2016資安趨勢 - 工業控制系統安全


摘自: http://www.ithome.com.tw/news/106642



許多應用系統對於網路存取的依賴度日益增加,就連原本獨立於現有網路之外的工業控制系統也不例外,也因此暴露的受攻擊層面與弱點也越來越多
網路互聯的普及與融合,是ICS/SCADA系統安全惡化的主因
近年來,成功攻擊重大基礎設施的事件數量與複雜度,均穩定地增加。RSA總裁Amit Yoran認為,這些環境平時運作所仰賴的工業控制系統,已瀕臨崩潰邊緣,因為過去三年當中,侵入系統以控制化學、電力、水源、交通等公領域設施的事件比例,已增加了17倍,而具有聯網與自動作業能力的感應器出現後,使這些問題更為惡化。
~
對於工業控制系統的攻擊變得更為顯著,根據FireEye資深副總裁暨技術長Grady Summers的分析,這股趨勢之所以高漲,原因在於:這幾年以來,作業技術型(Operational Technology,OT)系統的連網程度持續提升,遠端監控與診斷的應用增加,以及基礎設施老舊,攻擊ICS的惡意程式也有越來越普遍的趨勢。
除此之外,Grady Summers也提到ICS環境開始跨到Wi-Fi無線網路的應用,而這也將擴大系統受到攻擊的層面,門戶可能因此大開,讓網路恐怖份子得以進攻重要基礎設施。
~
  • 工業網路與企業網路對於安全性的優先考量差異

在企業IT網路環境中,因為與文書作業處理密切相關,因此,首要安全性議題是資料保護,而工業網路環境的安全性,看重的是處理流程的保護——必須持續運作,然後才是安全。
  • 業務IT系統與工業控制系統面臨的風險

IT系統的安全性要求較重視智慧財產的竊取,工業控制系統面臨的威脅,則是系統感應器的讀取失靈,或失去對廠區設備的持續控制,甚至威脅人員的生命安全。圖片來源/Thales

 提升基礎設施安全性的作法 
為了維護基礎設施,企業須經常例行地測試災難備援等業務永續營運的計畫與程序。對於預防基礎設施受到毀滅性攻擊的最佳實務,下列是趨勢科技提出的建議:
● 將企業網路與ICS網路隔離開來,減少跳板攻擊
● 將特權使用者數量減少至最低,並加以保護,同時維持側向移動(lateral movement)的作法
● 採用應用程式白名單與檔案完整性監控技術,預防惡意程式碼執行
● 減少受攻擊的表面,例如限制工作站之間的通訊
● 部署穩固的網路入侵防禦系統、具有應用層防護能力的防火牆、正向代理伺服器(Forward Proxy),以及配備沙箱功能的防護裂痕偵測(breach detection),或是其他動態分析網路流量與程式碼的產品
● 啟用主機與網路的事件記錄監控機制
● 導入可防護傳遞雜湊攻擊(Pass-the-Hash)的系統
● 將防惡意軟體的信譽服務整合部署到傳統的特徵式防毒軟體
● 執行主機入侵防禦系統
● 快速遮蔽與修補已知的作業系統與軟體弱點

留言

張貼留言

這個網誌中的熱門文章

網路晶片商的解決方案

圖片
Survey and Research: http://www.smallnetbuilder.com/tools/charts/router/view https://www.snbforums.com/threads/how-to-find-the-best-router-for-gigabit-internet.38635/ https://www.smallnetbuilder.com/lanwan/lanwan-howto/33095-how-to-find-the-best-router-for-gigabit-internet 1. Broadcom方案     (1)     LDK: Linux Development Kit (LDK) for the Broadcom iProc (integrated Processor) family of processors. The iProcLDK currently supports all the production iProc SOCs (Northstar/Northstar+/Northstar2/ … etc). It provides as buildroot package for toolchains/compiler, U-Boot loader, Linux kernel 3.6.5 BSP and applications. The LDK now has SAMBA optimized porting for NAS application.       (2)   ESDK: WLAN Enterprise SDK (or Enterprise Wireless SDK) which support to the Broadcom reference platforms. It provides bootloader (CFE/U-boot), Linux kernel 2.6.36 BSP, WiFi driver and application (with Enterprise features).   ...
閱讀完整內容

工業用網路Industrial Network介紹

圖片
Industrial Networks Industrial Networks Industrial Networks is your resource for industrial Internet, Industry 4.0 and Industrial IoT information. Find ... Industrial Networks Fundamentals Industrial Networks Fundamentals Fundamental basics you should know with respect to electrical industrial networking Industrial Communication Protocols Modbus TCP https://www.youtube.com/watch?v=k993tAFRLSE OPC UA https://www.youtube.com/watch?v=-tDGzwsBokY PLC Tutorial (Programmable Logic Control) https://www.youtube.com/watch?v=rh5DfK2JWmA http://domynews.blog.ithome.com.tw/post/1252/139350 作者:Paul Ferguson(資深威脅研究員) ICS (工業控制系統, Industrial Control Systems )網路最近的 新聞 鬧得很大。因為出現了一連串的弱點、熱門入侵外洩事件以及其他各種安全上的問題。     ICS 網路的定義是由各個在機電組件上控制和提供自動測量資料的元件所組合成的網路或網路集合。這些機電組件包括閥門、調節器、開關和其他機電設備,你可以在各種產業裡看到它們,像是石化與天然氣、自來水處理、環境控制、發電和配電、製造業、運輸業以及許多其他產業別。     這裡並不需要深入探討各個特定產業,這些 ICS 應用環境都有一個...
閱讀完整內容

TechNet網路技術: VPN

圖片
摘自: https://technet.microsoft.com/en-us/library/cc739294(v=ws.10).aspx https://technet.microsoft.com/en-us/library/bb742458.aspx Synology NAS VPN設定:  https://walker-a.com/archives/2501/2 DrayTek FAQ: https://www.draytek.com/zh/faq/faq-vpn/vpn.lan-to-lan/%E5%A6%82%E4%BD%95%E5%BB%BA%E7%AB%8B-vigor-lan-to-lan-ipsec-%E9%80%9A%E9%81%93/ What is VPN ? VPN Scenarios Virtual private networks are point-to-point connections across a private or public network such as the Internet. A VPN client uses special TCP/IP-based protocols, called tunneling protocols, to make a virtual call to a virtual port on a VPN server. In a typical VPN deployment, a client initiates a virtual point-to-point connection to a remote access server over the Internet. The remote access server answers the call, authenticates the caller, and transfers data between the VPN client and the organization’s private network. To emulate a point-to-point link, data is encapsulated, or wrapped, with a header. The ...
閱讀完整內容