作者 : 劉大川, 睿控網安 首席解決方案架構師
在前一篇文章分享了 Trend Micro Portable Security 3 (以下簡稱 TMPS3) 很容易使用,以及應用在工控場域的用法。各位可以參考其拙作。
工控場域資安把關神兵利器 - Trend Micro Portable Security 3 / Pro
這次想跟大家分享有關 TMPS3 的二個主題。
1. 常見的使用情境
2. TMPS3 管理方式
在一般資訊環境中,駭客透過竊取的高權限帳號來逕行內網擴散,橫向移動,進而滲透至關鍵系統。工控環境中,一個受駭的關鍵系統,可能成為攻擊來源,進而擴散至其他系統。尤其對高科技製造業而言,全自動化的生產流程,只要其中一個節點出問題,都可能引發連鎖反應,致使產生重大的損失。
所以當環境不同時,其在安全考量上的優先順序也不同。在資訊科技裡常提到的 CIA 黃金三角法則中,首重『機密性』,其次是『完整性』,最後才是『可用性』。
然而在工控科技場域中, 卻首重『可用性』,其次是『完整性』,最後才是『機密性』。都很重要,只是在都很重要中,如要再區分其重要順序時,資訊科技與工控科技二者考量就不太一樣,甚至人身安全的重要性凌駕其上。所以在工控科技世界裡,
如要導入零信任的思維,其角度看法就與資訊科技領域不同。所以在前篇文章裡提及的『資產生命週期安全框架』中,在各個階段,睿控網安建議要以『永不信任, 持續驗證』的原則,確保設備在任何階段都沒有惡意程式及可遭駭客利用滲透的弱點,以防設備變身成『邪惡的資產』,進而影響生產的可用性。
而要建立工控場域零信任的手段很多,這次以在各資產生命週期階段的掃毒工作為主題。現在半導體業界很火的資安標準 SEMI E187 有要求在新設備進廠時要進行下列三項安檢。
1. 設備使用的作業系統如 Windows, Linux 是否仍在原廠的生命支援週期內 (EOL)?
2. 設備商須提供無毒證明
3. 詻備商須提供弱點掃瞄報告,同時須修正嚴重及高風險弱點
睿控網安建議設備除了在新進廠要安檢外,另以以下二個時機也要進行安檢。
1. 設備定期安全檢查
週期性的安全檢查,可以早期發現潛在的威脅。尤其在氣隙作業區的主機,是無法與外界直接連線。或者是封閉性網路以及單機作業區。
2.設備維護檢查
設備在完成維護後,無論是更換硬體配件,抑或是昇級韌體或軟體,只要有任何變更,睿控網安建議在重回生產線前,均要再次檢查是否有任何惡意程式潛藏其中。
以上各種情境,無論是新進設備安檢,週期性安檢,抑或是維護工作完成後安檢,都可以使用 TMPS3 ,接至設備 USB 端口,以進行惡意程式掃瞄,以確保設備在重回生產線時是無毒的。
但在以上各種情境,因為這些設備大多處在未連網狀態。TMPS3 又如何把檢查結果回傳至管理中心? 抑或如何更新 TMPS3 內的病毒碼呢?
在 TMPS3 的架構中,可以在網路上架設 Management Program 主機 (以下簡稱 MP)。多組 TMPS3 可以註冊至 MP 主機。而 MP 主機會自睿控網安雲端威脅情資庫下載最新的威脅情資資料庫,並同步更新至連接此 MP 的 TMPS3。而 TMPS3 除自 MP 更新最新的威脅情資資料庫外,也同時下載掃瞄的安控政策以及回傳掃瞄結果。
TMPS3 在首次使用前,接至可以與 MP 通訊的網路上,先進行註冊的動作。當然這些動作都可以由管理員來完成後,再交付給第一線作業工程師,第一線作業工程師只要按前篇拙作分享的,只要看燈號來作業即可。
在註冊時,如果 TMPS3 是直接接到 MP 主機 USB 端口,則會自動註冊。而如果是在遠端主機,且在與 MP 主機可透過網路通訊狀態下,則會出現如下畫面。管理者輸入註冊相關資料,最後按下方的『Activate』按鈕,就可以向 MP 註冊完成了。
而在 MP 主控台上,就可以看到已向此台 MP 管理主機註冊的 TMPS3 清單。同時也可以管理各個 TMPS3。例如在 TMSP3 註冊清單右方有一『Device Settings』,可以設定掃瞄的範圍及方式。
以下是點選『Device Settings』進來的畫面,可以設定掃瞄的方式是要全機掃瞄,或是特定的範圍。而在掃瞄選項部分,也可選擇要不要偵測 CVE 弱點等選項。
而未來 TMPS3 針對半導體第一個資安規範 SEMI E187,會進一步提供合規檢測報告,對於第一線作業工程師在操作上沒有改變,無須再重新學習。同樣是把 TMPS3 接上設備 USB 端口,看燈號操作。但 TMPS3 會把各項檢查數據回傳至 MP,屆時 MP 可產出一份檢測報告來說明,如下各項檢查項目。
1. 設備作業系統是否 EOL?
2. 設備惡意程式掃瞄結果
3. 設備弱點檢查結果
4. 設備現有帳號清單
5. 設備現在週邊設備清單, 如 USB, DVD
6. 設備現已提供之服務清單, 如 web, ftp, smtp
因為在工控作業環境裡,一項新設備或服務的導入,重點在會產生多少的管理沈没成本,以及第一線作業人員的學習曲線負擔。TMPS3 用最簡單看燈號的作業方式,在一次掃瞄中,蒐集多種資訊。也同時在可用性與機密性之間取得最佳的平衡點。
延伸閱讀:
[TXOne] 工控場域資安把關神兵利器 - Trend Micro Portable Security 3 / Pro
[TXOne] 工控場域資安把關神兵利器 - TMPS3 使用情境與管理
[TXOne] 工控場域設備資安守護神 - TXOne StellarProtect
[TXOne] 工控場域資安把關之天兵神將 - TXOne EdgeIPS
[TXOne] 工控場域資安把關之天兵神將 - TXOne EdgeIPS 基本安裝篇
沒有留言:
張貼留言