精誠資訊在去年9月代理以色列資安品牌Cyberbit,該公司旗下的工業控制系統資安防護方案SCADAShield,今年6月底推出6.0新版,針對維運科技型系統(OT)所在的特殊網路環境,提供進階的資產探查與透視機制,協助工業控制系統(ICS)網路的管理者,得以即時掌握資產的細部資訊與對應關係,藉此提高系統持續正常運作的程度,以及具備快速評估與矯正弱點的能力,進而針對當前IT與OT融合的網路環境,強化整體的故障回復能力。

SCADAShield屬於被動式的處理系統,可透過環狀網路分流設備(Transit Access Point,TAP)或是IP分接方式(透過SPAN埠)擷取所要分析的網路流量資料。
接著,針對Bacnet、Ethercat與Modbus等工業控制系統常用的網路協定,執行深度封包檢測(DPI)從中偵測安全性弱點、異常活動,並且警示偏離業務應用的存取行為,以及進行網路拓樸的探勘與變更偵測。

 

針對智慧型建築環境的工業控制系統防護需求,Cyberbit提供了EDR與SCADAShield,能分別保護IT設備所在的網路區域(右下),以及OT(左下)、IoT(中下)等網路區域。

由於SCADAShield 6.0具備更強大的追蹤與剖析功能,管理者能夠查看這類作業設備的細部屬性,像是序號、裝置識別碼、軟體版本。同時,可透過這套平臺來偵測資產的安全性弱點,以及取得矯正這些部分的建議方式。

除此之外,SCADAShield也針對工業控制系統網路的監控,提供許多功能,像是進階的網路架構關係對應、零時差漏洞濫用行為的異常偵測,以及自動化的政策產生與強制施行,並且可確認設備的機碼及訊號源是否為先前正常傳送的設備,避免遭受到中間人攻擊。

在運作方式上,企業可將BlackBox感測器設備,透過頻外(out-of-band)的部署架構,以非侵入的模式安裝於網路環境,透過集線器來分接流量,接著執行被動的監控、偵測、鑑識與反應等作業,也就是收集所有IT、OT網路的封包與訊號,並且採用深度封包檢測(DPI)的方式進行比對,分析通訊協定當中的每個層級,掌握出現異常數據的行為,再搭配CVE弱點資料庫判斷屬於何種攻擊手法,方便下一步的處置。

相較之下,傳統的作法較為局限,只能透過分析遠端終端裝置(RTU)、可程式化邏輯控制器(PLC),或維運記錄系統(historian logs)來找尋潛在威脅。

若需要主動阻擋的防護效果,BlackBox也支援線上部署模式(inline)可改用這種建置架構。此外,SCADAShield也能搭配其他資安產品使用,例如,可以整合安全事件管理系統(SIEM)提報異常活動的警示。

而在這樣的網路分析架構之下,SCADAShield可以自動產生白名單與黑名單的控管政策,以便識別安全性弱點、不適當的設定、惡意功能或是侵害政策的行為。

SCADAShield可在既有的網路環境當中,透過從交換器旁接出去的方式,偵測流量是否帶有惡意活動,例如,有外部人士透過非法的遠端登入,穿透了外部防火牆與內部防火牆,而接觸到第一個生產製造設備區;另一種情況,則是使用者的電腦遭到惡意軟體感染,而使得駭客得以潛入內部網路,接著可接觸到OPC(OLE for Process Control)伺服器,然後再透過這個可連接不同設備的存取介面,進而滲透到第二個生產製造設備區(或是透過破解Wi-Fi網路而感染連接電腦的USB隨身碟,當使用者將這樣的隨身碟插到生產製造設備時,也可能因此感染裡面的系統,而使其透過OPC伺服器連到外部惡意網路)

產品資訊

Cyberbit SCADAShield 6.0
●代理商:精誠資訊(02)7720-1888
●建議售價:廠商未提供
●系統架構:應用伺服器(軟體)、感測器(硬體或軟體)
●應用伺服器系統規格:16核心處理器、64GB記憶體、4臺1.8TB SAS硬碟配2臺480GB SSD、作業系統為Debian
●感測器系統規格:雙核心處理器、16GB記憶體、240GB SSD、作業系統為Debian
●支援網路通訊協定:乙太網路/IP、Modbus、IEC、DNP、CIP、SITA、Profbus、Profnet、MDLC、TIM、SITA等四十多種
●涵蓋設備廠牌:Mitsubishi、Siemens、GE、ABB、Yokogawa、Honeywell、Emerson、Rockwell Automation、Schneider Electronic

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容