TAP分流可視化偵測威脅　確保關鍵基礎設施安全

美國總統拜登於2022年3月15日簽署了規模達1.5兆美元的政府支出法案，其中一個重點是，要求關鍵基礎設施供應商和聯邦機構在發現網路攻擊事件時，必須立即向網路安全暨基礎設施安全局（CISA）報告。在不知情的情況下被駭客入侵，已不能再當作未回報告攻擊事件的理由；相反地，可能面臨巨額罰款，並因負面報導而損害商譽。所幸透過網路分流器（TAP）提供的可視化功能，可避開所有這些令人頭痛的問題。

電網現代化的風潮，使得網路連接設備的需求呈現爆炸性成長，但也同時使得公用事業單位更容易遭受不同國家、罪犯、不滿的員工，以及錯誤配置（這比想像中更容易發生）所帶來的種種潛在威脅。這些來自資料採集與監控（SCADA）設備及其他設備的新網路連接，使得以前採用實體隔離（Air Gapped）技術的工業控制系統，直接暴露在網際網路和駭客面前。

在各種產業中，又以能源產業最容易遭受網路攻擊，因為它主要的網路安全策略是使用交換埠分析儀（SPAN）埠，將網路流量的鏡像副本傳送到安全分析系統，以及將營運技術（OT）網路與企業網路（IT）進行實體隔離。這樣的安全保護措施早已過時。

關鍵基礎設施標準問世

美國聯邦政府最近提出一項動議，就是業者須在關鍵基礎設施中部署威脅可視化和偵測技術，以便提高其事件應對和復原能力，並且更輕易地分享資訊。其目的是為了因應下列需求：(1)威脅偵測與監控、(2)事件應對與復原、(3)資訊共享、(4)供應鏈安全保護。能源產業目前已遵循北美電力可靠度公司（NERC）所制定的多項關鍵基礎設施保護（CIP）標準，因此他們對前述並不陌生。NERC是一家監管機構，其使命是確保能源產業能夠有效且高效率地降低電網面臨的可靠性和安全風險。NERC的監管範圍包含Bulk Electric System的使用者、擁有者和經營者，該系統為全美近4億人提供服務。

在NERC CIP標準中多項法規的要求下，網路流量的收集和封存變得空前的重要。這些標準要求公用事業必須嚴密監視控制中心、發電廠和變電站的網路流量資料。而且，公用事業單位必須定期接受NERC相符性小組的稽核，並須定期進行安全漏洞評估。

網路分流器與SPAN不同

想要有效偵測並監控威脅，首要之務是將網路分流器（TAP）部署於發電廠和變電站SCADA網路的各個層級中。有了分流器，OT人員和IT網路經理便能安全地存取關鍵基礎設施系統的資料，不會因而增加相符性測試項目，也不需要改變網路架構。TAP是一種重要的非侵入式方法，能夠監視並檢查大量的網路流量，但不會影響網路運作。不同於SPAN埠，分流器不會對網路造成負擔，因此不會遺漏任何封包、不會改變訊框交互作用的時序，而且無須浪費寶貴資源來檢查重複的封包。

安裝分流器後，網路導流設備便可擷取、過濾、匯集、重新產生網路流量，並以絕佳效率將網路流量傳送給安全工具，以便檢查事件並做出回應。如此一來，公用事業可建構一套完全符合需求的整合式相符性安全防護解決方案。系統可擷取所有網路封包（而不是僅擷取具代表性的樣本資料），以建立所需資料的完整歷史檔案，進而符合NERC嚴格的審核要求。

NERC CIP標準快速指南

NERC關鍵基礎設施保護（CIP）標準包含的法規要求要素，使得網路流量的收集和封存變得空前的重要。

NERC CIP-007-6 R1.1要求企業持續監控網路。企業必須提供網路中每一個設備允許使用的埠和服務清單，並證明他們知道哪一個埠被允許使用，哪些服務是正在使用。

簡言之，最佳做法是，網路分流器傳送網路封包副本以供檢查。當網路遭受攻擊時，惡意軟體會試圖癱瘓交換器SPAN埠，導致其可靠性銳減，但分流器卻完全不會因為流量瞬間暴增而受影響。透過分流器將所有網路流量路由到防惡意軟體資產，以便進行快速檢查，已被證明是確保CIP-007-6相符性的最有效方法。此外，分流器也有助於偵測東向和西向的惡意程式碼。在無法於專用工業控制裝置上安裝防禦軟體時，這項特性尤其重要。

NERC CIP-007-6 R4.1要求必須提出實體證據，證明已採取可行且有意義的事件記錄措施。事件日誌資料通常會透過網路傳送到syslog伺服器（或類似的伺服器），以便在此進行評估和儲存。簡言之，分流器有助於確保公用事業完全符合CIP-007-6 R4.1標準的要求，因為它可在任何情況下擷取所有網路流量，不會因為遭受網路洪水攻擊（Network Flooding）、發生交換器問題，或是因為任何惡意活動，而導致事件日誌資料遺失。此外，藉由使用分流器資料，SIEM可輕易判定失敗的網路存取嘗試，並找出有哪些未經授權設備試圖連網或斷開網路。

NERC CIP-007-6 R4.2要求必須提出實體證據，證明至少在偵測到惡意程式碼，或未能記錄事件時，須發出告警。

簡言之，分流器可將交換器排除在偵測範圍之外（不需要SPAN埠），確保不會漏掉任何告警告。分流器也可避免交換器配置遭攻擊者竄改（他們可能想藉此掩蓋蹤跡），或是在進行合法測試或變更配置時發生錯誤配置的可能性。

NERC CIP-009-6 R1.5要求無論交換器運作狀態如何，都必須能夠提供可用的網路資料，並須不間斷地處理資料。此外，公用事業必須保護網路資料，使其免於因發生網路安全事件而遭到破壞。簡言之，分流器可確保公用事業能隨時擷取所有資料，不論交換器的處理負載狀態如何，而SPAN埠卻可能在網路遭受攻擊時遺失資料。

NERC CIP-010-3 R1.3要求公用事業如果進行設備變更，則須在30天內更新其基準配置資料。新設備如果超過30天仍處於啟用狀態，公用事業可能違反法規要求。

換句話說，分流器可確保網路資料以一致方式傳輸至分析設備，而且啟用新設備時，無須重新執行配置變更控制流程。相較之下，一旦裝置有任何變更，SPAN埠就須重新進行編程。

隨著部署關鍵基礎設施的OT網路和IT網路開始變得高度互連，分流器和網路導流設備成了深入檢視網路狀態，以確保網路安全的必備解決方案。因為新頒布的政府法規，要求關鍵基礎設施供應商和聯邦機構必須在發現網路攻擊時立即進行回報。

目前可行的方法

分流器（類似電話竊聽器，但僅限用於網路）是專用型硬體設備，它的用途只有一項：將超大量的網路資料安全地傳送到安全分析系統，並維持網路的正常運作。分流器必須具有實體隔離機制，防堵駭客透過分流器入侵網路。部署分流器後，可確實遵循NERC CIP規範，特別是當網路遭受攻擊時。

SPAN或鏡像埠（Mirror Port）是網路交換器上的專用埠，主要用途是分析並轉寄流量，以便進行更深入的分析。它們既不是獨立的裝置，也不是網路交換器的主要元件，而且SPAN埠不支援實體隔離。當交換器上的SPAN埠已經過載，想透過它們進行故障復原仍有待商榷，而且可能面臨未符合NERC CIP標準要求的風險。

＜本文作者：Gail Ow現為是德科技工業解決方案資深經理＞