傳統上,大家都鎖定IT設備來進行資安防護,但是當去年(2018)國內知名高科技廠商的生產機台發生中毒事件後且造成重大的損失,這次的案例也給予國內企業重新啟動以往常被忽略的OT設備的安全性。
OT設備的資安威脅
IT人員對於IT(資訊科技)設備的資安維護,其實已經相當的熟悉,但對於生產線上的OT(操作科技)設備則相對比較陌生,這也給了駭客入侵這些設備的可趁之機。Deloitte勤業眾信風險管理諮詢公司協理陳威棋表示,傳統的IT領域重視資料的機密性與完整性,但是OT設備則更著重於可用性與人員的安全,OT設備的管理階層與IT技術階層在溝通方面與理念上有相當大的分歧,但在這些OT設備從比較封閉的環境下,為了因應遠端連線的需求,也逐漸打開了網路大門,同時也將要臨著與IT設備同樣的安全威脅的警覺與重視。
針對製造業產業工控設備的連網需求,目前已經有許多解決方案推出,從訂單流程、車間庫存管理、工廠生產物流等應用,提供自動化分析功能,採取資訊可視覺化的呈現方式,來強化管理上的便利性。陳威棋表示,目前已經有針對製造業的國際資安標準推出,可以提供製造業參考,也有許多資安單位提供工控設備弱點的情資分享,只要定期了解,亦能成為其中一環有效地解決OT設備所面臨的資安威脅。
通過網路行為特徵來阻擋異常操作的威脅
想要找出網路環境中潛在的威脅,目前除了防毒軟體之外,也有其他更智能的選擇。Darktrace網路安全客戶經理王亭懿表示,從人體角度思維,受到人體免疫系統自我學習智能的啟發,Darktrace推出的企業免疫系統,是一種網路防禦機器學習的技術,人體免疫系統會了解身體的正常情況,識別和消除一些不符合正常發展模式的異常值,Darktrace將相同的邏輯應用於企業和工業環境,在機器學習和人工智慧運算法的支持下,企業免疫系統技術可以替代為網路中的每個設備和用戶學習獨特的“行為模式”,若發現異常的網路作業,便可以將這些操作進行隔離,確保系統的安全。王亭懿表示,企業免疫系統已經建立了超過400種的網路行為特徵值,當異常作業出現時便會觸發警告,並進行阻擋,這套系統可以與其他資安系統相輔相成,提供中心監控功能,防止機密資料外洩,並能夠對異常作業進行虛擬隔離,但又不會影響正常工作的運行,相當適合IT與OT環境的運作使用。
監控特權連線避免異常資料存取的威脅
從許多企業實際的案例中,我們可以發現許多機密資料外洩,通常是通過合法授權的帳號進行存取,一般的資安管理系統並無法識別與阻擋這些機密資料的外流。立寶科技產品經理汪育慶表示,機密資料的外洩,通常是透過員工有意或無意的操作,或是經由外部承包商授權帳號進入系統,或者是因為帳號密碼被駭客竊取,透過特權帳號進入系統存取,此外,也有些是經由程式之間的資料分享,導致存取資料的過程中資料被竊取。汪育慶表示, WHEEL公司推出的FUDO PAM特權連線監控解決方案,它可以監控伺服器的連線,並紀錄連線使用者所有的行為動作,包含滑鼠移動的軌跡、鍵盤的輸入以及傳輸的檔案。FUDO PAM不需要安裝任何代理程式(Agent)在被監控的伺服器上,也不需要在用戶端安裝任何軟體來觀看/稽核被紀錄下來的監控內容。它可以監控內部員工、外部承包商或合作夥伴等在伺服器上的動作行為,管理者可以即時地監看所有的連線操作行為,若發現異常動作,便可以即時的阻擋,可提供高科技製造業絕佳的資訊保護能力。