打造零信任網路 實作威脅分析與回應
台灣可說是全球最多病毒樣本數量的地區之一。合勤科技資深經理薄榮鋼說明,美國國家地理空間情報局(NGA)前資安長Lance Dubsky在公開演講中明白指出,台灣是全球被APT攻擊最嚴重的地區,高達60%的機會遭受攻擊。合勤科技身為本土最具代表性的資通訊廠商感受特別深,在台灣的研發總部經常成為國際駭客組織鎖定標的,使得內部IT部門的技術人員練就一身抵抗攻擊威脅的技能,進而發展資安防禦解決方案。
現代物聯網架構主要是由IT與OT所組成,兩者之間的差異,就技術層面來看,IT為OSI模型架構,OT環境則是遵循普渡(Purdue)模型。薄榮鋼進一步說明,IT環境中典型網路架構,主要仰賴邊界防火牆抵抗外部攻擊,保障核心的ERP、檔案伺服器等系統安全性。在行動裝置普及、物聯網起飛之後,滲透入侵管道更加多元,邊界防護可發揮的效益大幅降低;OT環境的普渡模型,現階段大多會採納ISA 99/IEC 62443建議的網路安全控管措施,例如弱點檢測、身份驗證、實體網路攻擊防禦等方向確保工控系統的安全性。在工業4.0的發展下,為了便於維運、節省物料等目的,IT系統開始延伸到OT領域,運用人機介面來控管底層設備。 以國際間發生過的新聞事件來看,OT環境的攻擊破壞力更大,例如2015年烏克蘭電力網路,由於員工誤點選釣魚郵件觸發BlackEnergy惡意程式,導致數十萬戶大停電;2017年中東石油工廠遭受Triton病毒入侵,生產流程被迫中斷,可說是工控領域的製程安全系統首次遭受重大感染。Triton對於施耐德電機工業控制系統(ICS)的熟悉程度,足以發動針對式攻擊,勢必得投入大量研發成本,顯然是國際級駭客組織所為。對於台灣而言,最有感的莫過於2018年台積電遭受WannaCry蠕蟲感染事件,使得全台產線大當機,營收損失超過50億台幣。
「欲對抗現代已知或未知型惡意程式,甚至是針對性的攻擊活動,打造零信任網路已是全球發展趨勢。」薄榮鋼強調。零信任網路的概念,是由Forrester研究中心分析師John Kindervag在2013年所提出,強調的是驗證、保持警戒,以及微切分(Micro-Segmentation),藉此降低資安事故發生時的損害範圍。發展到2018年,Forrester首席分析師Chase Cunningham再提出更新版,除了前述的要項以外,還必須把人事時地物的資訊也一併納入掌控,藉由提供單一登入機制,讓IT與OT環境統整記錄資訊以建立可視性,並且運用機器學習演算分析大數據,產出的智慧再回饋到網路層執行監看與控管。合勤科技既有的統一威脅管控(UTM)加上進階威脅防護(Advanced Threat Protection,ATP),整合雲端平台以機器學習演算模型解析大數據,及早發現合法行為的異常之處,進而觸發攔阻,即可協助對抗刁鑽手法的滲透活動。
資料免落地與滲透測試解除漏洞威脅
物聯網裝置呈現爆炸性成長,早在2011年思科即已預測,物聯網發展到2020年將會有500億台裝置;2017年全球知名經濟及商業諮詢機構IHS Markit,則預估物聯網發展到2030年,將有1,250億台設備。這麼大量的連網裝置勢必得採用更有效率的控管,跨領域之間彼此交換資料以增添更多應用模式,才得以發揮商業價值。 此外,Citrix技術顧問張晉瑞指出,多年前就有資安專家提出,每個連網裝置平均約有25個漏洞,最大問題是傳輸未加密保存、不安全的操作介面、身份認證機制不夠嚴謹,才被駭客組織利用成為跳板,進而感染更高商業價值利益的系統。Citrix致力於打造安全的數位空間,基於桌面虛擬化打造連網環境,傳遞的資料只有畫面與滑鼠訊號,若發生任何問題,僅需重新開機回到初始狀態,抑或是刪除後重新建置,才不至於讓惡意攻擊有機可趁。
Micro Focus企業資訊安全資深技術顧問李柏厚指出,整體物聯網應用的架構由下而上依序是分散式感應器及執行器、蒐集器、連線層、運作及控制物聯網架構、應用層。不僅場域規模大小、技術平台的差異性很大,基於MIPS、ARM、x86等商用晶片研發的韌體也完全不同。裝置中可能會存放高機敏性資料,例如刷卡應用,感應器所產生的資料統一地送到蒐集器,就如同SCADA的角色,在實體設備通訊與TCP/IP之間進行資訊的擷取與轉換,之後再連線傳輸到大數據系統或雲端平台,運行更多統計分析後以圖形化方式呈現,以便於IT/OT的維運控管。
實體連網裝置的資安問題,多半是利用漏洞注入攻擊程式,或是直接掌握最高管理權限帳密,合法地控管裝置,藉此為跳板橫向移動,取得高權限帳密與機敏性資料。李柏厚從實際接觸高科技製造業的經驗發現,「IT部門認為生產線機台必須安裝防毒軟體,問題是安裝後明顯地拖垮整體運行效能,根本沒有人擔得起責任,確實是高科技製造業面臨的窘境。」
從入侵手法來看,不外乎硬體式、韌體逆向工程、前端應用程式入侵。李柏厚說明,硬體入侵方式可說是門檻最高的手法,攻擊者必須對於硬體設計架構具備相關知識。最常見的是韌體逆向工程手法,以路由器裝置的Bin檔案為例,知名的Binwalk工具即可實作,取得Bin檔案包含的壓縮檔格式與系統資訊,擷取出來後拋到模擬環境中運行,藉此解析程式碼邏輯,挖掘出可被利用的漏洞,抑或是從系統中擷取到登入帳密。
至於前端應用程式介面滲透手法則相當多元,最簡單的即是竊取Cookie來劫持用戶登入帳密,以及常見的SQL注入攻擊來竊取個資。現階段較難防的是跨網站偽造請求(CSRF)攻擊,連網裝置的遠端控管介面大多為輕量級的網頁應用服務,無法增添太多控制點,攻擊者可偽造用戶登入請求的參數,散佈在網路上的公開論壇中,增加點選執行指令的機會,以增添使用者帳密等行為,讓攻擊者可合法地登入操控裝置。 預防應用程式被利用,最有效的方法莫過於原始碼掃描與滲透測試。Micro Focus旗下知名的Fortify即可協助,用以挖掘出潛在弱點。對於連網裝置的認證,通常會運用身份與存取權管理(IAM)方案來輔助辨識,Micro Focus亦有提供認證管理平台來降低複雜度。
硬體安全晶片 從核心阻絕入侵攻擊
關於硬體式的攻擊手法,銓安智慧科技(IKV)總經理鄭嘉信觀察,由於連網裝置製造商長期輕忽培養軟體研發、測試人才,再加上導入應用的企業資安意識不足,才導致高風險的連網裝置有將近八成之多。
日前台灣首次出現電動車特斯拉自動駕駛撞車事故,自駕車的安全性問題再度引發關注與討論。鄭嘉信指出,其實2015年國際大廠克萊斯勒曾召回全球大約140萬輛的Jeep系列,原因是在年度黑帽大會中成功展示了破壞中控系統,利用4G網路遠端入侵進而控制。事實上,各種應用場域的嵌入式系統漏洞百出並不讓人意外,畢竟部署上線後的裝置,過去根本沒有建立如同手機系統一般的定期修補更新機制,直到Mirai病毒所操控的殭屍網路發動超過Tbps等級的DDoS攻擊,才敲響資安警鐘,大眾也才得知物聯網攻擊威力。
根據資安業者Positive Technologies統計,已經遭受駭客組織控制的網路攝影機,全球大約有350萬台,現在被廣泛使用在中小企業、學校、家庭的網路攝影機,有90%存在漏洞,可輕易被滲透入侵,甚至只要成功滲透一台,其他台也可採以類似手法入侵。