本篇是這系列的第 4 篇,我們將介紹一些與工業物聯網相關的議題,包括在現代化環境當中導入網路資安策略的挑戰。
本文聚焦工業物聯網 (IIoT)。大多數的製造業者都面臨了如何保護老舊系統以及如何在現代化環境內導入 ICS 資安原則的挑戰,以下介紹三場 S4x23 大會上的演講來探討這個議題。
主講人:Marianne Bellotti
Marianne Bellotti 擁有 15 年以上的軟體工程師資歷,每一家她所待過的機構,包括美國政府單位與民間機構,都面臨了老舊系統的問題,不論規模大小、也不論歷史有多悠久。最近她撰寫了一本新書叫做「Kill It with Fire」(用火來解決),主要是根據她豐富的經驗來探討老舊系統現代化的議題。她在這場 S4x23 的專題演講上將該書的精華介紹給聽眾。
隨著 IT 與 OT 之間的連結越來越緊密,ICS 端點的防護也更加重要。這份研究說明全球工業環境的資安現況以及 ICS 端點已知及最新的威脅。
工業控制系統(Industrial Control System,ICS)的導入,讓許多產業的營運變得更有效率。這類系統的效益來自於 IT (資訊技術) 與 OT (營運技術) 之間的彼此連結,進而提昇營運的效率和速度。只可惜,這樣的連結卻也意外地讓 ICS 暴露於網路攻擊的威脅。
保護 ICS 系統對企業來說至關重要,而其中一項需要妥善保護的就是 ICS 端點裝置。在這份「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints) 當中,我們整理了各種 2020 年 ICS 端點感染最多的威脅種類,希望能協助產業保護這些系統並防範當前及未來的資安問題。
ICS 勒索病毒 Ransomware 可能造成企業無法控制或查看其生產流程,因為這類攻擊會將各種檔案加密,其中包括這類系統用來產生操作介面的影像與組態設定檔。這將使得企業營運中斷,造成營業損失。此外,受害企業還可能因為遭到勒索而蒙受財務損失,因為越來越多的勒索病毒集團會威脅要公開他們偷到的企業資料。
2020 年,我們偵測到最多的 ICS 勒索病毒變種為:Nefilim、Ryuk、 LockBit 與 Sodinokibi,絕大多數都是來自 9 月至 12 月增加的攻擊案例。
繼續閱讀趨勢科技研究報告「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints) 指出了 ICS 端點當前的資安情勢與相關威脅,我們根據研究資料整理出一份惡意程式與灰色軟體偵測數量十大國家排行榜。
與台灣相關的報告包含:
企業 ICS 感染勒索病毒情況最嚴重的地區是美國,其次是印度、台灣和西班牙。
工業控制系統 (ICS) 環境的 IT 和 OT 系統之間正日益緊密連結,這樣雖能提升效率,卻也帶來更多威脅。所以,企業應仔細檢視各種潛在的資安問題以防範駭客入侵。
趨勢科技研究報告「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints) 指出了 ICS 端點當前的資安情勢以及這些端點所面臨的相關威脅,包括:勒索病毒 Ransomware (勒索軟體)、挖礦( coinmining )程式、傳統惡意程式等等。我們根據研究資料整理出一份惡意程式與灰色軟體(Grayware) (可能有害的應用程式、廣告程式、駭客工具等等) 偵測數量最多的十大國家排行榜。
圖 1:十大國家的 ICS 偵測到惡意程式與灰色軟體的百分比。
以下是各類威脅相關的一些發現:
企業 ICS 感染勒索病毒情況最嚴重的地區是美國,其次是印度、台灣和西班牙。
但若以擁有 ICS 的企業機構遭 ICS 勒索病毒攻擊的比例來看,那麼其實排行榜前三名分別是:越南、西班牙和墨西哥。
2020 年感染挖礦程式最多的國家是印度,其中數量最多的變種是 MALXMR。在 ICS 端點感染 MALXMR 的國家中,印度就占了所有偵測案例的三分之一以上,這顯示該國的 ICS 系統普遍存在著 EternalBlue(永恆之藍) 漏洞,這一點從該地區感染 WannaCry(想哭)勒索病毒的比例相當高也可獲得印證,因為此勒索病毒也是攻擊 EternalBlue 漏洞。
要防範 ICS 相關的威脅,企業應定期修補及更新自己的系統。儘管這是一項相當繁瑣的程序,尤其是老舊系統,但卻是防止威脅入侵造成嚴重損害的必要手段。假使修補系統對企業來說不可行,那麼企業可以改用虛擬修補技術。
除此之外,企業還可將網路細分成不同網段,將網路存取及通訊限制在必要的裝置與通訊協定,進而提升資安。另外,遵守最低授權原則,讓員工僅擁有工作上必要存取權限,其他一概不准,這樣也有助遏止威脅擴散。
同時,也可借助資安解決方案的協助,例如,TXOne StellarProtectTM 是一套應用程式控管資安軟體,可限制端點裝置只能執行一些已知良性的執行檔和處理程序。這套解決方案可提供無病毒碼式防護,結合機器學習與 ICS 信任根 (root of trust,簡稱 RoT) 來防範已知及未知的惡意程式。
如欲了解更多其他建議和研究發現,請參閱我們的完整報告「2020 年 ICS 端點威脅報告」(2020 Report on Threats Affecting ICS Endpoints)。
免責聲明:請注意,這些偵測數據是來自我們 Smart Protection Network™ (SPN) 全球威脅情報網的感測器,因此會受限於 SPN 的涵蓋率,而區域排行及各項數字也會受到我們的市占率影響。
原文出處:Top Countries With ICS Endpoint Malware Detections 作者:Matsukawa Bakuei、Ryan Flores、 Lord Alfred Remorin 與 Fyodor Yarochkin
本文由 DIGITIMES 採訪撰稿
今年(2020)對於製造業、關鍵基礎設施行業來說,可謂命運多舛的一年,許多知名業者淪為資安事故的受難者,連帶造成營運生產中斷、影響社會大眾,使「工控安全」頓時成為熱門議題。
持平而論,現階段許多OT場域的工控安全水平,其實有極大補強空間,只因不管談到隔離管制、安全配置、管理盤點乃至 ACL…等等資安基本功,多半做得不盡確實;憑藉這般薄弱基礎,又積極推動數位轉型和機聯網,唯恐門戶洞開,招惹更多資安威脅進門,著實令人憂心。
近期歷經多起資安事件震撼教育,已讓多數業主意識到工控安全的重要性。趨勢科技強調,由於近年來針對工控資安鑽研甚深,歸納發生頻率最高、也最容易導致營運中斷的工控資安事件,即是勒索蠕蟲、APT Ransom及Coin Miner三大類;它們屢屢攻擊得逞的癥結,在於 OT場域普遍存在的資安風險,包含大內網環境、幽靈設備無法管理、不安全的認證存取、老舊未更新電腦設備、人員疏失、無基本安全防護,以及無法即時查覺威脅擴散。
為此,趨勢科技悉心擘劃 OT Security三大安全策略。首先是「隔離管制」,利用邊界防護、區段隔離、微隔離(實體隔離)及單機隔離(邏輯隔離)等由淺入深不同層次的安全隔離機制,化解大內網、不安全認證存取等難題。其次是「威脅可視」,透過產線設備資產偵測、場域威脅即時監控,補強幽靈設備無法管理、威脅擴散無從即時查覺等罩門。再來是「關鍵保護」,藉由白名單應用程式Lockdown方案、重要主機多層次防護方案、掃毒隨身碟等重要工具,一次弭平無安全防護、老舊未更新電腦、人員疏失等風險。
呼叫器是醫療機構維持院內通訊的一項重要工具,如此可以避免使用一些可能干擾重要儀器運作的技術,例如手機。但一起加拿大呼叫器系統洩漏病患個資事件告訴我們,呼叫器顯然並不安全。
非營利組織「開放隱私研究學會」(Open Privacy Research Society) 最近發布一份新聞稿指出,加拿大溫格華地區發生醫院呼叫器系統洩漏病患私密醫療資訊與個人身分識別資訊 (PII) 的情況。該學會表示,這些資料在傳輸時並未加密,因此很可能被歹徒所攔截。這引起了加拿大隱私專員公署 (Office of the Privacy Commissioner) 的注意並著手進行調查。
這起事件所外洩的病患資料包括:姓名、年齡、性別、診斷記錄、主治醫師以及病房號碼。開放隱私研究學會已將這些外洩的資訊與可公開取得的訃聞進行交叉比對,試圖了解這些外洩資訊是否為病患的真實資訊。
繼續閱讀