隨著製造業從自動化邁向智慧化,原本封閉的OT場域開始納入現代化IT技術,發展物聯網應用以即時掌握營運狀態,也讓資安風險控管機制成為IT/OT場域的必要建置。擅長應用程式交付控制器(ADC)技術的A10 Networks,除了基於其進階式核心作業系統(ACOS)提供負載平衡、DDoS防禦、SSL/TLS加解密等方案,日前更推出應用程式防火牆(WAF)方案,讓企業可在同一技術平台部署防護措施,以降低複雜度。
A10 Networks台灣區技術總監陳志緯指出,以OT場域來看,現代化製造現場的無人搬運車、機械手臂、自動光學檢測(AOI)等應用的聯網裝置,須仰賴網路連線接取IT應用系統,例如製造執行系統(MES)、統計過程控制(SPC),或者產品生命週期管理(PLM)、企業資源規畫(ERP)等。
過往OT與IT網路本為實體隔離,如今企業若要推動智慧製造,首要關鍵便是網路連線可互通,才有能力蒐集製造現場的資料,進而統計分析,在統一儀表板上呈現關鍵指標資訊,以提高生產力。
此外,製造現場的統計數據亦須發布給上下游供應鏈的合作夥伴。可供外部廠商存取的供應鏈管理系統,大多選擇部署在公有雲平台,相關的安全防護措施正是A10 Networks可發揮的場景。
供應鏈系統潛藏資安風險疑慮
製造業的IT場域入口網,傳統上並不開放給上下游合作夥伴。以往製造業跟上下游合作夥伴的溝通方式主要是傳真、郵件等方式,隨著供應鏈管理系統上線,讓外部廠商可透過Internet連線存取,實際應用場域演進為公開的通道,任何人只要得知公開網址或IP,即可嘗試登入系統,甚至是發起DDoS攻擊,癱瘓製造流程的正常運行。由於可能造成營運損失,因此受到高層重視,尤其自動化流程愈成熟,受攻擊損害程度愈大。 早期電子製造業的供應鏈主要仰賴RosettaNet標準進行資料交換。RosettaNet是一個非營利聯盟,為建立、應用並提倡開放性的電子商務標準,並形成一共同的語言,使全球各交易夥伴間的工作程序藉此一致化。RosettaNet定義了以XML為基礎的資料交換格式,廣泛用於高科技製造業,可讓訂單、庫存、物流等管理系統,藉由API進行整合,建立自動化供應鏈流程來提高工作效率。
問題是網路連線存取透過Internet傳輸,惡意人士只要有能力得知供應鏈系統的IP位址,即可運用各種手法發動攻擊。陳志緯指出,即便應用系統僅提供上下游廠商彼此之間交換資料,亦可能成為資安破口,仍須有完善的防禦,來控管資安風險。例如對抗日漸猖獗的DDoS攻擊入侵。
攜手合作夥伴技術推出WAF
基於ADC技術發展的抗DDoS攻擊機制,本就是A10 Networks擅長的研發項目之一。只是DDoS攻擊活動主要為頻寬消耗型,攻擊者可輕易地控制殭屍網路同時發起連線存取特定IP位址,導致網路癱瘓而無法正常營運。多數企業會直接採用流量清洗(Clean Pipe)服務進行過濾篩選。
隨著自動化攻擊工具的能力再提升,資源耗盡型攻擊也日漸猖獗。例如TCP協議發動的SYN洪水攻擊,可利用TCP功能將殭屍電腦偽裝的TCP SYN請求傳送給特定主機,以佔用處理執行緒,排擠正常存取流量。甚至亦可能導致特定主機的記憶體、運算等資源耗盡,最終停擺。
陳志緯指出,這類型DDoS攻擊手法特性是模仿合法的網路行為來發動,若僅仰賴局端或清洗中心進行過濾,將不足以應對多變的攻擊手法。因此須搭配關鍵應用系統前方部署的網頁應用程式防火牆(WAF),共同抵禦各式手法發起的DDoS攻擊。
對此,A10 Networks日前發布新一代網頁應用程式防火牆解決方案,主要由Thunder ADC掛載內容遞送網路(CDN)服務供應商Fastly提供的WAF技術所建構。陳志緯不諱言,過去企業開設的採購專案大多要求ADC與WAF技術同時具備,因此A10 Networks難以發揮。為了補足WAF技術,A10 Networks日前宣布Thunder ADC攜手Fastly打造完整解決方案,以增強在混合雲的前端應用安全防護,確保應用程式可用性,抵禦各種應用層攻擊的同時做到加速內容交付。
SSL Insight技術檢查加密流量
A10 Thunder ADC具備單一登入(SSO)驗證,並以橢圓曲線密碼學(ECC)等加密法執行TLS協議卸載,提供第四層到第七層的負載平衡,以及DDoS防護等安全機制。如今A10 Networks特有的進階式核心作業系統,納入整合Fastly技術引擎,讓地端部署的Thunder ADC準確偵測並提供情境式決策,可在應用程式遭遇攻擊前即時封鎖。若存取請求經過偵測未遭封鎖,則應用程式交付控制器會依據配置,將請求路由導向應用程式。
A10 Networks台灣區技術總監陳志緯指出,為了補足WAF技術,A10 Networks日前宣布Thunder ADC攜手Fastly打造解決方案,以增強製造業混合雲環境的可用性,抵禦各種應用層攻擊的同時做到加速內容交付。
實際上,偵測後封鎖動作的執行,是由Thunder ADC平台上的WAF模組即時執行,無須與Fastly雲端平台通訊。若需要變更設定配置,或查看分析報表,則由Fastly雲端管理控制台來提供。
另一方面,Thunder ADC平台上的WAF提供深度封包檢測與進階式威脅偵測機制,使其能夠識別和阻止例如帳戶劫持(ATO)、已知的CVE、跨站腳本(XSS),以及其他OWASP Top 10的弱點。
值得一提的是,Thunder ADC包含SSL Insight技術,以Inline部署模式,可完整地將SSL網路流量進行解密,轉送至第三方資安設備檢查,有助於增進零信任防護策略的有效性。針對確認為合法且符合安全原則的流量,Thunder ADC會將其再加密,如同普通SSL流量轉發到目的地位址。
近年來為了防範各種中間人攻擊手法,應用程式開始採嵌入憑證綁定(Certificate Pinning)的作法,用以確認特定網域名稱的伺服器憑證。這種作法雖然可提高安全性,卻也使得SSL流量檢查變得更為複雜。陳志緯說明,由於沒有標準技術來解密這類使用固定憑證的應用程式,SSL Insight作法是依據特定標籤進行繞過(Bypass),例如TLS交握期間伺服器名稱指示(SNI)、主體替代名稱(SAN)、發行者(Issuer)或主題(Subject)。藉此除了保護用戶端隱私,同時亦確保操作符合各類資安法規準則。例如HIPAA(健康保險流通與責任法案)、PHI(個人健康資訊)、PCI DSS(支付卡產業資料安全標準)等規範。