4G/5G企業專用網路的出現,象徵電信技術在各產業逐漸扮演重要角色。無論是向電信業者租用5G網路或是自行架設專用的5G企業專網,企業機構與IT/OT專家皆應同時思考新技術、新應用可能伴隨而來的資安挑戰。
現今4/5G企業專用網路(以下稱企業專網)的出現,象徵電信技術在各產業逐漸扮演重要角色。而全球的企業機構,即使尚未開始導入5G技術,也都在期待5G將帶來的效益。無可避免地,在未來幾年之內,5G必將帶動產業及商業轉型。
無論是向電信業者租用5G網路或是架設自己專用的5G企業專網。企業機構與IT/OT專家皆應同時思考新技術、新應用可能伴隨而來的資安挑戰。 趨勢科技研究團隊深入探討了負責營運及維護工廠、基礎建設及其他類似環境的IT與OT專家在建置4G/5G企業專網時可能遭遇的問題。並且,測試了幾種經由已遭駭入的企業專網(尤其是當中的核心網路)發動的駭客攻擊情境。接下來,將概略討論這些威脅並提出應對之道。
從已遭駭入的核心網路發動的常見攻擊
以下是幾種從IP網路發動(因此還算在IT人員專業範疇內)的常見駭客攻擊。在這些攻擊情境當中,駭客必須先掌握一些核心網路入侵點的控制權。該研究列出了幾種可能的入侵點:執行核心網路服務的伺服器、虛擬機器或容器、網路基礎架構,以及基地台。
駭客只要能掌握這些入侵點,就不必具備電信領域的專業知識,可以直接從IP網路發動攻擊。即使這類攻擊情境並不侷限於行動網路,卻突顯出一項重要問題,那就是:核心網路一旦遭到入侵就可能成為工業控制系統(ICS)端點威脅入侵企業的破口。
以下列出幾種攻擊情境,以及建議的防範之道:
DNS挾持
駭客可將某個惡意的DNS指派給行動網路用戶設備(User Equipment,UE)來挾持合法DNS的回應,或者單純篡改DNS伺服器上的資料。 該如何防範呢?一是部署網路監控設備或EDR產品來偵測不尋常的IP,二為使用提供加密和憑證綁定(Certificate Pinning)的工業通訊協定。
MQTT挾持
一旦發送至雲端或後台伺服器的監測資料或訊息遭到篡改,分析邏輯與統計數據就會受到影響。除此之外,駭客還能攔截MQTT來暫時掩蓋他們在遠端據點的活動。
如何防範?可使用MQTTS搭配使用者名稱、密碼和憑證綁定。
Modbus/TCP挾持
駭客可撰寫一個Modbus解析器(Parser)來修改封包內的Modbus功能代碼與資料數值。
如何降低風險?遠端據點與企業專網內的核心網路之間應架設加密的VPN連線,並且切勿使用連接埠轉發(Port Forwarding)功能。
下載或重設無防護的PLC
假使PLC沒有讀∕寫保護功能,駭客就可以上傳程式設計區塊(Programming Block)並取得設計。如果PLC有設保護,那駭客可能還是能夠將PLC重設回原廠初始狀態,然後下載新的設計來干擾生產流程。
可透過以下三種措施進行防範:架設加密的VPN、在部署PLC時要設定讀∕寫保護、將PLC韌體升級到最新版本來支援Challenge/Response(質詢∕應答)認證。
遠端桌面
視加密選項設定而定,駭客可以在封包的遞送及轉發點上攔截用戶裝置與外部網路之間的封包,如此就能夠竊聽遠端桌面(RDP)連接埠3389或VNC連接埠5900的通訊內容,進而側錄鍵盤輸入和密碼。
如何防範?一為確保VNC安全,請啟用TLS加密與X.509憑證綁定;二為確保RDP安全,請使用第10版或組態設定較安全的版本,切勿為了向下相容而選擇較不安全的組態設定。
SIM卡竊取或濫用
藉由竊取移動裝置上的SIM卡並使用在自行攜帶的移動裝置(Bring Your Own Device,BYOD)上,駭客可輕易地存取企業專網、掃描網路是否存在漏洞,進而攻擊其他內網裝置。若沒有效的移動裝置入網管理,也可能發生內網員工誤用或濫用SIM卡,導致受感染的裝置接入專網,造成資安破口導致病毒攻擊在專網內部擴散。
如何降低風險?可使用一套IMSI/IMEI管理系統,例如Trend Micro Mobile Network Security(TMMNS),來對終端IoT裝置進行身分識別管理。透過移動IoT裝置與SIM之間的綁定進行入網控制,確保僅有通過合法授權允許入網的移動IoT裝置可接入專網,並在必要的時候對無線網路進行存取管制。
行動網路特有的攻擊
行動網路特有的攻擊只能透過行動網路發動,所以解決行動網路特有的攻擊情境,是企業縮小IT、OT與CT(電信技術)之間知識差距一個不錯的起點。
以下是列出幾種攻擊情境,以及建議的防範之道:
存取點名稱:看不見並不代表安全
駭客會使用他們自己的電信基礎架構來尋找未加密的通訊,即使企業自行指定了存取點名稱(APN)。
該如何防範?請記住自行指定APN並不代表加密;請在工業網路路由器上自行指定VPN,且工業現場還要再配合使用一些安全的通訊協定,如HTTPS、MQTTS與S7Comm-Plus等等。
簡訊(SMS)暴力登入攻擊
如果駭客知道電話號碼,以及某個工業網路路由器的IMSI且路由器支援簡訊備份的話,駭客最多只須猜10次就能暴力破解簡訊指令密碼。 相關防範之道包括:SIM卡切勿隨便丟棄、簡訊密碼請設長一點,並且請設定「信任的電話號碼」而非接受來自任何電話號碼的簡訊。
假冒GTP攻擊
在不曉得TEID情況下,駭客會發送一個假冒的GTP封包給基地台,這樣就能越過目的地端的防火牆規則。如此一來,當目標裝置收到假冒的封包時會以為是合法的封包。
如何降低風險?可安裝一套支援GTP協定並能偵測TEID暴力攻擊的網路入侵防護(IDS/IPS),以及使用IPsec或VPN來保護基地台與核心網路之間的連線。
IT/OT/CT全納入考量 方能制定完善資安架構
未來勢必將有更多企業機構規劃部署企業專網,並採用5G技術來滿足日益增加的多樣化需求。因此,企業絕對必須做出調整,尤其是在基礎架構中導入5G核心網路時,必須為日益演變的情勢預做準備。
根據研究,企業專網讓企業邁入了全新的通訊技術(CT)領域,其與IT和OT皆同樣重要。未來,企業必須將IT、OT和CT全都納入考量才能制定一套更好的資安架構。現在,IT和OT專家必須開始充實新知,因為兩者之間的責任劃分界線越來越模糊,而電信技術也將在工業環境扮演更吃重的角色。
以下提供一些必要的資安建議給企業參考:
‧採用應用程式層加密(例如HTTPS、MQTTS、LDAPS)或任何設計完善的工業通訊協定。
‧採用網路隔離(如VLAN和IPsec)來保護企業專網的工業設備。
‧盡速套用作業系統、路由器、基地台等所發布的修補更新,以防範企業專網遭到駭客攻擊的威脅。
‧LTE和5G無法自動提供加密,因此請採用VPN或IPsec來保護遠端通訊管道,包括遠端據點和基地台。
<本文作者:趨勢科技全球技術支援及研發中心/本文出自趨勢科技資安部落格,是由趨勢科技資安威脅研究員、研發人員及資安專家全年無休協力合作,發掘消費者及商業經營所面臨層出不窮的資安威脅,進行研究分析、分享觀點並提出建議。>