ICS工業網路安全的關鍵點

台灣積體電路-蘋果iPhone及其他許多全球公司的關鍵晶片組製造商 – 據報導,該公司第三季度收入下降2%,即約1.6億美元,原因是其生產設施受到感染通過Wannacry勒索軟件的變種。當安裝了新的fab工具設備時,惡意軟件進入了製造環境網路ICS。惡意軟體傳播得非常迅速,據首席執行官表示,在感染高峰期,10,000台機器在幾個生產環境受到感染。首席執行官堅稱,攻擊不是針對性的,而且Wannacry變種不需要贖金。

2018年8月的惡意軟體傳播使台積電損失高達上億美金

造成如此嚴重後果的主要因素:

1)即使是普通的惡意軟體也可以通過現代化的製造設施滲透和破壞大型的全球企業內部。

2)從網際網路(IT )攻擊製造業內部網路或工業製造ICS網路並雖然不是一進容易的事情,但是一旦達成,防火牆,VPN和存取控制無法防止滲透,尤其是IT網路常見的入侵檢測系統(IDS)和類似技術無法在ICS工業網路上檢測到這些入侵。

強大的網路邊界保護至關重要 – 如果部署安全閘道安全地整合保護IT和OT網路,前述所提的廠商可能已經節省了數千萬美元。每個工廠不同網段都可以免受惡意軟件的攻擊,試圖通過IT網路或其他內部網路在站點之間難以攻擊。

現在是就是開始工業安全採取全面資安佈署的時候了。單向閘道是基於硬體設備的工業站點物理保護。無論當前或未來的惡意軟體變得多麼複雜,或者我們當前或未來的敵人有多聰明,惡意軟體都無法通過單向閘道傳播。

進一步的說明 – 除了物理上FAB的資訊政策,更有幫助的是基本資安準則

從TSMC經驗中得出的一個重要結論是獨立的試驗台的重要性。具有安全工業網路的站點在將每個新產品,系統或軟體傳遞到物理周邊上之前會對其進行徹底檢查。此檢查通常包括使用防病毒,沙盒,漏洞掃描程序與其他技術測試新組件和信息。測試平台的目的是識別對物理工業過程的正確操作構成威脅的所有行為 – 從惡意軟體攻擊到安全漏洞問題再到人為損害操作的徹底錯誤模擬。

這裡發生的嚴重失誤並不是錯過AV掃毒有無經過檢驗,而是將未被信任的軟體直接帶入直接或間接連接到工業網路,而並無在測試環境上進行模擬才是最嚴重的疏失。

詳細信息 – 網路邊界

使用CVE-2017-0144 永恆之藍 “EternalBlue”漏洞,Wannacry在未上PATCH的設備中傳播得非常快。台積電首席執行官評論說 “確保所有公司的Windows 7機器都使用最新的安全Patches進行更新是非常艱難,因為該過程需要與設備供應商協作,並且只能在停機期間執行。”這些結合在一起並且可以合理地假設Wannacry變種通過未連接的Windows 7設備在許多連接的生產站點的工業網路上快速散步可想而知。

這裡的重要教訓不是“現在修補所有有漏洞的端點” – 在任何產品,系統或軟體中總會有更多已知或未知的漏洞。重要的教訓是,需要強大的防禦措施來防止惡意軟件在工業站點之間傳播。如果感染僅限於第一個受感染的網站,台積電本可以節省數千萬美元。

許多從業者會認為防火牆是網路外圍防禦的第一線。但我們假設台積電有防火牆將他們的網站分開; 可能是多層防火牆。這裡真正的問題是防火牆是多孔的。可以規避所有防火牆。近年來所有公開的證據顯示,所有網路攻擊都成為可能,因為攻擊能夠穿透防火牆。

強大的解決方案是以Waterfall單向安全閘道的形式為工業站點部署基於物理,硬體的物理保護。Gateway閘道保護只允許資訊僅往一個方向上流動 – 通常從受保護的工業網路流向不可信的IT網路。OT網路可以將業務數據和其他信息共享到企業網絡,遠程供應商監控設施,甚至工業雲服務,但沒有任何東西 – 沒有利用任何病毒 – 可以進入工業生產網絡。

建議

工業網路上的網路安全事件很昂貴。非常貴。

公司容易受到有針對性的複雜攻擊,但它們也容易受到常見的普通病毒和其他普遍存在的惡意軟體的攻擊。

安全計劃應該能夠防止網路攻擊發生,並阻止其發生,包含和阻止其傳播。

Waterfall的單向閘道旨在解決這些類型的攻擊。它們廣泛應用於全球許多行業。

 

如果您想多了解有關Waterfall的運作,請與我們聯絡。

 

Posted in 產品新知 and tagged , , , , , , , , , , , , .