兼顾零信任、零阻挡与低延迟 落实工控网安防护成效
- 台北讯
-
2021年的5月及7月,各发生一起举世瞩目的网安事件,新型态黑客组织藉由勒索病毒攻击,成功瘫痪大型燃油管线、IT托管软件业者的系统,导致民生关键基础设施、连锁超市深受冲击;显见包含生产机台、POS机、ATM、油水电设施等广义的工控系统(ICS),已成为黑客锁定的新目标。
有监于此,趋势科技于日前偕同TXOne Networks举办「OT网安疫情炎上,工业网安的最佳效能防毒」在线讲堂,阐述如何在不影响ICS正常运作下,实现零信任的工控网安防护。
执行工控网安 切忌误挡或拖垮效能
TXOne业务发展总监Ricky Chen指出,新型态黑客集团均以利益为导向,有非常严密的组织,且掌握新型攻击手法,及Zero Day的工具、病毒或蠕虫;他们往往历经长期潜伏、攻进企业,目标不在于整垮任何机台,而是针对企业的作业流程漏洞来发动攻击。
为此TXOne提出新型态的ICS网安部署原则与策略建议,除应遵循IEC 62443标准外,也建议参酌NIST网安架构、实施识别资产、保护资产、侦测攻击、事件回应、损害平复等五步骤网安布局。
谈及工控网安管理者的挑战,TXOne资深产品经理Chiyi Lin认为,最大考验来自工控机台设备上运行的操作系统、软件程序,彷若黑盒子般难以掌控,加上有些已运行逾10年、20年甚至更久的老旧设备,搭载已遭淘汰的操作系统,更增添网安防护困难性。
「更重要的,不管执行任何工控网安防护措施,皆须符合两大严苛门槛,一是『零阻挡』、另一是『低延迟』,」Chiyi Lin说,零阻挡意指网安防护系统不能对产线造成误挡或拦阻,至于低延迟,则需避免因复杂比对或计算而耗用产线系统资源,不干扰生产效率。
侦测PowerShell之不当行为 避免黑客以合法掩护非法
2021年7月惊传的美国托管软件业者Kaseya攻击事件,导致北欧连锁超市龙头Coop受到牵连,被迫关闭800家以上门市,因而令各界震惊。只因Coop的收银系统委托外部业者代管,间接使用Kaseya的软件派送系统,故而遭池鱼之殃,蒙受严重损害。
Ricky Chen表示,Kaseya事件当中蕴含多个攻击步骤,先是利用恶意邮件进行钓鱼、于Kaseya内网散播攻击种子,接着拿下AD服务器控制权,再透过PowerShell派发一些看似合法、实为攻击的程序,终至达成攻击目的。
对此Chiyi Lin分析,在Kaseya攻击事件,PowerShell被利用了两个地方,一是窜改Windows合法程序,使黑客可进行后续加密,二是黑客透过PowerShell关掉Windows Defender。关于这两点,TXOne的Stellar防护系统均可加以拦阻。
且由于趋势科技及TXOne长期深耕零售商家的POS机、银行的ATM,因此也可妥善保护这些终端设备,并在保护的同时能以零干扰、低延迟为大前提,避免影响收银机或ATM的核心功能与运作效率。
Ricky Chen强调,无论制造业、银行、零售商家或油水电公司的设备,肇因OS老旧、或对效能需求至为敏感,促使TXOne在打造ICS网安产品时,融入非常多也非常特殊的设计思维。第一个重点是「ICS网安的鬼灭之刃」,藉由零信任机制严格验证终端与终端之间、服务器与服务器之间传递的信息是否合乎生产线的安全基准,若是才予以执行;与此同时,也能透过最小权限来控管PowerShell或Windows合法程序的使用。
其次,TXOne深知落实零信任防护之余,绝不能因误挡而影响产线运作,故在设计Stellar系列ICS网安产品时,也悉心收集数千种不同的工控系统应用、据此建立工控数据库,做为TXOne Stellar与众多厂牌工控系统之间的信任基准线,以最高权限的运行为优先,不会被Stellar端点防护机制所阻挡,连带也会节约耗用机台里的CPU、存储器等资源,以维持生产效能。
最后考量许多客户仍沿用大量承载老旧OS的机台,但另外也基于供应链重组效应、开始导入一些新型作业机台;驱使TXOne力求新旧兼容,以适应各版本作业平台混杂并存的「多元宇宙」,一方面透过StellarProtect针对新型设备提供轻量化的实时扫毒功能,搭配庞大的工控系统数据库,确保只会对系统造成极轻微影响,二方面利用StellarEnforce的白名单功能,有效阻挡黑客以合法掩护非法的恶意行径,也让搭载老旧OS且效能低落的系统,照样能实现妥善的端点防护,在OT网安疫情中趋吉避凶。
关于TXOne Networks
TXOne Networks是全球网络网安解决方案领导厂商趋势科技与工业通讯及网络领导厂商Moxa共同成立的一家专精工业物联网(Industrial IoT)领域的科技公司。TXOne Networks专门提供适应性解决方案来保护工业机械设备,确保工业控制网络的安全与稳定并防范网络攻击。
