ในโลกของระบบควบคุมอุตสาหกรรม (OT) มีความจริงอย่างหนึ่งที่วิศวกรความปลอดภัยรู้ดี — Antivirus แบบดั้งเดิมไม่สามารถปกป้องระบบ OT ได้อย่างเพียงพอ ทั้งนี้เพราะ AV ทำงานบนหลักการ “Blacklist” คือพยายามจดจำ Malware ที่รู้จักแล้วบล็อกเท่านั้น แต่ในระบบ OT ที่อุปกรณ์ทำงานซ้ำๆ แบบเดิมตลอดอายุการใช้งาน 15 ปี มีแนวทางที่ทรงประสิทธิภาพกว่ามาก นั่นคือ Application Allowlisting ที่ทำงานบนหลักการตรงกันข้าม — อนุญาตเฉพาะสิ่งที่รู้จักว่าปลอดภัย และบล็อกทุกอย่างอื่น
Allowlisting คืออะไร และทำไมถึงเหมาะกับ OT?
Application Allowlisting (หรือ Whitelisting) คือเทคโนโลยีการควบคุมการทำงานของ Host ที่อนุญาตให้เฉพาะโปรแกรมที่อยู่ใน “รายการที่อนุญาต” เท่านั้นที่สามารถ Execute หรือรันได้บนระบบปฏิบัติการ เมื่อมีโปรแกรมใดพยายามรันที่ไม่อยู่ในรายการ ระบบจะบล็อกทันทีและบันทึก Event ลงใน Security Log
แนวทางนี้เหมาะกับ OT เป็นพิเศษเพราะลักษณะของระบบ OT ที่ Stable และ Predictable — กล่าวคือ HMI เครื่องหนึ่งที่ติดตั้งในโรงงานมักจะรันโปรแกรมเดิมๆ ตลอดอายุการใช้งาน เช่น SCADA Client, Historian Agent และ Driver สื่อสารกับ PLC ไม่มีโปรแกรมใหม่ปรากฏขึ้นมาเองอย่างกระทันหัน ดังนั้นการสร้าง Allowlist ที่ถูกต้องจึงเป็นไปได้ในทางปฏิบัติ
📌 หลักคิดสำคัญ: ในระบบ IT มีโปรแกรมใหม่เกิดขึ้นทุกวันจึงใช้ Blacklist (AV) แต่ในระบบ OT โปรแกรมที่รันมีจำกัดและคงที่ — Allowlisting จึงเป็น Default-Allow ในทางกลับกัน
วิธีการทำงานของ Application Allowlisting
ระบบ Allowlisting สมัยใหม่ทำงานโดยการตรวจสอบ 3 ประเภทของตัวระบุ (Identifier) เพื่อตัดสินใจว่าไฟล์สามารถรันได้หรือไม่:
| ประเภท Rule | วิธีการ | ความปลอดภัย | ความยืดหยุ่นในการดูแล |
|---|---|---|---|
| Hash-Based | เก็บค่า Hash (SHA-256) ของไฟล์ที่อนุญาต | สูงมาก — ตรวจจับการแก้ไขได้ทันที | ต่ำ — เมื่ออัปเดตโปรแกรมต้อง Hash ใหม่ |
| Publisher-Based | อนุญาตไฟล์ที่เซ็นด้วย Digital Certificate ของผู้ผลิต | ปานกลาง — ไวต่อการขโมย Certificate | สูง — อัปเดตเวอร์ชันใหม่ได้โดยไม่ต้องแก้ Rule |
| Path-Based | อนุญาตตามตำแหน่งโฟลเดอร์ | ต่ำ — หากใครวางไฟล์ในที่เดียวกันก็ผ่าน | สูงมาก — ใช้ง่าย |
ในทางปฏิบัติที่ดีที่สุดคือการผสมผสานทั้งสามแบบ — ใช้ Publisher-Based สำหรับโปรแกรมหลักของ SCADA, Hash-Based สำหรับไฟล์สำคัญที่ไม่เปลี่ยนแปลง เช่น OS Core และ Path-Based สำหรับโฟลเดอร์ชั่วคราวที่ควบคุมด้วยสิทธิ์
Allowlisting vs Antivirus — เปรียบเทียบในบริบท OT
| มิติการเปรียบเทียบ | Antivirus (Blacklist) | Allowlisting (Whitelist) |
|---|---|---|
| Default Policy | อนุญาตทั้งหมด บล็อกเฉพาะที่รู้จัก | บล็อกทั้งหมด อนุญาตเฉพาะที่รู้จัก |
| Zero-Day Threat | อ่อนแอ — ไม่มี Signature | แข็งแกร่ง — บล็อกทุกสิ่งที่ไม่รู้จัก |
| Offline Update | ต้องอัปเดต Signature สม่ำเสมอ | ไม่ต้องอัปเดต — Rule คงที่ |
| ผลกระทบต่อ Performance | สูง — สแกนไฟล์ทุกครั้ง | ต่ำ — ตรวจสอบเฉพาะตอน Execute |
| ความเหมาะกับ OT | ต่ำ — ทำงานในสภาพ Offline ได้ไม่ดี | สูงมาก — เหมาะกับระบบคงที่ |
การใช้งานในสภาพแวดล้อมจริง
ในโรงงานอุตสาหกรรมจริง Application Allowlisting มักถูกนำมาใช้กับกลุ่มเป้าหมายต่อไปนี้:
- Engineering Workstation — เครื่องที่ช่างใช้โปรแกรม PLC Programming เพื่ออัปโหลด Logic ไปยัง Controller การ Allowlist ป้องกัน Malware จาก USB Drive ที่ช่างอาจเสียบเข้ามา
- HMI/SCADA Server — เซิร์ฟเวอร์ที่รัน Operator Interface ซึ่งเป็นเป้าหมายหลักของ Ransomware
- Historian Database — เซิร์ฟเวอร์เก็บข้อมูลกระบวนการผลิต การ Allowlist ป้องกันการติดตั้งโปรแกรมไม่พึงประสงค์
- Jump Host / Bastion Server — เซิร์ฟเวอร์กั้นกลางสำหรับ Remote Access ที่เสี่ยงต่อการถูกโจมตีมากที่สุด
การจัดการกับ Change Management
ความท้าทายใหญ่ที่สุดของ Allowlisting ใน OT คือ Change Management เพราะทุกครั้งที่มีการอัปเดต Firmware, ติดตั้ง Patch หรือเพิ่ม Driver ใหม่ ต้องมีการอัปเดต Allowlist ด้วย หากไม่มีกระบวนการที่ชัดเจน อาจส่งผลให้การอัปเดตล้มเหลวและทำให้ระบบควบคุมหยุดทำงาน
แนวทางที่แนะนำคือการสร้าง Maintenance Window ที่กำหนดไว้ล่วงหน้า โดยในช่วงนั้นจะมีการสลับ Policy จาก “Enforce Mode” เป็น “Audit Mode” ชั่วคราวเพื่อให้สามารถอัปเดตได้ จากนั้นจึงสร้าง Rule ใหม่และสลับกลับเป็น Enforce Mode พร้อมตรวจสอบ Log อย่างละเอียด
การสอดคล้องกับมาตรฐานสากล
Application Allowlisting เป็นมาตรการที่ถูกระบุในมาตรฐานสำคัญหลายฉบับ ทั้ง IEC 62443 (System Requirement SR 5.4 — Domain and Session Isolation) และ NIST SP 800-82 สำหรับ ICS ซึ่งแนะนำให้ใช้ Allowlisting เป็น Control หลักในระดับ SL-T 3 ขึ้นไป นอกจากนี้ยังเป็นส่วนหนึ่งของ CIS Controls ข้อที่ 2 (Inventory and Control of Software Assets) ที่จัดเป็น Basic Control ที่ทุกองค์กรควรมี
🔑 Key Takeaways — สรุปประเด็นสำคัญ
- Application Allowlisting ทำงานบนหลัก Default-Deny ซึ่งแข็งแกร่งกว่า Antivirus แบบ Default-Allow ในบริบท OT
- มี Rule 3 ประเภทคือ Hash-Based, Publisher-Based และ Path-Based — ควรผสมผสานให้เหมาะกับสภาพแวดล้อม
- Allowlisting ป้องกัน Zero-Day Malware ได้โดยไม่ต้องรอ Signature Update ซึ่งสำคัญมากในระบบ OT ที่ Offline
- เป้าหมายหลักในการใช้งานคือ Engineering Workstation, HMI Server และ Jump Host
- Change Management เป็นความท้าทายหลัก — ต้องมี Maintenance Window และ Audit Mode ที่ชัดเจน
- การใช้งานสอดคล้องกับมาตรฐาน IEC 62443 (SR 5.4), NIST SP 800-82 และ CIS Controls
- Performance Impact ต่ำกว่า Antivirus เพราะตรวจสอบเฉพาะตอน Execute ไม่ใช่ Scan ตลอดเวลา
- ควรเริ่มต้นด้วย Audit Mode อย่างน้อย 30–60 วัน เพื่อเก็บ Baseline ก่อนเปลี่ยนเป็น Enforce Mode
หมายเหตุ: ภาพประกอบเป็น Control Panel ของระบบควบคุมอุตสาหกรรม ซึ่งเป็นเป้าหมายหลักที่ Application Allowlisting จะปกป้อง — ที่มา: Wikimedia Commons
Honey Corporation เชี่ยวชาญด้านการออกแบบระบบความปลอดภัย OT ตามมาตรฐานสากล ทีมงานของเราพร้อมให้คำปรึกษาในการวาง Application Allowlisting ให้เหมาะสมกับสภาพแวดล้อมของโรงงานคุณ