本文作者: 游証硯 台灣思科首席資安顧問 / 李嵐威 台灣思科資安架構師
在萬物聯網的潮流下,智慧製造、智慧網路已成為政府積極推動的政策,然而所面對的OT資安威脅持續受到關注,仍是2020年的焦點。
在2019年,陸續有許多國際知名企業,遭受網路攻擊,像是全球最大鋁業之一的挪威公司Norsk Hydro,遭到勒索軟體LockerGoga攻擊,導致該公司在歐美地區部分自動化生產線關閉,帶來損失至少超過3500萬美元;日本光學製造商HOYA遭到網路攻擊,使得該公司泰國工廠的部分生產線關閉;還有委內瑞拉國家電力公司Corpoelec的水力發電站事故,引發該國持續一周的大規模停電與停水。由此可知,網路越是發達,智慧化程度越高,遭受資安威脅的可能性就越高,因此資訊安全架構的建立,已是企業刻不容緩的工作。
當今的企業網路比過去更加複雜、更加分散。新的安全挑戰層出不窮,即使不是每天出現,也可以說是每周出現。在不斷變化的威脅形式以及雲計算和物聯網等趨勢的影響下,問題變得更加棘手。更令人頭疼的是,隨著越來越多的使用者和設備添加到網路中,想要瞭解網路中發生的情況簡直是難上加難。並且您無法保護您看不到的事物。要確定網路中是否有異常行為發生,關鍵是需要對網路中所有已知和未知的流量、應用、使用者及設備一目瞭然。
目前企業資安防護,著重於IT網路,市面上種種資訊安全的防護產品,9成以上是針對IT網路進行識別、防禦及阻擋,鮮少有資安業者著重於OT網路防護。再者,大部分的資安防護,都著重於出口端防護,講究縱深防禦,一旦惡意程式繞過防護設備,或是由內部發起攻擊,則無法識別及阻擋。工控安全流量分析告警系統 (Cyber Vision) 結合既有之OT網路交換器,將所有網路設備當成是監控感測器,持續即時監控所有網路流量,並提供涵蓋範圍更深入的資料檢視;進而大幅改善了延伸網路的能見之資安設備,縮短發現可疑事件時的回應時間。
工控安全流量分析告警系統 (Cyber Vision) 是專門為工業組織設計的,以使其能夠完全了解其工業網路,因此它們可以偵測到威脅,確保流程完整性,構建安全的基礎架構,推動法規遵從性並實施安全策略以控制風險。其採用複雜的行為分析,將現有基礎網路的資料轉化為切實可行的資訊情報。可以獲得更好的網路可視性和安全分析,實現更快的事件應變,提供對所有網路流量的即時、持續監控和全面觀察。
工控安全流量分析告警系統 (Cyber Vision) 將獨特的邊緣監控架構和深度整合與其他廠牌的安全產品組合在一起。內置於工業網路設備中,可以輕鬆地進行大規模部署,以即時監控工業資產及其應用流。為的IT安全營運中心(SOC)提供OT安全管理的理想解決方案,因此可以部署統一的IT / OT網路安全架構。
一、安全性內建於工業網路
部署OT網路安全性很快會變得非常複雜,尤其是當工業網路分佈在整個國家或許多遠端工業站及點時。為了OT網路安全專案獲得成功,選擇的解決方案必須能夠在整個企業中輕鬆及合理的成本進行擴展。
工控安全流量分析告警系統 (Cyber Vision) 的獨特邊緣計算架構將安全監控模組嵌入到我們的工業網路設備中。無需採購專用設備,也無需考慮如何安裝它們。無需部署另外網路即可將工業網路封包流量發送到中央安全平台。工控安全流量分析告警系統 (Cyber Vision) 使工業網路可以收集提供全面的可見性,分析和威脅檢測所需的資訊。
二、可視化
確保OT基礎架構的安全,首先要對資產清單,通信模式和網路架構有精確的了解。工控安全流量分析告警系統 (Cyber Vision) 使OT團隊和網路管理者可以對其資產和應用程式流向具有完全的可視性,從而實施安全最佳實踐,推動網路分段並提高營運彈性。
工控安全流量分析告警系統 (Cyber Vision) 可自動化發現生產基礎架構或連線或系統的最小資訊:如廠牌、韌體、硬體版本、序號、PLC機架插槽設定等。它可以識別資產關係,通信模式,變量更改等。 豐富的資訊以各種類型的地圖、表格和報告顯示,而這些地圖、表格和報告中,包含完整的工業資產清單、資產之間的關係、它們的弱點以及它們運行的程式。
三、營運洞察力
工控安全流量分析告警系統 (Cyber Vision) 使OT工程師可以即時了解工業流程的實際狀態,例如意外的變量更改或控制器修改,因此他們可以採取措施來維持系統完整性和生產連續性。網路專家可以輕鬆地研究所有這些資料,以分析攻擊並找到來源。
工控安全流量分析告警系統 (Cyber Vision) “了解”自動化設備使用的專有OT協議,因此可以追蹤過程異常、錯誤,設定錯誤以及未經授權的事件。它還記錄這些事件,成為工業基礎設施的“飛行記錄儀”。
該系統使用標籤突顯資產角色和其通信內容,因此任何OT和IT團隊成員都可以輕鬆理解工業基礎架構和營運事件,而與資產品牌無關。然後,IT團隊可以與OT員工一起推動最佳實踐,例如修補易受攻擊的資產,追蹤預設密碼使用,改善網路分段等等。
四、整體威脅偵測
工業網路與IT網路的連接越來越緊密,保護它們免受諸如惡意軟體或入侵之類的威脅變得越來越重要。 而且由於對工業網路的攻擊通常看起來像對資產設備的合法指令,因此您還需要偵測那些不需要的修改。 為了保護工業網路,您需要各種威脅偵測機制。
工控安全流量分析告警系統 (Cyber Vision) 將協議分析,入侵偵測和行為分析相結合,以偵測多種攻擊技術。 這種整體方法有助於確保工控安全流量分析告警系統 (Cyber Vision) 可以偵測到已知和未知攻擊,以及可能作為攻擊警告信號的惡意行為。 工控安全流量分析告警系統 (Cyber Vision) 可以與IT SOC無縫集成,因此資安分析師可以在其安全資訊和事件管理(SIEM)系統中追踪工業事件以進行OT / IT相關性,並在發生攻擊時自動觸發防火牆過濾規則。
思科工控安全流量分析告警系統 (Cyber Vision) 在連接終端設備(如感知器、DCS、PLC、HMI or SCADA等)的交換機上,設置工控安全流量分析告警系統 (Cyber Vision) 感應器,利用收取流方式到工控安全流量分析告警系統 (Cyber Vision) 感應器進行分析,將分析結果,送往管理主機進行整理及統合;在不影響目前既有網路架構的前提之下,有效針對實際OT通訊流量進行分析。在此架構下感應器部署於終端設備連線之第一個交換器,所有終端設備出入之流量,不管是東西向或是南北向流量,或連線Level 1、Level 2及Level 3等流量,以及IT區域等等,都可有效監控並進行分析,管理人員需要管理設備時,可經由個人電腦連線,利用https協定連線至管理主機,即可獲取設備清單、詳細資料流向圖及設備弱點清單等資訊,如有任何異常或是威脅事件,也可經由管理主機將相關資訊通知其他防禦平台或是發出告警。