從工業偵防到暗網情蒐,資策會助企業阻斷潛在資安風險
你是否曾經意識到,我們身處的社會,其實建構在一個相當複雜龐大的計算機系統上,隨著物聯網應用的串連,雲端協作便利性提升,系統的穩定性與安全性,需要以更專注細膩的方式分項開發及維護。資策會資安科技研究所(資安所)早在幾年前及看見這樣需求的,並在經濟部技術處科技專案的支持下,針對不同的產業資安特性,研發出「工業控制系統網路入侵偵測設備」及「SecBuzzer 資安智慧分析平台」,更於今年雙雙入圍美國百大科技研發獎(R&D 100 Awards),讓台灣科技軟實力再度於世界舞台發光發熱。
縱深兼具的資安防禦網—工業控制系統網路入侵偵測設備
2018 年夏天,國內半導體龍頭大廠遭逢公司史上最大資安威脅,讓工業資安成為倍受關注的議題。「其實工業資安的需求不同於企業資安」,資策會資安所林志達技術協理開門見山的點出兩者的差別。一般企業的資安著重於資料不外洩,其次才是系統的穩定運作性,因此企業內部常會為了更新系統而停止運作;但工業上的資安則首重運作不中斷,不允許在運作中作更新,「如果為了更新系統,而停止用電用水,或是讓產線停止運轉,經濟損失將是幾十億起跳」。
工業上若遇到資安危機,往往後果更為嚴重,輕者生產線停擺,重者可能威脅到生命安全,例如幾年前發生在伊朗的 Stuxnet 蠕蟲攻擊核電廠事件,若處理不慎,有可能影響到周遭居民安危。「坦白說,國內在基礎設施與產線保護上,已盡量做到完全隔絕」,但連此國內半導體龍頭大廠這樣安全控管如此謹慎的公司,都有可能面臨到威脅,林志達協理認為若再導入工業 4.0,全機台聯網,資安危機的規模將更大。
為了符合工業上不停機、不更新、不介入等三不需求,林志達協理指出資安系統需具備非侵入式特色,「簡單來說,就是在不影響生產流程的前提,達到保護的效果」。資安所以三道防禦縱深入侵偵測系(Intrusion Detection System, IDS),包含深度剖析 OT(Operation Technology)環境內各層通訊內容、橫跨實體Mac及網路傳輸、工控應用等協定,為工業系統構築縱深兼具的資安防禦網。
▲ 資策會資安所研發團隊,在經濟部技術處科技專案的支持下,針對不同的產業資安特性,研發出「工業控制系統網路入侵偵測設備」及「SecBuzzer 資安智慧分析平台」。
這套系統能從通訊閘道側錄封包的訊息傳遞狀況,並即時分析資料,此外系統還具有免疫型功能,也就是先從正常的封包訊息學習生產時通訊控制行為,當有不正常訊息發生,就能夠馬上發出警告,第一時間通知管理中心處理有異常的主機,而不會到病毒擴散到一發不可收拾才被察覺。
IDS 能實際把關駭客可能潛入工業 OT 環境之各種攻擊行為,如偵察、惡意命令注入、偽冒回應假數據、DoS 癱瘓等。目前此項技術移轉給工業控制技轉廠商,更分別與高雄興雄瓦斯與台水進行基礎設施場域的防護試驗。當通過工控滲透攻擊程式的淬鍊驗證,研發團隊希望下一步能為我國製造業提供完善的資安服務,以因應工業 4.0 的轉型需求。
掌握惡意程式上游情資—SecBuzzer 資安智慧分析平台
除了日前國內半導體龍頭大廠的資安事件,近幾年駭客攻擊頻傳,手法也日新月異,從 2016 年一銀資安事件、2017 年 WannaCry 事件,到 2018 年 FB 用戶帳號遭入侵,再再提醒我們資訊安全維護需跳脫傳統思維,除了有周全的系統保護,也須具有完整的資安情資搜集能力,才能防範於未然,抵擋駭客不間斷的惡意攻擊。
同樣由資策會資安所開發的「SecBuzzer 資安智慧分析平台」,以地下暗網情蒐技術探索龐大地下經濟,掌握惡意程式上游情資,並運用AI情資分析平台讓企業能夠掌控最新的威脅情資,進而避免風險。
「我們現在所看到的資訊,只佔所有情資的 4%」,資策會資安所推廣經理石美琪借用美劇《紙牌屋》的對話,揭示暗網情蒐的重要性。「也就是有 96% 的情資是藏在深網裡,而其中暗網是深網的一環。」
▲ 我們在網路上查到的資訊只是冰山一角,還有許多資訊是藏在暗網中。
由於暗網的網路架構屬於分散式,導致暗網活動難以被追蹤,許多非法交易躲藏於此,不僅如此,暗網裡還會有一些論壇專門在討論駭客攻擊手法,以及販賣惡意程式、漏洞程式碼、攻擊套件、隱私個資或信用卡號,「這些蛛絲馬跡都能預警,讓資安人員提早做好防護措施」。
SecBuzzer 初期是用在資安社群偵測,以爬蟲技術了解資安社群對一些事件的影響,隨著偵測分析技術進展,今年開始蒐集暗網情資,鎖定地下論壇蒐集未知弱點情資。SecBuzzer 亦可辨識傳統防毒軟體無法辨識的新威脅——無檔案惡意軟體,抓出主機內部異常狀況,再透過資安應變處理管理中心,即時回報資安人員,讓企業隨時掌控資安狀況。此平台能讓企業減少許多人力成本,同時提升效率並避免人為錯誤。
目前 SecBuzzer 資安智慧分析平台透過AI及機器學習技術,可支援不同種類的資安廠商,以SDK(Software Development Kit,軟體開發軟件)、API(Application Programming Interface,應用程式介面)、或Intelligence(客製化情資平台)的方式依照需求提供服務。資安廠商無須承擔AI研發成本,可輕鬆加值資安服務並專注於應用程式服務品質。平台可適用於不同產業,目前已應用於竣盟科技、叡揚資訊等包含海內外政府、金融業、工業及資安產業等。
資安保衛戰,從駭客弱點下手
未來的新型資訊網路攻擊將更趨嚴峻,駭客攻擊更升級到國與國之間的對抗,即使如此,再小心的駭客都會在網路空間留下足跡,就像在 WannaCry 事件發生後,資策會資安所研發團隊曾回頭分析暗網的資訊,發現相關討論早在爆發前兩個月就出現在暗網裡;而再低調的潛伏也都有露出馬腳的一刻,病毒發作之前,總會有不正常的封包訊號傳出。若企業、政府單位能提早取得預警訊息,做好防備措施,就能將損失降到最低。