X-FORT全面掌握指令轨迹记录 完整守护研发智能财产
- DIGITIMES企划
-
无庸置疑,对于IC设计、设备机台制造商、工业控制电脑...等等各类型智能制造业者来说,智能财产正是公司永续发展的最大命脉,如何守护这条命脉,可谓至关重大。无奈的是,尽管企业费心建立一道道防护堡垒,在未充分掌握研发与IT整合环境下,依然难以完全遏阻数据外泄的情事,让管理阶层不禁纳闷,背后真相究竟为何?
精品科技网安顾问陈伯榆点出第一个可能的破口,便是研发部门,也是公司最难管理的一环。研发创造企业利润,亦利用自身技术建立自己对研发数据管理应用的手段,往往这些手段是IT与稽核不易发现掌握的。他指出研发人员经常需要连结GitHub,下载可用的程序码资源进行修改或上传,此乃不可避免之事,而公司为防止研发同仁顺势把程序码上传GitHub,多已设立一些防护措施,透过MIS设计防火墙规则,只允许从GitHub下载档案,至于像是PUT、POST或TLS2等上传结构则完全封锁,研发同仁仅能利用内部落地Git或SVN服务器留存开发成果。
隐藏问题来了,即便公司切断TCP协定或管控IP,研发人员依自身能力可写code透过UDP协定,一旦IT轻忽一样可能突破防火墙,将档案送上GitHub或其他公有云储存空间。例如W3C同意以Quic为标准协定、DoH(DNS over HTTPs)的应用...等都创造许多可能的技术,可穿透内部防护的机会。
「研发人员非一般性行政管理人员,大家总把研发人员想得太过单纯,爬文找技术是他们的本能。」陈伯榆说,他们擅长写程序,懂得将数据写入硬件芯片储存与网络技术,在网络加以爬文相关网安黑客技术,若有心把机密偷出公司大门,可变换的招式其实不少,举凡整合式开发环境(IDE)工具、CMD、PowerShell Script、AP Call conhost.exe多线程运行,都算是有助研发窃取数据实现目标的利器。比方说,工程师在研发过程中,可能以处理程序之间通讯(IPC)的方式来呼叫各种应用程序,此时被呼叫的应用程序,继承原IDE工具较高的执行权限,以致能轻易避开某些IT管制措施,传送数据到外部,或将程序码写入开发板的储存空间,再伺机夹带出境;甚至有些高手会利用IDE启动DNS通道,再将机密外送。
除内贼外,还有另一个破口,可能致令公司的智能财产外流。例如有些生产工具机或机台的业者,将产品外销至国外的同时,可能遭受逆向工程的破解,导致日后山寨版工具机问市。
持续精进控管功能,阻断内外威胁风险之路
针对前述导致机密外泄的内外威胁,精品科技备妥反制利器,运用旗下X-FORT电子数据控管系统的SVS模块(Secure Virtual Storage),加上SVT模块(Secure Virtual Tunnel),构成双重保护,一来可阻止有心人利用外部服务、或未受防护的网络通道,将程序码或公司机密外泄,二来利用SVT敌我识别限定网络连线,仅允许研发同仁连线到信任受管控服务器,达到合理的程序管控、数据查询及函式库下载,举凡打印、屏幕撷取等不被允许的行为通通会被档下。更重要的,万一研发人员利用IDE、CMD、PowerShell batch批次模式做出任何事,从输入到执行后的输出结果,有完整的轨迹记录,可望遏止内外部风险。
陈伯榆表示,为协助用户不断增强检测与阻止入侵的能力,精品科技持续挹注研发能量,力求进一步扩大X-FORT防守范围,譬如针对MITRE提出的ATT&CK网安架构深入研究,逐一检视292项入侵或窃取技术,做为X-FORT功能精进的参考依据。
与此同时,考量跨国性企业或新创公司的研发同仁经常有差旅需求,可能将研发电脑随时带往世界各国,恐有脱离公司管制措施之虞,因此开始支持X-FORT云端化,让企业将X-FORT运行于Azure平台,使控管范围没有死角,万一有工程师躲在全球不同角落做出异常行径,也都实时将记录上传。
未来制造,云端、物联、数据蒐集已成关键。但是,当生产信息出得去、外部攻击进得来……您知道您的工厂,安全吗?8/8登场的网安论坛,活动主题订为「保障IIoT安全,加速智能制造」,邀请中油信息部经理分享工控系统安全管理经验、工研院资通所专家探讨高科技制造业网安标准,还有重量级业者趋势、研华、四零四、精品…提出最新市场观察与解决方案,全程参与听众有机会抽中PS4一台!免费活动,欢迎各界报名参加。
