你是否曾经意识到,我们身处的社会,其实建构在一个相当复杂庞大的计算机系统上,随着物联网应用的串连,云端协作便利性提升,系统的稳定性与安全性,需要以更专注细腻的方式分项开发及维护。资策会资安科技研究所(资安所)早在几年前及看见这样需求的,并在经济部技术处科技专案的支持下,针对不同的产业资安特性,研发出“工业控制系统网络入侵侦测设备”及“SecBuzzer 资安智慧分析平台”,更于今年双双入围美国百大科技研发奖(R&D 100 Awards),让台湾科技软实力再度于世界舞台发光发热。
纵深兼具的资安防御网—工业控制系统网络入侵侦测设备
2018 年夏天,国内半导体龙头大厂遭逢公司史上最大资安威胁,让工业资安成为倍受关注的议题。“其实工业资安的需求不同于企业资安”,资策会资安所林志达技术协理开门见山的点出两者的差别。一般企业的资安着重于资料不外泄,其次才是系统的稳定运作性,因此企业内部常会为了更新系统而停止运作;但工业上的资安则首重运作不中断,不允许在运作中作更新,“如果为了更新系统,而停止用电用水,或是让产线停止运转,经济损失将是几十亿起跳”。
工业上若遇到资安危机,往往后果更为严重,轻者生产线停摆,重者可能威胁到生命安全,例如几年前发生在伊朗的 Stuxnet 蠕虫攻击核电厂事件,若处理不慎,有可能影响到周遭居民安危。“坦白说,国内在基础设施与产线保护上,已尽量做到完全隔绝”,但连此国内半导体龙头大厂这样安全控管如此谨慎的公司,都有可能面临到威胁,林志达协理认为若再导入工业 4.0,全机台联网,资安危机的规模将更大。
为了符合工业上不停机、不更新、不介入等三不需求,林志达协理指出资安系统需具备非侵入式特色,“简单来说,就是在不影响生产流程的前提,达到保护的效果”。资安所以三道防御纵深入侵侦测系(Intrusion Detection System, IDS),包含深度剖析 OT(Operation Technology)环境内各层通讯内容、横跨实体Mac及网络传输、工控应用等协定,为工业系统构筑纵深兼具的资安防御网。
▲ 资策会资安所研发团队,在经济部技术处科技专案的支持下,针对不同的产业资安特性,研发出“工业控制系统网络入侵侦测设备”及“SecBuzzer 资安智慧分析平台”。
这套系统能从通讯闸道侧录封包的讯息传递状况,并即时分析资料,此外系统还具有免疫型功能,也就是先从正常的封包讯息学习生产时通讯控制行为,当有不正常讯息发生,就能够马上发出警告,第一时间通知管理中心处理有异常的主机,而不会到病毒扩散到一发不可收拾才被察觉。
IDS 能实际把关骇客可能潜入工业 OT 环境之各种攻击行为,如侦察、恶意命令注入、伪冒回应假数据、DoS 瘫痪等。目前此项技术移转给工业控制技转厂商,更分别与高雄兴雄瓦斯与台水进行基础设施场域的防护试验。当通过工控渗透攻击程式的淬炼验证,研发团队希望下一步能为我国制造业提供完善的资安服务,以因应工业 4.0 的转型需求。
掌握恶意程式上游情资—SecBuzzer 资安智慧分析平台
除了日前国内半导体龙头大厂的资安事件,近几年骇客攻击频传,手法也日新月异,从 2016 年一银资安事件、2017 年 WannaCry 事件,到 2018 年 FB 用户账号遭入侵,再再提醒我们资讯安全维护需跳脱传统思维,除了有周全的系统保护,也须具有完整的资安情资搜集能力,才能防范于未然,抵挡骇客不间断的恶意攻击。
同样由资策会资安所开发的“SecBuzzer 资安智慧分析平台”,以地下暗网情搜技术探索庞大地下经济,掌握恶意程式上游情资,并运用AI情资分析平台让企业能够掌控最新的威胁情资,进而避免风险。
“我们现在所看到的资讯,只占所有情资的 4%”,资策会资安所推广经理石美琪借用美剧《纸牌屋》的对话,揭示暗网情搜的重要性。“也就是有 96% 的情资是藏在深网里,而其中暗网是深网的一环。”
▲ 我们在网络上查到的资讯只是冰山一角,还有许多资讯是藏在暗网中。
由于暗网的网络架构属于分散式,导致暗网活动难以被追踪,许多非法交易躲藏于此,不仅如此,暗网里还会有一些论坛专门在讨论骇客攻击手法,以及贩卖恶意程式、漏洞程式码、攻击套件、隐私个资或信用卡号,“这些蛛丝马迹都能预警,让资安人员提早做好防护措施”。
SecBuzzer 初期是用在资安社群侦测,以爬虫技术了解资安社群对一些事件的影响,随着侦测分析技术进展,今年开始搜集暗网情资,锁定地下论坛搜集未知弱点情资。SecBuzzer 亦可辨识传统防毒软件无法辨识的新威胁——无档案恶意软件,抓出主机内部异常状况,再透过资安应变处理管理中心,即时回报资安人员,让企业随时掌控资安状况。此平台能让企业减少许多人力成本,同时提升效率并避免人为错误。
目前 SecBuzzer 资安智慧分析平台透过AI及机器学习技术,可支援不同种类的资安厂商,以SDK(Software Development Kit,软件开发软件)、API(Application Programming Interface,应用程序界面)、或Intelligence(客制化情资平台)的方式依照需求提供服务。资安厂商无须承担AI研发成本,可轻松加值资安服务并专注于应用程序服务品质。平台可适用于不同产业,目前已应用于竣盟科技、叡扬资讯等包含海内外政府、金融业、工业及资安产业等。
资安保卫战,从骇客弱点下手
未来的新型资讯网络攻击将更趋严峻,骇客攻击更升级到国与国之间的对抗,即使如此,再小心的骇客都会在网络空间留下足迹,就像在 WannaCry 事件发生后,资策会资安所研发团队曾回头分析暗网的资讯,发现相关讨论早在爆发前两个月就出现在暗网里;而再低调的潜伏也都有露出马脚的一刻,病毒发作之前,总会有不正常的封包讯号传出。若企业、政府单位能提早取得预警讯息,做好防备措施,就能将损失降到最低。
