https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

隔離是阻止威脅最好的方法

2017 / 11 / 19
編輯部
隔離是阻止威脅最好的方法

新科電子研發Black Computer取代虛擬機器,以硬體分隔內外網路兩區域,解決零時差攻擊威脅並避免機密資料外洩。

來自新加坡的新科電子(ST Electronics)日前來台與智邦科技共同舉辦「他山之石,台灣資安新動能」研討會,會中分享新加坡政府近年在網路安全的政策與思維。今(2017)年7月聯合國國際電信聯盟(ITU)發表網路安全指數報告(Global Cybersecurity Index 2017),調查193個會員國在網路安全方面的投入,新加坡擊敗美國名列第一。

推動數位經濟 網路威脅不容忽略 
網路安全威脅與日俱增,今年5月的WannaCry勒索軟體造成全世界超過30萬台電腦受害,就連Intel晶片韌體中的管理功能AMT、SBT及ISM等都存在安全漏洞,可讓攻擊者獲取遠端控制權限。加上越來越容易取得的駭客工具,都讓網路犯罪已成為各國政府欲推動數位經濟上最大的阻礙。 

包括美國、英國、德國、以色列等國已透過不同角度發展各國網路安全策略,例如美國強調發展網路安全科技產品與人才培育,德國與歐盟合作分擔網路安全治理責任,以色列政府重視人才發展,其網路安全產品出口量僅次於美國。而新加坡政府則提出以下四大方向發展其策略:構建彈性基礎設施、建立安全的網路空間、發展活力的網路安全生態系、強化國際夥伴合作關係。 

新加坡在2015年就設立網路安全局負責相關政策的推動,其中為了避免公務系統受到網路威脅攻擊同時防止機密資料外洩,更制定於今年5月所有公務機關禁止公務電腦連上網際網路的規定,公務員只能透過個人裝置連上網路,有公務上網需求者另外配發可上網的電腦,然而這對於需要出差的人員來說不啻是另一沉重的負擔。 

普遍而言,一個成功的網路攻擊需要具備以下三項條件:一、系統容易遭受感染;二、威脅可達性;三、威脅能力,即攻擊者容易找到攻擊工具。要能避免上述三條件構成網路攻擊,唯有阻止威脅可達性的成立。新科電子認為進行隔離是阻止威脅可達性最好的方法,如此可增加犯罪者的攻擊成本,且使其無法發動遠端攻擊而需近距離靠近目標環境,且很難利用漏洞發動攻擊。 

“很多時候,網絡事件的興起是由於用戶缺乏意識,自滿和粗心所致。因此,通過確保用戶的設備安全性來保護企業的關鍵基礎設施,是我們研發這產品的關鍵因素。我們利用了我們深厚的工程專業知識,開發系統解決方案,讓用戶在不會影響效率和便利的情况下,能夠安全的在同一架電腦同時運用安全和不安全的網絡。” 新科電子網絡安全系統集團副總裁,吴膺俊先生


新科電子 實體與網路隔離有一套 
新科電子分析現有的隔離方案,可分為徹底實體隔離與網路隔離兩種。徹底實體隔離是在工業環境的操作技術如SCADA系統中常用的隔離方案,然而這種隔離方案也不是無法被破解,例如美國中央情報局 (CIA) 設計野蠻袋鼠工具 (Brutal kangaroo),在沒有接近目標環境下也可滲透組織的封閉網路,透過先感染目標的對外連網電腦,並安裝野蠻袋鼠惡意程式,接著感染列在白名單上的USB,惡意程式就可被傳送到目標電腦,偷取資訊後送回C&C主控台。 

至於網路隔離方案,可分為硬體與軟體兩種做法。硬體是指透過兩台電腦,一台連網際網路,另一台連接內網。此種作法須考慮以下三點:
1.兩台電腦間的檔案傳輸問題。可以確定的是需要更多USB隨身碟在兩台電腦間移動資料,然而USB列入白名單管理就萬無一失嗎?USB若遺失恐怕又是機密資料的外洩;
2.兩區域的管理和監控。由於使用者可能便宜行事,因此可能會在對外網路電腦上進行機密工作,且對外網路電腦仍需加強防止網路攻擊,因此兩台電腦的作法只會增加受攻擊的面向;
3.可用性、後勤和其他隱藏成本。兩台電腦將需要增加電腦切換器,同時也會增加維護工作如更新修補、系統強化等工作,同時對經常出差的使用者而言太多裝置也是累贅。 

新科電子Black Computer 以硬體分隔外網與內網 
而透過虛擬機器(VM)則是軟體解決方案,使用者在現有作業系統下運行另一個作業系統,較適合家庭環境而不適合企業應用。需考慮以下幾點:1.VM不適合技術不強的使用者,因為系統操作上較不直截了當;2.漏洞管理具有挑戰性,因為需監控所有漏洞,並為配置的所有電腦做更新;3.如何監控電腦和VM之間的檔案資料傳輸?若允許VM和主控作業系統進行資料傳輸,可能會傳佈惡意軟體並造成機密資料洩漏,若不允許傳輸,如資料都在網際網路電腦上,使用者可能又會在VM連網電腦上進行機密工作。 

新科電子自行研發Black Computer,以硬體分隔兩個區--不可信區可連上網際網路,可信區只能連內網。資料若要從不可信區傳到可信區需要先經過清理,清理方式包括防毒軟體、惡意程式偵測、靜態檢測等,可避免圖檔夾帶惡意程式碼。透過單向閘道伺服器,讓資料只能進來不能外流,而資料在可信區也需經過加密以防竊聽。除了自行研發資安產品外,新科電子亦有資安營運中心(SOC)提供政府與企業專業資安服務與攻防演練培訓課程等。