运用微分段、虚拟补丁及白名单管控 扞卫工控环境零信任网安
- 萧怡恩/台北讯
-
现今黑客如同商人做生意一般,不断设法拓展攻击版图、寻找新的获利机会。影响所及,网安在企业经营策略中扮演越来越重要的角色。位居全球供应链关键枢纽的台湾,对网安的依赖度更节节攀高。
趋势科技在近期推出一系列LetsTalk Online 2.0在线网安议程,以「保护智能工业环境」主题揭开序幕,协助制造业理解如何采取正确的策略、因应强大的网安威胁,确保产线持续运作。
肇因多项脆弱因子,增添OT网安难度
趋势科技资深技术顾问黄源庆表示,因疫情影响,多数制造业者加速智能转型,以因应营运面及供应链产能需求。其中主要的转型策略,在于透过机联网,将设备数据采集至营运中心,以分析出优化产能与良率的决策。
但联网如两面刃,导致2021年工厂网安事故层出不穷,台湾高科技制造业也在这一波受骇。这些攻击除冲击产线运作外,也使上市柜制造业者有影响商誉之虞。
据国外ICS-CERT Advisories披露的工业控制系统漏洞,2021年较前一年大增56%,且超过七成属于中高等级风险,显见事态严重。
然而企业急欲补强OT场域防护,却不易做到。黄源庆分析,最大症结在于OT场域充斥者未做网络隔离、未做设备控制、无法补丁、拥有大量老旧机台与保固过期的操作系统等不利因子,以致无法沿用传统网安方案。
网安零信任,精准补强OT场域安全防御,产线营运不中断
为落实OT场域网安维运,趋势科技主张采取零信任原则。重点包括实施微分段及虚拟补丁、针对应用程序及网络进行白名单控制。而趋势科技提供的零信任方案,将针对设备、网络、应用程序等资产配置,连同使用到的数据、通讯协定、流程都加以学习,据此产生baseline,锻造出零信任模式下的可适性模块,进而部署于场域内,确保各个营运环节流畅运转、不受威胁侵扰。
前述零信任方案,应用情境包含Portable Security系列扫毒棒,可针对入站与出站设备执行离线检查,优点包括无需安装、简单易用、支持Air-Gap环境。其次是Stellar系列白名单保护机制,内含专属OT应用程序数据库,可防止不必要误判,确保产线关键任务持续运行。此外针对网络防护、趋势科技提供Edge系列产品,支持网络微隔离(Micro Segmentation)、网络通讯保护等功能。
基于上述产品组合,黄源庆列举多种应用案例。首先是扫毒安全检测,包含机台入厂前的扫毒检查、设备出货前的扫毒检查,及定期实施的机台扫毒检查稽核。
其次是藉由白名单应用程序管控、保护关键机台与系统。主要藉由Stellar Enforce启动Lock Down机制,确保设备、SCADA和HMI仅能执行符合白名单的程序。
第三个案例是微隔离。企业内部总有某些产线或设备极为重要、不容停顿,此时可将它们各自切割为细小区域,再利用趋势科技EdgeIPS/EdgeIPS Pro/EdgeFire做一对一串接,确保每个分区都先经过IPS检测、才会接到Core Switch或Fab Switch,避免因单一设备遭到攻击而连累其他分区。
再来的应用案例是弱点防护虚拟补丁,可避免场域脆弱的ICS设备遭受内网攻击或零时差攻击。且透过网络通讯控制白名单,支持工控或Fab场域常见的Modbus、Profinet、S7COMM、Etherent/IP、SECS/Gen等ICS工控协定,确保每台设备或控制器,都仅能与指定的设备执行控制或数据交换。最后的案例是厂区边界安全、区段胁隔离,透过Tipping Point IPS提供边界防护、厂区/安全区/主机群防护等功能。
整体来说,藉由在OT场域建立零信任网安架构,以扫毒检测来稽查脆弱设备,透过白名单保护来禁止非预期程序执行,加上网络部分的边界隔离、区段隔离、微隔离,足以确保所有产线资源都受到完善守护。此外趋势科技加码推出OT网安健诊服务,期望引导企业了解自身场域的脆弱点,进一步达到网安强化,落实产线营运不中断目标。
如欲回顾精彩议程,并报名接续的在线网安议程,请至LetsTalk Online 2.0活动网站。
