security 很自然地成為首選。Kevin Lin 說道:「我們的裝置中有百分之九十五是以 Windows 為基礎,而沒有任何人比 Microsoft 更瞭解 Windows。而且,若端對端套件的服務與安全性功能可以彼此配合、相輔相成,這對研華來說更好。」
零信任的平台回應
研華在推動零信任策略的過程中,採用 Microsoft Security 作為平台回應。Kevin Lin 表示:「我們與CrowdStrike、FireEye 等許多知名廠商做過多次 POC 專案,但沒有任何廠商符合我們的需求。我們想要採用一套全方位的解決方案來提高效率和可見度,因此決定與 Microsoft 合作。」
該公司推展其策略的速度飛快,藉由部署 Microsoft Defender for Endpoint 來協助保護裝置,並進一步部署 Microsoft Defender for Identity,讓使用者可以更安全地存取企業網路。Defender for Endpoint 的探索功能協助該公司更清楚掌握其複雜的廠址網路,使其得以開發規則,有利於使用 Azure Firewall 來重新設定對應的集合。Kevin Lin 說道:「這層可見度讓我們獲益良多,舉例來說,它有助於我們在 Azure Firewall 內設置連接埠,以允許不同工廠之間互通流量,實現高度安全的可見度。我們可以利用 Defender for Endpoint 的教戰手冊和自動化規則,在不影響安全性的情況下提高使用者和管理員的生產力。」
研華的安全團隊現在正在尋求透過 Microsoft Defender for IoT 提供的無代理網路層安全性 (包括 IoT/OT 營運技術) 資產搜索、漏洞管理,以及持續性威脅監控、異常偵測),進一步使 IoT 和 OT 風險的可見度提高,該計劃目前正在概念驗證試驗階段。Kevin Lin 發現大多數資安廠商不支援 IoT 與 OT 裝置的專用通訊協定和安全性要求,然而藉助 Microsoft Security 解決方案,研華得以針對 SIEM/SOAR 採行 Microsoft Sentinel,並採行 Microsoft 365 Defender,以獲得更廣泛的偵測與回應能力,這是一大優勢。易於安裝和管理對研華來說非常重要,而歐洲辦公室的員工目前正在試用 Microsoft Intune,這是一項 Microsoft Endpoint Manager 內的服務,包含在該公司的 Microsoft 365 E3 授權中,可進一步簡化部署與操作。Kevin Lin 表示:「我們預期 Microsoft Endpoint Manager,特別是 Intune,將能大大地協助我們將一切保持在最新狀態,並確保所有項目受最新原則保護」。
階段式部署
這些解決方案和其他 Microsoft 365 應用程式與服務的試驗若成功,研華的部署也會更加廣泛。但謹慎是製造業謹守的一大鐵則,在這個產業中,營運持續性和安全性是基本要求,而在部署新技術時尤其如此。因此,能夠從 Microsoft 365 訂閱中以階段性的方式,將安全性功能及相關技術逐一部署,甚而針對各個廠址逐次部署,這對研華而言很重要。研華 IT 總監 Jack Lin 說道:「我們一項一項、小心謹慎地部署現代化通訊基礎架構:Exchange Online,然後是 SharePoint,現在是 Microsoft Teams。Microsoft Security 是我們平台的一部分,所以我們也可以分階段部署來滿足目前的需求。因此,我們能保護資料、識別身分與端點,並提供更安全的 Teams 環境。我們正在測試 Intune,而且我們也將對 Microsoft Sentinel 進行評估,以強化我們新的集中式安全性作業功能。」Jack Lin 補充說,在過去幾個月內,他的團隊充分利用了他在 Microsoft Azure 投資所帶來的機會,為網路應用程式提升效能與安全性。我們使用 Azure Web Application Firewall 保護重要的網站、Azure Content Delivery Network 改善網路應用程式的載入,以及 Azure DDoS Protection 防禦網頁和電子商務網站。」
為掌握公司邁向零信任旅程的進程,研華目前使用 Microsoft Defender for Cloud 監控其 Microsoft 安全分數,這是針對雲端基礎架構安全態勢做出的數字評估,愈能確實落實安全性建議,分數就會愈高,代表愈能有效降低風險。Kevin Lin 表示:「我們一開始的分數是 38%。我們正在逐步改善,而且 自由系統 也努力協助我們提高整體安全性與合規性,因此我們預期在未來幾個月內將達到 50% 以上,並在 2021 年底前達到更高的分數。」
具前瞻性的合作關係
很少有像研華這樣規模的組織在 IT 基礎架構上具有如此前瞻性的思維,從其移轉到雲端,乃至現今透過 Microsoft 雲端安全性的最新技術來保護其企業和製造環境,這些做法都在在顯示研華放眼未來。Jack Lin 認為對研華的 IT 投資採取這種方法在營運上至關重要。他表示:「我的目標是確保我們利用最先進的技術為客戶提供最好的服務。「我們在雲端上的投資、合作夥伴的專業技術,以及 Microsoft 提供的現代化安全基礎架構,讓我們得以專注地執行我們的核心業務,對我們以及我們的客戶而言效益匪淺。」
我們需要的是安全性,但在確保安全性之餘,也希望能不影響用戶端的效率,且不需要管理員進行專業安裝和設定 – Kevin Lin: 研華 IT 經理
我們一項一項、小心謹慎地部署現代化通訊基礎架構:Exchange Online,然後是 SharePoint,現在是 Microsoft Teams。Microsoft Security 是我們平台的一部分,所以我們也可以分階段部署 [技術] 來滿足目前的需求 – Jack Lin: 研華 IT 總監