早在 2500年前,孫子充分展現了中國文化的智慧,這句話中有三個關鍵字:「敵」、「我」、「待」。其中「敵」,根據其「意圖」、「動機」、「能力」與「資源」依威脅程度分級為:
- 非故意且不具對應能力與資源的非授權使用者。
- 故意但動機不足、不具特定能力與資源不算充裕的非授權使用者。
- 故意且具有中度動機、具備對應的安全能力且具備中度資源的非授權使用者。
- 故意且具備高度動機與對應的安全能力。此外,還有高度資源(可能是國家等級資源)的非授權使用者。
至於關鍵字「我」、「待」,面對以上四種等級的敵人,「我」們應該視「可用的資源」以及「我方」願意承擔的風險,選定對應的安全等級,是吾有以「待」之。攻擊總是比防禦需要準備更多資源,因此攻擊方的策略是將資源挹注在少數有機會的缺口,找到破口後再深入挖掘可以利用的漏洞,獲得更多可供利用的破口;防禦雖然有先天的優勢,但因為守備範圍廣,所以重點在於延展防守的廣度以及縱深的防禦。根據可接受的風險選定對應的策略,除了避免殺雞用牛刀的情況,也藉由這樣的方式,讓資源能夠聚焦在關鍵的資產部位,降低風險。
防禦技術要求(IEC 62443-4-2)
安全限制
在進入安全要求前,有四項安全限制是不可以違背的,藉由這四項限制讓產品與系統的安全策略一致,不相牴觸。
- 先求不傷身體在講求療效:必須支援必要功能(Essential Function)的運作。
- 成功不必在我:不需要所有安全要求都由單一產品(元件)實作,也可以透過系統內的其他元件藉由縱深防禦補償安全弱點。
- 建立防火牆:所有的元件(Component)僅開放運作所需最小權限,避免攻擊者攻擊成功後取得不必要的權限。
- 戰略與戰術協同一致:戰術與戰略相互搭配,才能避免建樹不見林的問題,IEC 62443-4-2的技術要求必須與IEC 62443-4-1定義的防禦策略一致。
七大基礎要求 (Fundamental Requirements, FR)
- FR 1 – Identification and Authentication Control
以保障授權使用者合法存取為目標,從非授權存取手法分別就「攻擊路徑」、「帳號與識別管理」、「識別器(Authenticator)管理」、「密鑰/公私鑰管理」這幾個面向進行要求。常見的Public Key Infrastructure (PKI) 管理議題、證書洩漏或過期問題都屬於此項。在此項如果發生資安問題,常見的影響會是敏感資料外洩以及系統被非授權使用者接管或控制,同時也是攻擊者取得基礎授權的第一步,不可不慎。
- FR 2 – Use Control
FR 1 講的是角色或是使用者的識別,FR 2則是通過識別後的權限控管。其內容涵蓋了「授權管理」、「會議(Session)管理」、「動態執行碼(Mobile Code)管理」以及「稽核資料保護」。常見的會議劫持(Session Hijacking)、跨站請求偽造(Cross Site Request Forgery, CSRF)、跨網站指令碼攻擊(Cross-Site-Scripting, XSS)都屬於此範圍。此項目長踞OWASP Top 10,且頻繁出現在網站服務以及遠端服務上,漏洞數多且攻擊成功率高,是防守方需要特別留意的項目。
- FR 3 – System Integrity
FR 3規範了「通訊、程式碼、軟韌體與會議(Session)的完整性」,以及問題發生時的反應機制。當中的「注入驗證 (Input Validation)」與「惡意程式防護(Protection from Malicious Code)」是在「揭露」階段常用的手段。透過注入攻擊(Injaction Attack)觸發異常行為,例如:記憶體溢位,進一步執行惡意程式(Malicious Shellcode)取得控制權;惡意程式防護在程度上也與注入攻擊相似,只有在攻擊的策略有不同。
其中,在針對嵌入式設備的要求(Embedded Device Requirements EDR 3.2)中,特別列舉對應的防護機制,諸如:No Execute (NX) bit、Data Execution Prevention(DEP)、Address Space Layout Randomization (ASLR)等等。雖然進階的攻擊手段有機會繞過上述防護機制,但也著時遏止初階的攻擊行為,以及消耗中高階攻擊者的資源,降低攻擊動機、增加反應時間。
- FR 4 – Data Confidentiality
FR 4 定義了「敏感性資訊的保護要求」以及「使用的密碼邏輯」。其中,「使用的密碼邏輯」推薦以NIST FIPS 140定義的密碼模組規範,以提供防護端更完整的安全要求標準以及指引。
- FR 5 – Restricted Data Flow
FR 5定義了「網路切割要求(Network Segmentation)」並導入「Zone」的概念,藉由相同安全能力的設備,組成Zone的範圍.並以安全能力決定Zone 與Zone之間允許傳遞的資訊,藉以將重點資源投放在關鍵的設備,例如 Zone和Zone的邊界,做好資料流的管理。
- FR 6 – Timely Response to Events
FR 6除了定義「稽核紀錄管理」以在於問題發生時判斷問題來源、盤點損害範圍並快速做出反應外。也定義了「持續監控機制」,期能在最快時間內偵測入侵活動。
- FR 7 – Resource Availability
FR 7規範了「資源管理」以及「系統備援機制」,解決或降低目標設備資源被耗盡後的影響。今(2021)年即發生好幾起國內網路供應商受到分散式阻斷服務攻擊,導致系統無法正常提供服務的情況。倘若防禦端的設備與健康、安全及環境相關,則更需要留意此類型的攻擊行為,避免造成人員、財產的損失。
結語
矛盾不矛盾
楚人扮演一個常見的標準錯誤示範:「只有規格但沒有測試,如何驗證結果?」,但他很幸運的被點出問題,「以子之矛陷子之盾,何如?」雖然故事沒有下文,但如果故事背後的展開是楚人在每做出一面盾之後,便根據這個盾的用途與使用情境,選擇合適的矛做測試。測試的結果作為矛與盾的改善標的。在持續的強化迭代下,矛與盾不再矛盾,最終成為捍衛楚國的神兵利器。
對比IEC 62443,持續符合情境的改善方案記述在IEC 62443-4-1;定義矛要多利、盾要多硬的則是IEC 62443-4-2的範疇.如果不想和故事中的楚人踏進相同的誤區,兩個標準必須相互搭配成為增值迴路,不可或缺。
此外,資安威脅是期待的安全等級與實際安全防護間的差距,補足這段差距的是名為IEC 62443-4-1的策略,以及IEC 62443-4-2的要求。這當中最容易被忽略的是「實際安全防護」的量度。除了透過威脅建模以及相關測試作為模擬考與隨堂考之外,更重要的是理解攻擊者的思維脈落,才能根據自身能夠承擔的風險對症下藥,讓防守方取得與攻擊者在不對稱戰場上匹敵的能力。
如何抵擋駭客攻擊,提升工控系統主動防禦力? (上篇)
本文為投稿文章,不代表社方立場。