兼顧零信任、零阻擋與低延遲 落實工控資安防護成效
- 台北訊
-
2021年的5月及7月,各發生一起舉世矚目的資安事件,新型態駭客組織藉由勒索病毒攻擊,成功癱瘓大型燃油管線、IT託管軟體業者的系統,導致民生關鍵基礎設施、連鎖超市深受衝擊;顯見包含生產機台、POS機、ATM、油水電設施等廣義的工控系統(ICS),已成為駭客鎖定的新目標。
有鑑於此,趨勢科技於日前偕同TXOne Networks舉辦「OT資安疫情炎上,工業資安的最佳效能防毒」線上講堂,闡述如何在不影響ICS正常運作下,實現零信任的工控資安防護。
執行工控資安 切忌誤擋或拖垮效能
TXOne業務發展總監Ricky Chen指出,新型態駭客集團均以利益為導向,有非常嚴密的組織,且掌握新型攻擊手法,及Zero Day的工具、病毒或蠕蟲;他們往往歷經長期潛伏、攻進企業,目標不在於整垮任何機台,而是針對企業的作業流程漏洞來發動攻擊。
為此TXOne提出新型態的ICS資安部署原則與策略建議,除應遵循IEC 62443標準外,也建議參酌NIST資安架構、實施識別資產、保護資產、偵測攻擊、事件回應、損害平復等五步驟資安布局。
談及工控資安管理者的挑戰,TXOne資深產品經理Chiyi Lin認為,最大考驗來自工控機台設備上運行的作業系統、軟體程式,彷若黑盒子般難以掌控,加上有些已運行逾10年、20年甚至更久的老舊設備,搭載已遭淘汰的作業系統,更增添資安防護困難性。
「更重要的,不管執行任何工控資安防護措施,皆須符合兩大嚴苛門檻,一是『零阻擋』、另一是『低延遲』,」Chiyi Lin說,零阻擋意指資安防護系統不能對產線造成誤擋或攔阻,至於低延遲,則需避免因複雜比對或計算而耗用產線系統資源,不干擾生產效率。
偵測PowerShell之不當行為 避免駭客以合法掩護非法
2021年7月驚傳的美國託管軟體業者Kaseya攻擊事件,導致北歐連鎖超市龍頭Coop受到牽連,被迫關閉800家以上門市,因而令各界震驚。只因Coop的收銀系統委託外部業者代管,間接使用Kaseya的軟體派送系統,故而遭池魚之殃,蒙受嚴重損害。
Ricky Chen表示,Kaseya事件當中蘊含多個攻擊步驟,先是利用惡意郵件進行釣魚、於Kaseya內網散播攻擊種子,接著拿下AD伺服器控制權,再透過PowerShell派發一些看似合法、實為攻擊的程式,終至達成攻擊目的。
對此Chiyi Lin分析,在Kaseya攻擊事件,PowerShell被利用了兩個地方,一是竄改Windows合法程式,使駭客可進行後續加密,二是駭客透過PowerShell關掉Windows Defender。關於這兩點,TXOne的Stellar防護系統均可加以攔阻。
且由於趨勢科技及TXOne長期深耕零售商家的POS機、銀行的ATM,因此也可妥善保護這些終端設備,並在保護的同時能以零干擾、低延遲為大前提,避免影響收銀機或ATM的核心功能與運作效率。
Ricky Chen強調,無論製造業、銀行、零售商家或油水電公司的設備,肇因OS老舊、或對效能需求至為敏感,促使TXOne在打造ICS資安產品時,融入非常多也非常特殊的設計思維。第一個重點是「ICS資安的鬼滅之刃」,藉由零信任機制嚴格驗證終端與終端之間、伺服器與伺服器之間傳遞的資訊是否合乎生產線的安全基準,若是才予以執行;與此同時,也能透過最小權限來控管PowerShell或Windows合法程式的使用。
其次,TXOne深知落實零信任防護之餘,絕不能因誤擋而影響產線運作,故在設計Stellar系列ICS資安產品時,也悉心收集數千種不同的工控系統應用、據此建立工控資料庫,做為TXOne Stellar與眾多廠牌工控系統之間的信任基準線,以最高權限的運行為優先,不會被Stellar端點防護機制所阻擋,連帶也會節約耗用機台裡的CPU、記憶體等資源,以維持生產效能。
最後考量許多客戶仍沿用大量承載老舊OS的機台,但另外也基於供應鏈重組效應、開始導入一些新型作業機台;驅使TXOne力求新舊兼容,以適應各版本作業平台混雜並存的「多元宇宙」,一方面透過StellarProtect針對新型設備提供輕量化的即時掃毒功能,搭配龐大的工控系統資料庫,確保只會對系統造成極輕微影響,二方面利用StellarEnforce的白名單功能,有效阻擋駭客以合法掩護非法的惡意行徑,也讓搭載老舊OS且效能低落的系統,照樣能實現妥善的端點防護,在OT資安疫情中趨吉避凶。
關於TXOne Networks
TXOne Networks是全球網路資安解決方案領導廠商趨勢科技與工業通訊及網路領導廠商Moxa共同成立的一家專精工業物聯網(Industrial IoT)領域的科技公司。TXOne Networks專門提供適應性解決方案來保護工業機械設備,確保工業控制網路的安全與穩定並防範網路攻擊。
