首页 科技正文

实体登入攻击不再是纸上谈兵!

sunbet官网 科技 2019-01-16 245 0

 近年来的资安事件层出不穷,去年Google商店被伪装成Adblock Plus的恶意程式上架,有近4万人下载、今年3月初GitHub遭到史上最大的DDoS攻击,攻击流量高达1.35Tbps,这如果发生在频宽比较小的国家,基本上就是一场国家级的灾难。

以往在电影情节中,总是可以看到核电厂、发电厂被骇客攻击导致重大灾害发生,但这些情节现在都已经实际发生,各种交通号志、净水场、医院、金融机构....都有可能成为攻击的目标。过往只重视电脑、伺服器的安全防护显然不足以应付目前的资安环境,因此政府在「资通安全管理法草案」中把「关键基础设施」( CI:Critical  Infrastructure)列为规范的对象,而「关键资讯基础设施防护」(CIIP:Critical Information Infrastructure Protection)则是指如何保护这些维持关键基础设施的资讯网路系统。 

同时,美国国土安全部每年也会统计一些攻击的相关资讯,「边界攻击」通常是每年之冠,而伪造身份登入、远端控制也都是每年常见的攻击手法。但最近的报告中,却出现了实体存取控制(Physical Access Control)进行攻击。报告公布不久之后,台湾刚好爆发台积电病毒入侵事件,显然对于OT(Operational Technology)的攻击不再只是理论上的计画,而是已经具体成形的攻击。台积电机台被病毒入侵的新闻,在短短的几天之中就造成了近26亿台币的损失,这也再一次的提醒了所有人资安的重要。

「资讯安全」这几个字大家都可以朗朗上口,但台积电事件还有一个更重大的意义是,病毒的攻击,已经不再侷限于传统的IT(资讯科技)环境,就连OT这种工业生产线的机台都是攻击的对象。 

早期的资安事件都发生在IT的环境,很少会针对工业机台、工控系统攻击。但随着工业4.0的高度IT化之后,IT和OT的关连性越来越大,因为在OT的环境同样使用了微软的作业系统,同样也连接了网际网路,这让心怀不轨的骇客也更容易攻击这些平台。

既然这些资安的风险我们都了解,那么要如何打造一个安全的网路环境呢?合勤科技资深经理薄荣钢认为,所有的资安防护要从「资安健诊」开始,然后增加防御的广度和深度才是比较好的资安防御策略。

资安健诊是执行资讯安全防护工作的第一步。

资安健诊三件事:网路、资讯系统、安全设定检视

资安健检可以从「网路」、「资讯系统」和「安全设定检视」这三个部分来分别检视。

  • 网路:网路架构的检视、有线网路恶意活动的检视、网路设备的检视。

  • 资讯系统:使用者端电脑的检视、伺服器主机检视。

  • 安全设定检视:目录伺服器、防火墙Policy Rule检视。

整体来说就是检查与检讨 :

  • 网路架构的规划是不是合理?

  • 骨干频宽是否足够、稳定,管理网段是否独立分流?

  • 关键节点有没有做备援?备援的连接方式有没有跳过防火墙的监控?

  • 跨部门的网路封包是否过滤或做存取控制?

  • 网路设备是不是网管型的?能够告知网路状态吗?

  • 防火墙是否只能做特征码的比对?能过滤恶意网站或阻挡特定地区IP吗?

  • 各种网路权限是否遵循最小管理权限分配?是否符合零信任网路精神?

  • 防火墙Policy Rule的设定是不是合理?

许多公司的防火墙设定,仍然只靠一台防火墙来区隔外网和内网,在现在的网路攻击下,这样的设置显然不够安全。

详细的检查和设定事实上非常多,上述列举的项目是其中的重点,提供给读者参考与规画方向。在典型的网路架构下,大部份企业或机构只依靠一台边际防火墙来区隔外网和内网,孤独的抵抗大量来自外界的攻击;一旦边际防火墙被攻破,所有的病毒或恶意程式就可以长驱直入,全网沦陷。更何况现在许多的攻击并不是由上而下的发动攻击,恶意程式很可能透过终端电脑、手机或是USB随身碟进入内网蔓延入侵。传统上只靠一台防火墙来区隔内外网的观念显然不足以应付现在的资安情况。

其实比较好的做法是,在部门和部门的网路环境之间,或是不同的区域的网路环境前面各自安置一台防火墙,这样才不会因为边际防火墙被攻破,就让全公司的网路都处在病毒或恶意程式的攻击之下。如果可以在不同的区域都设置内层防火墙,除可强化内网流量的过滤机制,更能做到层层的防御。第一层防火墙被攻破,还有第二层、第三层可以持续的保护防止恶意程式蔓延,不致于在第一时间就全公司都沦陷。这和小偷偷车时的情况一样,你加上愈多的锁,增加小偷犯案时的难度和时间。这么做也许会增加一点经营的成本,但对比公司网路被攻陷的损失,这还是比较可靠和安全的做法。 

如果能做到层层的防御,对于公司的资讯安全会更有保障。

另外在IT、OT混用的环境,以合勤科技提供的规划架构为例,在Purdue模型的第三层和第四层之间,直接在南北向放上防火墙,规划了一个3.5层的工业控制介面防护区(Industrial DMZ)。如果没有这层非交战区,那么OT和IT之间等于可以直接通过。所有需要对上(IT环境)的部分都放置在这里,不要让OT直接接触到网际网路,骇客想要攻击OT,最少要经过两道防火墙的考验。(点击这里可看大图)

资安防御四部曲:侦测、蒐集、分析、作动

因为现在所有的设备都连上了网路,如果要增加更多的安全设备,网路设备的告警或管理资讯都日益庞大,用机器来管理机器(M2M)是一个趋势;不然全部的讯息如果都需要IT人员来分析,人力将无法胜任。因为资安事件的触发,往往还涉及了人、事、时、地、物的关联性,在数量庞大的警告讯息下,IT人员有时可能反而不知道要从哪里下手,容易乱了分寸更慌了手脚。

这时智慧网管平台应该要能自动先把这些讯息做蒐集和整理,自动分析、过滤彼此之间的关联程度,再统一发给IT人员来处理。不然几分钟的log就可能产生好几MB的资料量,IT人员想要用肉眼在这大量的资料中寻找关键的问题,几乎是不可能的事情。 

因此面对现在的网路攻击事件,合勤科技资深经理薄荣钢指出,资安防护系统应具备「侦测」(Detection)、「蒐集」(collection)、「分析」(analysis)和「作动」(action)等技术,在网路攻击发生时就可以侦测到,并且蒐集以及分析这些恶意程式的行为,在第一时间做出相对应的动作。
现在资安的防御观念是增加防御的深度、把纵深拉长,时时监管。

简单的说,就是内网设备必须具备良好的侦测功能,在第一时间知道是不是有非法入侵或异常行为、有没有奇怪的封包在公司网路流窜?侦测到了之后,可以自动把这些相关的资讯上传到资安平台分析;利用机器学习、结合人工智慧,根据分析的结果在第一时间做出相对应的动作,例如发出告警,甚至能提供阻挡方法,让灾情在第一时间可以受到控制,而不能只是单纯的提出警告后,就没有其他的作为。

未来资安将决战云端!   

薄荣钢强调,单一防火墙戍守边际的时代过了,利用云端智能,建立关联、分析、吿警、阻挡机制,将成为趋势。

进阶持续性渗透攻击(Advanced Persistent Threat, APT)是近年常见的网路攻击型态,攻击者会针对要攻击的对象设计一套专门的攻击策略,低调、缓慢地进行,利用各种复杂的工具和手法,入侵被害人网路外,也会使用蔓延、渗透的方式来达到窃取资料或破坏的目的。

为了要有效缩短零时差攻击的时差,合勤在九月中已推出一款防止APT攻击的产品线(台湾预计年底上市),可利用沙箱模拟技术把关,一旦未知档案判定为恶意病毒时,将透过云端智能进行追踪告警及全球联合防御未知威胁,确保客户资料的安全。

在网路攻击型态千变万化,资安风险日益高涨的环境下,想要维护公司的资讯安全,务必记得先检查公司的网路健康指数,从设计逻辑到部署的位置以及设定的规则,都应逐一确认。有些设备的功能老旧,不足以应付新型态资安环境者,也要尽快更新,并采购具有权威认证(ICSA或Common Criteria等)的新世代防火墙。规划区域联防的网路架构,把防御网拉长拉深,做好层层防护,增加骇客攻击时的难度,同时搭配智慧网管系统,才能在第一时间快速掌握网路异常状况,即时排除威胁,最后不忘提醒各位读者,资安防护与入侵好比矛与盾,除建立良好的防护系统外,时刻备份、备份、再备份才能高枕无忧、永保安康。



Shares

Facebook LINE Twitter Google+

版权声明

本文仅代表作者观点,
不代表本站Sunbet官网的立场。
本文系作者授权发表,未经许可,不得转载。

好文推荐

标签列表

    站点信息

    • 文章总数:711
    • 页面总数:0
    • 分类总数:8
    • 标签总数:0
    • 评论总数:0
    • 浏览总数:75799