【臺灣資安大會直擊】封閉網路強化安控從資安框架做起！臺灣證券交易所維運管理挑戰大公開

近年國內關鍵基礎設施的資訊安全議題備受關注，如何做好封閉網路的安全管理，就是各界關注的一大焦點，而在金融領域當中，臺灣證券交易所（以下簡稱證交所）在證券集中交易市場扮演重要腳色，重要性不言可喻，他們的證券交易核心系統是在封閉系統環境上執行，而對於封閉網路內的安全議題，該公司系統維運工程師徐子浩在近日2020臺灣資安大會上，揭露他們提升安全控制的經驗，並說明封閉網路在維運管理時所面對的挑戰。

需貫徹CSC基本控制項以強化安控

對於封閉網路的維運管理，在資安上該怎麼做？徐子浩指出，透過現成的資訊框架檢視封閉網路內需加強的安控機制，就是最務實的方式，例如NIST Cybersecurity Framework（CSF），以及CIS Critical Security Controls（CSC）資安框架，都是他們會參考的資訊。

特別是在CIS CSC的部分，當中提供了較具體的安控措施。他舉例，在此框架中，涵蓋了20大關鍵控制項目，依資安需求等級分級為基本型（Basic）、基礎型（Foundational）與組織型（Organizational），更值得注意的是，這些控制項將依實施單位規模Implementation Group（IG），分成IG1、IG2與IG3，數字越大，代表對應的企業組織規模越大。。

在這樣的框架底下，徐子浩認為，在封閉網路的管控措施上，至少要能符合CSC中的基本型控制，以及IG2的規模。簡單來說，基本控制項目也就是CSC中的前6個控制項目，他表示，除非是很針對的APT攻擊，組織若能徹底做好上述安全控制，其實就不容易受到一些攻擊。

他舉例，在硬體資產盤點與控制一項上，雖然證交所內部的硬體資產，不會經常變更，但如果因為沒有變更就不去掌握，如果內部被偷偷接上一臺電腦、一臺無線AP，就可能有破口出現，因此，對於封閉網路而言，硬體資產盤點控制也很重要。

運用開源軟體輔助需求蒐集

較特別的是，他也提供了自己在開源軟體應用的經驗，並指出其最大好處就是可以快速建置測試環境，方便招標採購前，能先確定需求，同時，他還將CSC控制措施與開源軟體的應用結合，像是針對上述的硬體資產盤點控制需求，可對應的開源軟體是Open-Audit資訊資產盤點工具，而他也借助建置測試環境的經驗，比較各商業產品能否滿足自身需求。

他強調，這裡並不是指證交所都用這些開源軟體，而是因為他研究封閉網路管控的過程中，透過開源軟體輔助需求蒐集，有了明確需求後，將更能找到合適產品，他認為這點很有幫助。

而在CSC的這6個控制項目中，對應到開源軟體方面，他也提供了可以參考的工具。例如，項目2的軟體資安盤點與控制一項，對應是Open-Audit，以及OSSEC主機型入侵偵測；項目3的持續執行弱點管理一項，包括系統內部檢查合規性的OpenSCAP、ComplianceAsCode，以及系統外部檢查弱點的OpenVAS；項目4的妥善配置系統管理權限一項，包括FreeIPA/IDM與FreeRADIUS；項目5的設備套用安全組態設定，包括OpenSCAP與自動化部署工具Ansible；項目6的維護、監控與分析稽核日誌，則是日誌匯總、搜尋、分析的ELK Stack，以及資源監控警告的Prometheus、Grafana與LibreNMS。

另外，徐子浩也提醒，面對目前的資安威脅，必須假設滲透行為已經發生，因此必須設定安全控制點，或是讓風險降到最低，而這次議程上，他也介紹了NIST網路安全框架，當中不只包含了識別、保護之外，還要有偵測、回應與復原。

封閉網路維運管理五大挑戰

除了強化安控機制，封閉網路本身也有維運管理的挑戰要面對，現場徐子浩不僅說明了證交所本身遇到的挑戰，同時也談論到他們的因應與經驗。

徐子浩指出，封閉網路在維運管理上有五大挑戰，包括：難以遠端管理、資料傳輸需求、設備相依性，以及內部防禦空窗與人員操作管理。

例如，在遠端管理上，由於封閉網路的特性，使得內部警告出不去、支援進不來，此時，難道只能讓人員24小時守在機房嗎？徐子浩表示，這確實是一個很大的挑戰，為了解決這樣的問題，因此他們需要符合實體隔離的遠端管理機制，因此，他們試著規畫出這樣的架構，並且是從電信業者一路延伸到內部系統環境，做出一層層安全防護。

在這當中，除了硬體、網路與服務採用雙活（Active-Active）架構備援、並建議VPN搭配浮動IP位址透過UDP連接，與結合OTP的多因素驗證機制。他們這麼做，是為了多數弱點掃描的作業都針對TCP服務，此方法能降低遭受弱點掃描的機率，有效縮小受攻擊面，還包含像是3層防火牆的應用，以及搭配IP KVM、關閉CMD與PowerShell的Thin Client跳板機，以及內外雙重Log Server與簡訊SMS Server等配置。

此外，關於上述的多數弱點掃描的作業都針對TCP服務，後續他也進一步解釋。他說，駭客進行弱掃有兩種模式，一種是沒有特定目的針對整個網段進行掃描，通常是已有鎖定的弱點（如wannacry），這種情況下，使用浮動IP位址遭受弱掃的機率是隨機，不會降低遭受弱掃的機率。但有的駭客為加速掃描效率，會先用ICMP PING、TCP PING、UDP PING偵測整個網段，確認有那些在線IP位址後，才會針對在線IP主機的其他服務進行深度掃描。像是這種情況，等到駭客要進行第二階段深度弱掃描時，設備的浮動IP可能早已經更換，因此能躲過弱掃，但他也提醒，這仍然是機率問題；還有一種弱掃，是針對性的APT情資蒐集，因為公司通常是申請整段連續的IP位址，駭客會針對公司公開服務（WEB、MAIL、DNS等）周遭的IP位址一併進行弱點掃描，因此，如果服務是使用同個子網路的IP位址，很容易受到掃描。在這種情況下，使用浮動IP位址則能確實能降低遭受弱掃的機率。

在資料傳輸需求上，由於證交所常有一些重要的Log記錄需要從系統裡面匯出，還有重大漏洞必須更新的狀況，但是又怕被入侵、系統不安全。因此，這方面需要仰賴單向網路與邏輯網路（Logical Network）來解決。對此，徐子浩說明，其中邏輯網路比較常見，像是防火牆的管控，而單向網路更是從硬體層著手，直接讓資料的封包只能單向傳輸。

何謂單向網路？徐子浩說明其用途，包括資料可以從高安全區域下載到低安全區域，例如，設備日誌、告警訊息與生產數據，此外，資料也能從低安全區上傳至高安全區域，例如，病毒碼、設定檔與更新檔等，而在上傳前，他們也會有一道風險掃描的機制，檢查是否有惡意程式。

特別的是，他針對挑選單向網路設備提出建議。他先解釋了單向網路設備的技術困難點，例如，無法完成三項交握建立TCP連線，移除RX或TX接收不到載波訊號，無法透過ARP取得MAC對應的IP位址，以及協定需接收伺服器端回應封包才開始傳輸資料，雖然現有設備都能解決這樣的問題，但他認為，廠商如果可以很詳細解釋產品是如何做到，即可納入評估的部分。

對於設備相依性的挑戰，徐子浩舉例，像是有的設備相當老舊，甚至到了廠商已經不再維護，面對漏洞等問題，但他們又必須要使用，短時間無法淘汰，這時可將老舊的設備集中管理，透過類似Proxy防火牆的方式，只開放特定連接埠可以從這個防火牆連外，同時限制流量不得連入，只出不進。

另外還有兩個IT環境維運也很常見的挑戰，包括終端的設備管控，以及人員管理。徐子浩表示，過往由於依賴封閉網路，實際上，內部缺少防禦，現在，端點控管與入侵偵測就要強化。對於人員管理上，他特別提醒，由於大家普遍覺得封閉網路一定安全，這反讓大家安全意識下降，造成人員輕忽的問題，但封閉不等於安全，因此相關的訓練獎勵與教育訓練還是很重要。

此外，在上述人員管理議題之外，還有那些狀況值得擔心？徐子浩特別點出一件事，他說，資訊安全除考量三要素CIA，還必須考量3P，這裡的3P是指人（People）、產品（Product）與程序（Procedure），他進一步解釋，組織內部要避免使用操作複雜的產品，這不僅是讓人員沒辦法順利作業、降低可用度，而這樣的結果，很可能會讓維運的人想出一些偏門的做法，去繞過這些安控機制，結果可能會造成更大的風險，需特別注意。