IEC 62443 Part 4 Component在台灣被廣泛討論,甚至在Google Trend 上,台灣是世界第一的熱點。討論的範疇從入門到進階都有,但總是少了點什麼。IEC 62443 Part 4由Part 4-1 (IEC 62443-4-1)和Part 4-2 (IEC 62443-4-2)組成。分別對應黃金圈理論的「怎麼做(策略與流程)」與「做什麼(要求)」。然而,在一開始就必須探索的「為什麼」反而甚少人提及,這往往成為專案內相關利害關係人沒辦法對齊相同的目標與願景的主因,進而導致推動上的阻礙甚或失敗。
本篇是從「為什麼」開始,以攻擊者的七個步驟來切入,讓導入IEC 62443的防守方得以理解需求「為什麼要做」以及「為什麼不做」。並且將「要做」的事情由上而下以策略與要求兩個層面說明其核心精神,希望能夠解決防禦資源分散的問題,藉此也建立利害關係人的共同畫面,實現導入的目標。
網路攻擊行動和傳統戰場看似不同,但其實存在很多共通點
戰爭不外乎「爭奪別人」資產的一方,與保護「自己(或利害關係人)資產」的一方。資訊戰和現代戰爭最大的差異,或許僅止於現代戰爭的「資產」偏向於抽象的價值,例如可口可樂的配方、敵國的關鍵軍事設施等等。既然目的相同,達到目標的過程自然相近。儘管網路攻擊因為「決戰於千里之外」的特性,不容易觀察具體的「物理行動」;但假想敵終究是人,過去數千年來,從傳統戰爭所累積的經驗,即便各有巧妙不同,一樣適用於資訊戰攻防的借鏡。
而Lockheed Martin洛克希德馬丁則以駭客實際攻擊為樣本,解析出網路攻擊(Cyber Kill Chain)共有七個步驟,分別為:「偵查(Reconnaissance)」、「武裝(Weaponization)」、「傳遞(Delivery)」、「弱點利用(Exploitation)」、「安裝(Installation)」、「命令與控制(Command & Control)」以及「行動(Action on Objectives)」
[註1].回顧腦海中浮現的傳統戰爭場景,是不是都滿足這七個步驟,在心中充滿既視感呢。
這就是為什麼我們必需經常站在駭客(敵人)的角度,觀察具備專業能力且擁有一定資源與動機的駭客會怎麼攻擊,進而思考如何做好防禦的工作;以下我們想透過文章中的思想演練,邀請讀者們套用於手邊的產品或服務開發系統文件,透過「把手弄髒」的過程,讓IEC 62443的資安標準更接地氣。
攻擊步驟一:偵查
在對目標進行攻擊前,最重要的是搜集目標情報找到突破口,常見的手法可能是社交攻擊,以及主或被動弱點評估(Vulnerability Active or Passive Assessment)。「攻其無備、出其不意」是偵查階段的攻擊方針,因此選用主動或被動取決於對方是否具備偵測機制,例如目標系統是否受到IPS/IDS的保護。在目標設備受到保護的狀況下,使用主動弱點評估有可能在發送封包執行服務掃描的過程中被發現攻擊意圖,而造成攻擊失敗。在此情境下使用被動弱點評估雖然獲得的情資(系統作業系統、系統版本、提供的服務及服務版本)會受到限制,但不失為權宜的做法。
攻擊步驟二:武裝
根據偵查結果是否被揭露,選擇對應的武器(惡意程式)。舉例來說,如果發現目標的服務與版本存在被揭露且可能存在尚未修復的問題,攻擊者會優先取得對應的攻擊工具或相關的揭露資訊。反之,如果找不到任何已知漏洞,攻擊者就需要分析哪一個攻擊層面比較有機會切入,自行開發程式或使用工具,以執行零日攻擊(Zero-Day Attack)。
攻擊步驟三:傳遞
準備好武器後,下一個步驟即準備將武器投射至戰場(目標設備)。常見的作法有透過e-mail、網站、隨身碟等方式。以上幾種方式是透過企業或系統內部「人」的資安流程缺陷投放武器至目標系統。另一種投放策略,則是藉由下一階段的「揭露(Explore)」找出「系統」在產品開發週期的弱點,在取得必要傳輸權限後,將惡意程式傳送至系統內。技術難度相對比較高,但取得權限後有機會完全掌握目標設備的所有權限,甚至做為跳版進攻更有價值的關鍵設備。
攻擊步驟四:弱點利用
在武器進到戰場後,「使用武器的人」以及「攻擊發起線」會很大程度左右戰場結果。對應到資訊戰則是攻擊者在這個階段企圖取得使用者權限以及其權限影響範圍。此階段的重點,在於利用系統漏洞取得權限。大部分的情況,攻擊者會先取得使用者權限後,透過提權取得系統管理者權限.部分情況可能因為系統未做好設定,導致攻擊者直接利用弱點取得系統管理者權限.
攻擊步驟五:安裝
潛伏時間的長短與攻擊目標有關,如果一次性的弱點利用即可達到目標,則潛伏階段相對短暫。但很多時候取得目標權限的目的是等待合適的時間點,發起一次性的精準打擊,因此需要維持先前的弱點利用成果,以確保不受時間影響,在關鍵時刻發起攻擊,例如系統不定期關機或歲修。常見的做法會是作為系統程式安裝在目標設備中,並且使用混淆後的程序名稱在系統背景執行,近期常見的勒索軟體即為此例。
攻擊步驟六:命令與控制 (Command & Control)
命令與控制的目地在於建立攻擊者與目標系統內惡意程式的溝通通道,例如Reverse Shell,透過通道傳送發起攻擊的命令。一般來說,如果系統內有多層防護,例如防火牆設備,在執行時雖然還是有機會透過Port Forwarding 避開防火牆的阻礙,但確實可以很大程度消耗攻擊者的資源。
攻擊步驟七:行動 (Action on Objectives)
發起攻擊階段,常見的攻擊行動有:讓設備停擺、運作延遲、竊取資料或做為其他攻擊計畫發起的行動等。
防禦
如同真實的戰場,不論是攻擊或是防守,都有對應的「戰略規劃」與「戰術應用」,IEC 62443-4-1 即為產品的防禦策略,IEC 62443-4-2 則建立了戰術應用的準則.下文將針對防禦策略與技術要求說明其核心精神並列舉標準要求供各位參考。
防禦策略 (IEC 62443-4-1)
- 偵查
防禦方針在於讓攻擊者「偵查無果」與「不敢偵查」,對應 IEC 62443-4-1 要求:
- IEC 62443-4-1:
SVV-3 Vulnerability Testing分析攻擊層面判斷進出系統的弱點,測試提供的服務或進出的埠口(Port)是否可能被攻擊者用來做為提權(Elevated Privileges)的破口,並執行對應的修補。
- IEC 62443-4-1:
SD-2 Defense in Depth Design根據威脅建模(Threat Modeling)的結果,實作多層防禦機制,藉此降低下一層的攻擊層面(Attack Surface)。
- 武裝
從攻擊觀點可以得知,只要即時修復產品已知漏洞,就可大幅增加攻擊者的攻擊成本,降低攻擊意願。因此這個階段的防禦方針即為模擬攻擊者的武裝流程,透過威脅建模分析攻擊者可能的攻擊模式,並透過相應的測試,檢驗產品是否具有已知漏洞,以及評估是否足以防禦攻擊者的Zero-Day攻擊。
- IEC 62443-4-1 參考內容如下:
- SR-2: Threat Model
- SVV-2: Treat Mitigation Testing
- SVV-3: Vulnerability Testing
- SVV-4: Penetration Testing
- 傳遞、弱點利用與安裝
這兩個攻擊面向的防禦方針,在於降低系統在開發生命週期各階段的安全功能以及透過安全測試,及早發現問題。
- IEC 62443-4-1 參考內容如下:
- SD-4: Secure Design Best Practices
- SI-1: Secure Implementation Review
- SI-2: Secure Coding Standards
- SVV-3: Vulnerability Testing
- SVV-4: Penetration Testing
- SUM-4: Security Update Delivery
- 命令與控制及行動
面對攻擊的行動,不外乎「事前預防」與「事後反應」,對應IEC 62443-4-1參考內容如下:
- 事前預防:SR-2: Threat Model
- 事後反應:
- DM-1: Receiving Notifications of Security-related Issues
- DM-2: Reviewing Security-related Issues
- DM-3: Assessing Security-related Issues
- DM-4: Addressing Security-Related
防禦技術要求(IEC 62443-4-2)分享於下篇文章:IEC 62443-4-1 & IEC 62443-4-2 OT安全的「Why/What/How」(下)
本文為投稿文章,不代表社方立場。