著眼於物聯網(IoT)應用在各產業開始發酵,裝置數量逐年增長,安全漏洞更新、識別高風險行為等控管機制卻未能跟上應用發展腳步,次世代防火牆(NGFW)業者Palo Alto Networks整合了收購新創公司Zingbox取得的IoT防護技術,提出IoT Security解決方案,由次世代防火牆解析封包取得Metadata,採以機器學習辨識未受管理的裝置、偵測行為異常、依據風險值建議控管政策措施,讓IT領域發展成熟的資安防護技術得以在新興物聯網場域發揮效益。
根據Palo Alto Networks委託Vanson Bourne研究公司調查物聯網現況,範疇包含台灣在內的全球19個地區、多種不同產業的IT決策者,結果顯示台灣有高達98%的IT決策者認為物聯網資安方法需要改進,主要需求為威脅防護(62%)、風險評估(61%)、提供給資安團隊更完整的連網資料(51%)等方面。調查數據中更提到,只有13%的企業實施了微分段(Micro-Segmentation)限縮物聯網應用場域遭入侵的風險,意味著產業對於物聯網安全防護仍有待加強。
Palo Alto Networks提供的IoT Security解決方案可將機器學習與專利的App ID技術相互結合,為IoT與OT裝置提供可視性,以有效地建立正常行為模式的基準線,讓IT/OT維運人員藉此主動檢測異常、監控設備風險,並參考方案提供的建議實施管控。
機台部署XDR抵禦變種勒索病毒
回顧2018年半導體晶圓廠感染勒索軟體震撼本土製造業,Palo Alto Networks台灣技術顧問總監蕭松瀛觀察,當時的困境是機台設備無法即時更新修補漏洞,Windows作業系統亦無法升級到新版,因此多數製造業為了避免受駭,主要因應方式是在重要營運機台前端增設次世代防火牆,採以虛擬補丁機制來保護。
「去年(2021)開始有客戶直接在機台上部署端點防護方案。」蕭松瀛說。尤其是曾經爆發勒索病毒感染事故的企業,以往在機台上部署的是防毒軟體,基於已知特徵碼資料庫偵測惡意程式,事實證明無法辨識與攔阻最新變種病毒入侵。
製造業機台使用年限較長,初期部署的防毒軟體版本並未升級,早期設計的機台多數搭載嵌入式系統,周邊的鍵盤、滑鼠等裝置故障換新,便須額外安裝驅動程式才可運行,反而因此遭勒索病毒趁隙感染。以往企業面對OT場域的資訊系統感染勒索病毒,只要不影響機台正常運作,可能會延宕待歲修時再執行系統回復。
蕭松瀛指出,OT場域的機台為生財工具,為確保運轉順暢,盡可能避免安裝額外程式,資安防護初期建置通常是從網路層著手,以攔截惡意程式。Palo Alto Networks過去在製造業銷售的解決方案主要是次世代防火牆與Threat Prevention授權,從傳輸流量中解析連接埠與通訊協定,掃描應用程式、使用者、遞送內容,增進網路抵禦進階威脅。不過,近兩年前述思維的確在改變,開始出現既有導入部署Palo Alto Networks次世代防火牆的客戶,經過實際驗證搭配XDR偵測與回應方案不至於影響OT產線營運,便全數用以取代既有防毒軟體。
廠區引進零信任控管模式
過去製造業對於機台設備不願意輕易安裝額外的軟體,避免影響產線運作效能,直到遭遇勒索病毒大肆感染,才願意開放讓廠商部署驗證可行性。前述提到XDR偵測與回應方案的導入案例來看,蕭松瀛觀察,IT/OT管理者思維已不再是傳統防毒軟體的概念,願意接受XDR搭配WildFire惡意軟體分析引擎,以雲端式沙箱分析來自動偵測及防禦未知的惡意軟體,此機制對於機台設備可在不影響機台運行效能的前提下,達到保護檔案安全的目的。 當前OT與工業控制系統(ICS)架構,主要是依據國際自動化學會參考普渡模型制定,各層級風險環節,Palo Alto Networks可輔助運用零信任原則來加以管控。實際上,Palo Alto Networks自美國政府採行零信任控管模式初期就已參與,累積實戰經驗後已推進到「零信任2.0」,較前一代更細緻地實作防護。蕭松瀛說明,次世代防火牆具備的App-ID、User-ID、Content-ID成熟技術可擴展到更多應用場景,尤其是工控領域,落實加解密SSL封包、持續驗證確認、授予最小存取權限,以及機敏資料內容過濾與偵測。
此外,用以限縮攻擊威脅影響程度的微分段機制,基於次世代防火牆亦可實作。蕭松瀛進一步指出,零信任控管模式中實作微分段,必須得先具備可視性才有能力執行控制,前提是網路流量得經過Palo Alto Networks設備,未必須採In-line方式部署,只要交換器設定Policy Route,讓網路流量導向Palo Alto Networks設備即可,經檢測確認無夾帶惡意程式碼後再放行,萬一不幸設備出問題亦可順暢運行。
Metadata解析識別與偵測連網行為
針對工業物聯網(IIoT)應用安全,連網裝置可能難以安裝代理程式建立保護措施,Palo Alto Networks次世代防火牆整合收購取得Zingbox技術提供的IoT Security解決方案,可依據配置文件、類別、供應商、型號等屬性清單定義Device-ID,基於裝置屬性強制實施控管政策規則,並持續監看存取行為模式,防範連網裝置遭滲透入侵。
IoT Security解決方案主要是藉由掌握網路流量,經過拆解封包取得Metadata來識別裝置類別,若為未知型裝置,可以把封包遞送到雲端平台的資料湖(Data Lake),運用機器學習解析輔助判斷裝置類型、韌體版本,同時基於IoT漏洞清單檢查風險性,並且提出建議可立即執行回應的動作。若為嚴重漏洞又無法實施更新時,可以在控制點設定政策措施,一旦偵測發現裝置漏洞尚未修補,隨即予以隔離,或者是攔截針對該漏洞的滲透程式。
Palo Alto Networks台灣技術顧問總監蕭松瀛指出,Palo Alto Networks自美國政府採行零信任控管模式初期就已參與,累積實戰經驗後已推進到零信任2.0,較前一代更細緻地實作防護,正可協助工控領域落實零信任。
IT/OT維運人員藉由IoT Security方案建立的裝置拓樸圖,可一目了然應用場域抽象的連線關係,並且依據普渡模型分層標準,區分裝置所屬層級。得以圖形化方式清楚呈現的關鍵在於,IoT Security方案可解析Metadata中超過200種參數,例如DHCP、HTTPS用戶ID、通訊協定表頭等,讓機器學習模型建立正常行為基準,當網路上出現新裝置產生的網路流量,即可藉此比對以加快識別與分類。
除了機器學習模型輔助判讀網路流量,並擷取各種屬性以識別裝置與檢測異常行為,管控高風險事件以防堵資安事故發生,IoT Security還可基於機器學習模型來檢查夾帶於HTTP URL的SQL參數,以免遭SQL Injection手法入侵。