系統例行維修時間,竟成歹徒惡搞時機?

凡機器都需要定期維護,這不單可確保機器不會因正常磨耗而損壞,還可做一些日常的零件更新和檢查。越複雜的機器,維護的過程也就越仔細。
在維護過程中,人員通常會需要操作該機器以及所有連接的相關管理系統,舉例來說,抽水馬達會連接自來水供應管路,以及一個負責監控和調整水壓和流量的控制系統。在日常維護時,必須先暫停供水以及相關安全措施,或者切換至另一個模式來更新或修復零件。

2016 年YouBike大當機,原因是心生不滿員工利用維修時間惡搞

2016 年台北市發生了一起攻擊案例讓我們深刻了解到,維護期間很可能就是歹徒攻擊的黃金時期。根據媒體報導,一位心生不滿的員工利用日常維護的機會,在台北市 YouBike 管理系統上安裝了惡意程式。結果所有的 YouBike 都因而無法租借,導致該公司遭受 662,910 美元的損害與營業損失。這名不肖工程師目前已遭逮捕並由台中地檢署正式起訴。(相關中文報導)

四個維護期間會發生的潛在問題

維護期間除了可能完全解除安全措施之外 (此時就連應用程式控管與白名單機制這類最基本的防護都付之闕如),還有其他可能遭到利用的潛在問題:

  1. 當系統維護交由第三方廠商負責時,外人就能掌握系統的存取權限。委外維護人員很可能不會遵守企業平時所遵守的安全規範,也不受原本的流程所監督。
  2. 老舊機器的維護既缺乏效率也不安全。有些系統仍需使用 CD 甚至 3.5 吋軟碟來進行更新。而且人員必須帶著軟體到每一台端點上進行維護,因此這些系統更新既不頻繁,方法也很老舊。
  3. 某些系統老到根本無法更新,只因營運需要所以還撐著。印度有 70% 的 ATM 提款機仍在使用 Windows XP,這些提款機雖然仍可使用,但卻因為眾多漏洞的而容易遭到各式各樣的攻擊。
  4. 有些白名單機制並未考慮到系統維護的情況。有些白名單機制只有啟用和關閉兩種設定,因此當維護人員為了安裝程式而關閉這項功能時,等於讓系統卸下防禦。然而有些白名單機制卻會考慮到系統維護的需求,可以只開放系統維護時所需的權限,其他部分則不受影響。

針對企業的威脅在 2016 年創下新高,因此企業應該再重新思考自己的整體資安防護,尤其是無可避免的系統維護方面。企業應重新調整系統維護政策,加入資安防護,而且基本上系統應該持續不斷更新以保持在最佳狀況。

五個企業可考慮的解決方案:

  1. 企業應該採取一些設計上已考量到系統維護的白名單技術,因為這些系統絕大多數都是「固定功能裝置」(也就是僅負責某些功能而無法重新程式化的裝置),因此必須嚴格加以管控。
  2. 企業應建置一些能力並制定一些資安政策來隨時確保環境安全。
  3. 不論內部或外部人員,凡是可取得系統存取權限的人,皆應受到適當的審查和監督。
  4. 企業也應制定更進一步的事件應變程序,不能像一般的應變程序那樣被動。這套程序要能解決根本的問題,並安裝一些可長可久的解決方案。企業必須確保系統環境確實乾淨,而且還要能維持乾淨。
  5. 資安防護必須面面俱到,即使在維護過程當中也必須具備保護力。就算系統未連接至網際網路,仍有一些解決方案可用。

一些非連網的獨立 PC 或封閉系統,不僅無法安裝惡意程式防護軟體,而且很難隨時更新病毒碼來掃描最新惡意程式,同時惡意程式又可能經由 USB 隨身碟或其他裝置進入系統。趨勢科技 Portable Security 2™ 可攜式防護是一套 USB 隨身碟形式的惡意程式掃瞄清除工具,專為非連網或無法安裝防毒軟體的系統所設計。此外還有趨勢科技 Safe Lock 這套智慧型白名單機制可在系統維護時提供必要防護,因為它可只允許指定的軟體進行更新。

除此之外,企業也可採用趨勢科技的Deep Discovery Inspector來監視連網的系統。Deep Discovery Inspector 採用特殊的引擎與客製化沙盒模擬分析來發掘進階與未知惡意程式、勒索病毒、零時差漏洞攻擊、幕後操縱 (C&C) 通訊以及駭客暗中活動。TippingPoint 的 整合式進階威脅防護 能提供一些可採取行動的資安情報來防堵漏洞與漏洞攻擊,並防範已知及零時差攻擊。以 XGen 防護為基礎的 Advanced Threat ProtectionIntrusion Prevention System 解決方案結合了深層封包檢查、威脅信譽評等、進階惡意程式分析等技術來攔截攻擊與進階威脅。

 

原文出處:Down and Exposed: Are your Maintenance Policies Leaving your Systems Vulnerable?