ตอนที่ 12: CIP Security เบื้องต้น: ป้อมปราการของเครือข่ายอุตสาหกรรม

1. 🎯 ตอนที่ 12: CIP Security เบื้องต้น: ป้อมปราการของเครือข่ายอุตสาหกรรม link

2. 📖 เปิดฉาก (The Hook) link

สวัสดีครับน้องๆ สาย Automation และผู้อ่านทุกท่าน! กลับมาล้อมวงจิบกาแฟ กางแผนผัง Network Topology คุยกันต่อในซีรีส์ เจาะลึก Industrial Network & SCADA จาก 101 สู่ Advanced ครับ

“ระบบเครื่องจักรเราไม่ได้ต่ออินเทอร์เน็ต แฮกเกอร์ไม่มีทางเจาะเข้ามาได้หรอก!” ประโยคคลาสสิกนี้คือความเชื่อเรื่อง “Air Gap” หรือการเว้นช่องว่างทางกายภาพที่วิศวกรรุ่นเก่ามักใช้เป็นเกราะคุ้มภัยครับ แต่น่าเศร้าที่โลกความจริงมันไม่ได้สวยงามแบบนั้นอีกต่อไปแล้ว เมื่อหนอนคอมพิวเตอร์ระดับอาวุธสงครามอย่าง Stuxnet ปรากฏตัวขึ้น มันพิสูจน์ให้โลกเห็นว่า แฮกเกอร์ไม่จำเป็นต้องเจาะผ่านไฟร์วอลล์จากอินเทอร์เน็ตเสมอไป แค่ช่างซ่อมบำรุง (Insider Threat) เผลอเอา Flash Drive ที่ติดไวรัสมาเสียบ หรือเอา Laptop มาต่อเข้ากับสวิตช์ในโรงงาน มัลแวร์ก็สามารถแพร่กระจายและส่งคำสั่งทำลายล้างไปยัง PLC ได้โดยตรง!

ในยุค Industry 4.0 ที่ระบบ IT (Information Technology) และ OT (Operational Technology) หลอมรวมกัน ข้อมูลถูกวิ่งผ่าน EtherNet/IP ขึ้นสู่ระดับองค์กร คำถามคือ เราจะปกป้องข้อมูลระดับคอขาดบาดตายนี้ได้อย่างไร? วันนี้พี่จะพามาทำความรู้จักกับ CIP Security ป้อมปราการสุดแกร่งที่ ODVA สร้างขึ้นมาเพื่อรับมือกับภัยคุกคามทางไซเบอร์โดยเฉพาะครับ!

3. 🧠 แก่นวิชาโครงข่าย (Core Concepts) link

ก่อนจะไปถึง CIP Security เราต้องเข้าใจหลักการของ Cybersecurity ในโลกอุตสาหกรรมก่อนครับ ในฝั่ง IT ออฟฟิศทั่วไป แก่นของความปลอดภัยคือ CIA Triad โดยมักจะให้ความสำคัญกับ Confidentiality (ความลับของข้อมูล) เป็นอันดับหนึ่ง แต่ในฝั่ง OT ลำดับความสำคัญจะกลับหัวกลับหางกันครับ! เราให้ความสำคัญกับ Availability (ความพร้อมใช้งาน) และ Integrity (ความถูกต้องของข้อมูล) มาเป็นอันดับแรก เพราะถ้าข้อมูลเซนเซอร์ส่งมาถึงช้า หรือถูกแฮกเกอร์แอบเปลี่ยนค่าบิต (Bit) เพียงนิดเดียว เครื่องจักรอาจจะระเบิดหรือเป็นอันตรายถึงชีวิตได้ทันที (Loss of Control / Loss of View)

เพื่อตอบโจทย์นี้ องค์กร ODVA จึงได้บรรจุ CIP Security เอาไว้ในเอกสารมาตรฐาน Volume 8 ของ CIP Networks Library ครับ โดยมีเป้าหมายหลัก 3 ประการคือ:

1. Data Integrity (ความสมบูรณ์ของข้อมูล): รับประกันว่าข้อมูลที่วิ่งอยู่บนสาย LAN จะไม่ถูกแอบดัดแปลงระหว่างทาง
2. Data Confidentiality (ความลับของข้อมูล): เข้ารหัสข้อมูลไม่ให้ผู้ไม่หวังดีใช้โปรแกรมดักจับ (Sniffer) มาแอบอ่านคำสั่งได้
3. Authentication (การยืนยันตัวตน): ทั้งระดับอุปกรณ์ (Device Identity) และระดับผู้ใช้งาน (User Authentication) ต้องมีการยืนยันตัวตนก่อนเสมอ เครื่องจักรจะได้รู้ว่ากำลังคุยอยู่กับ PLC ตัวจริง ไม่ใช่คอมพิวเตอร์ของแฮกเกอร์ปลอมตัวมา

4. 💻 ร่ายมนต์สถาปัตยกรรม (Architecture & Implementation) link

แล้ว CIP Security ร่ายเวทมนตร์ปกป้องข้อมูลของเราอย่างไร? คำตอบคือมันไม่ได้พยายามสร้างล้อขึ้นมาใหม่ครับ แต่มันไปหยิบเอาโปรโตคอลความปลอดภัยมาตรฐานโลกของ IETF (Internet Engineering Task Force) ที่ใช้กันบนอินเทอร์เน็ต มาสวมทับลงบนสถาปัตยกรรมของ EtherNet/IP อย่างแยบยล:

• ปกป้อง Explicit Messaging (สายบุ๋น) ด้วย TLS: สำหรับข้อความประเภทถาม-ตอบ ที่วิ่งบน TCP/IP (เช่น การตั้งค่าพารามิเตอร์ หรือดาวน์โหลดโค้ดลง PLC) CIP Security จะจับมันห่อหุ้มด้วยโปรโตคอล TLS (Transport Layer Security) แบบเดียวกับที่เราใช้เข้าเว็บแบงก์กิ้ง (HTTPS) ครับ ถ้ามัลแวร์พยายามจะยิงคำสั่งสั่งรันเครื่องจักรผ่าน TCP โดยไม่มีการทำ TLS หรือไม่มีกุญแจเข้ารหัส (Pre-Shared Key - PSK) ตัว PLC จะเตะคำสั่งนั้นทิ้งลงถังขยะทันที!
• ปกป้อง Implicit Messaging (สายบู๊) ด้วย DTLS: สำหรับข้อมูล I/O ควบคุมเครื่องจักรแบบเรียลไทม์ ที่วิ่งผ่าน UDP/IP แบบดุดันรวดเร็ว CIP Security จะใช้โปรโตคอล DTLS (Datagram Transport Layer Security) เข้ามาครอบไว้แทน ทำให้เราสามารถส่งข้อมูลแบบ Multicast แข่งกับเวลาได้ โดยที่ข้อมูลยังคงถูกเข้ารหัสและป้องกันการแอบอ้าง (Spoofing) ได้อย่างสมบูรณ์แบบ

5. 🛡️ เคล็ดลับจากห้องคอนโทรล (Under the Hood / Pro-Tips) link

ในฐานะ Network Architect พี่มีมุมมองเชิงลึกในการนำ CIP Security ไปใช้จริงมาฝากครับ:

• ไม่จำเป็นต้องแบกน้ำหนักเท่ากันทุกคน (Security Profiles): อุปกรณ์ในโรงงานมีตั้งแต่เซนเซอร์ตัวเล็กจิ๋วไปจนถึงเซิร์ฟเวอร์ตัวยักษ์ ODVA รู้ดีว่าอุปกรณ์ตัวเล็กๆ อาจจะประมวลผลการเข้ารหัสหนักๆ ไม่ไหว จึงมีการแบ่ง Security Profile ออกเป็นระดับต่างๆ เพื่อให้อุปกรณ์สามารถทำงานร่วมกันได้ (Interoperability) โดยเลือกใช้ฟีเจอร์ความปลอดภัยที่เหมาะสมกับทรัพยากรของตัวเอง
• CIP Authorization Profile (กำหนดสิทธิ์การเข้าถึงให้เฉียบขาด): นอกจากกันคนนอกแล้ว CIP Security ยังมีกลไกกำหนดสิทธิ์คนในด้วยครับ! เราสามารถตั้งค่า Role-based Access Control ได้ เช่น ให้ช่างคุมเครื่อง (Operator) สามารถอ่านค่า I/O ได้อย่างเดียว (Read-only) แต่ห้ามส่งคำสั่ง Explicit Message เพื่อแก้ไขโปรแกรมเด็ดขาด สิทธิ์นี้จะถูกสงวนไว้ให้วิศวกรระบบ (Engineer) เท่านั้น
• CIP Security ไม่ใช่ยาสารพัดนึก (Defense-in-Depth): แม้อุปกรณ์ของคุณจะรองรับ CIP Security แต่คุณก็ยังต้องออกแบบเครือข่ายตามมาตรฐาน ISA/IEC 62443 อยู่ดีนะครับ! การแบ่งโซนเครือข่าย (Zones and Conduits), การตั้งค่าไฟร์วอลล์ระดับอุตสาหกรรม (Industrial Protocol Filters), และการอัปเดตแพตช์ (Patch Management) ยังคงเป็นรากฐานที่ขาดไม่ได้ CIP Security คือเกราะชั้นในสุดที่จะปกป้องอุปกรณ์เมื่อปราการชั้นนอกถูกเจาะเข้ามานั่นเอง

6. 🏁 บทสรุป (To be continued…) link

สรุปสั้นๆ ให้เห็นภาพครับ CIP Security คือส่วนขยายที่ทำให้โปรโตคอลระดับโลกอย่าง EtherNet/IP กลายเป็นป้อมปราการที่แข็งแกร่ง มันเปลี่ยนเครือข่ายที่เคยเปิดกว้างและเชื่อใจทุกคน ให้กลายเป็นเครือข่ายที่ “ตรวจสอบ เข้ารหัส และยืนยันตัวตน” ในทุกๆ แพ็กเก็ตข้อมูลที่วิ่งผ่าน

แต่ไม่ว่าระบบจะเข้ารหัสได้แน่นหนาแค่ไหน ศัตรูตัวฉกาจที่สุดของระบบเครือข่ายมักจะมาในรูปแบบของ “ความผิดปกติ” ที่ซ่อนตัวอยู่เงียบๆ… ในตอนหน้า เราจะมาเจาะลึกกันถึงวิธีการสร้างระบบเรดาร์ตรวจจับภัยคุกคาม ด้วยเทคนิค Exception, Anomaly, และ Threat Detection เพื่อให้เรารู้ตัวก่อนที่แฮกเกอร์จะลงมือโจมตีครับ รอติดตามอ่านกันได้เลย!

ต้องการที่ปรึกษาด้านการออกแบบสถาปัตยกรรมโครงข่ายอุตสาหกรรม (Industrial Networks) หรือระบบ SCADA สำหรับโรงงานของคุณ? ทีมงาน WP Solution พร้อมให้บริการออกแบบและติดตั้งระบบแบบครบวงจร ดูรายละเอียดบริการของเราได้ที่: www.wpsolution2017.com หรือพูดคุยปรึกษาเบื้องต้นได้ที่ Line: wisit.p