防范物联网设备衍生的威胁,思科呼呼吁应重视OT的信息安全

物联网应用当红,导致这类设备本身隐含安全性不足的现象,变得更加严重,于1月22日的Cisco Connect TPE大会上,思科网络安全团队解决方案架构师Timothy Snow特别呼呼吁企业,应针对物联网设备(IoT)采取相关的威胁防御措施,首先,就要先从找出这些设备下手,并布署相关的网络隔离措施,然后进一步透视其运行状态并加以分析,最终得以纳入防护的范围。

Timothy Snow表示,物联网设备的网络安全问题,主要来自于设备本身就不够安全,而且数量极为庞大,难以管理。再加上这类设备往往在连上互联网之后,便能够与其他任意的设备通信,因此,拥有这些物联网设备的企业,要如何有效保护相关设施,便成为现在极为重要的课题。

在企业环境中,这些物联网设备广泛存在于办公环境(OA)、工业控制系统(ICS),或是监控与数据截取系统(SCADA)等,并且往往是在操作型技术(Operational Technology,OT)网络里执行,企业的管理策略上,便与IT网络里的设备有所不同。例如,OT网络里的设备强调要能持续运行不中断,重视设备的运行综效(Overall Equipment Effectiveness,OEE),以及人员操作的安全性与简单易用等。因此,企业对于物联网设备的要求,可用性便是最为优先的要求,然而,在IT网络的网络设备与计算机,机密性才是首要考量。

由于上述的差异,也导致在威胁防护策略上的不同,像是安装修补软件上,IT网络的设备企业可能会尽快进行修补,但OT网络上的物联网设备,则往往在停机维护时,才调度安装更新。纵使提供物联网设备的企业已经推出了修补软件,这些设备却可能仍然暴露于有关风险里相当长的一段时间。

然而,这些物联网设备一旦遭受攻击,带来的后续效应可能极为严重。 Timothy Snow以美国国家健康照顾系统(NHS)与乌克兰电厂遭受攻击等2起事件为例,前者导致急救系统失效,以及许多病患被迫转院,后者则使得25万人无电可用。因此,Timothy Snow认为,我们再也不能忽视物联网设备安全。

通过知名的物联网搜索引擎Shodan,黑客想要找到攻击目标也更加容易。 Timothy Snow说,利用这样的搜索网站,攻击者不需要高深的技能,就能得知目标设备所激活的链接端口、执行的服务等信息,物联网设备可能遭受攻击的门槛并不高。

Shodan上提供的物联网设备信息,对于黑客而言,能减少攻击先收集相关数据所需的心力,像是图中找到的SCADA控制器内容,就能得知能开放的链接端口(21至23、53、80、443端口),以及执行的服务,包含FTP、SSH协议等。

想要防范锁定物联网设备的攻击,Timothy Snow表示,企业执行需通过3种层次的步骤--列管、监控,以及防御。首先是从管理面着手,找出企业环境里所有的物联网设备,并且进行网络隔离,避免一旦受到攻击时,灾情便迅速扩散,波及到其他的设备,造成难以收拾的局面。

在保护物联网设备之前,Timothy Snow表示要先进行列管,其中包含3项工作,包含了找到设备,然后建档并检查是否有弱点,再者,则是依据企业的网络安全策略,进行网络隔离。

采取网络隔离的做法上,最重要的原则之一,就是将必须相互链接的物联网设备,配置在相同的网段中,再者,则是OT的操作员必须知道相关的隔离系统如何操作,进而随时依据OT网络环境的变化,调整网络隔离设置。

对于所有列管的物联网设备,企业也要随时监控运行的情况,并通过事件记录和流量的分析,找出攻击的迹象,识别遭黑的设备,进而阻拦威胁。在此同时,监控设备行为也能协助企业,预防用户操作错误带来的问题。

物联网设备的状态透明化,才能使得企业更有效率提供保护,包含必须能够得知所有设备的状态,并审查所有通信内容,然后,才能分析得出正常行为为何,一旦出现变化,就发出警示消息,最终企业能够快速由于相关攻击。

监控物联网设备状态的最重要目的,就是得知是否有人访问机密敏感信息,这里Timothy Snow以思科自家的Stealthwatch和ISE说明,Stealthwatch针对流量进行物联网设备的网络行为检测,而ISE则能识别设备的状态,并且检查是否含有漏洞。