今年8月初,台積電爆發大規模病毒感染事件,僅僅因為安裝新機臺時,一次疏於惡意軟體檢查的程序,而當這臺帶有資安威脅的設備連上廠區的內部網路之後,惡意軟體開始擴散,導致多個臺灣廠區的生產機臺陷入癱瘓,結果造成52億元的損失。而在這次事件落幕之後,對於作業科技(OT)領域的工廠生產系統、工業控制系統的防護,真正開始受到臺灣各界的高度重視。

而在賽門鐵克8月底舉行的高科技產業系統安全防護研討會當中,該公司向新竹、臺北的企業正式介紹了他們的解決方案,其中,首度在臺亮相的Industrial Control System Protection(ICSP)引發與會者熱烈討論。

因應工業控制系統的UBS裝置存取防護需求,賽門鐵克日前在臺首度介紹他們最新主推的解決方案,稱為Symantec Industrial Control System Protection。該公司物聯網部門總經理Kunal Agarwal也在現場實際展ICSP scanner station設備的使用。

攝影/李宗翰

基本上,這套解決方案原本是Blue Coat所發展的產品,在2016年賽門鐵克併購該公司之後納入,當中包含了觸控式USB裝置掃描工作站(USB scanning station),以及安裝在OT設備系統當中的政策實施驅動程式(Enforcement Driver),可確保廠區關鍵基礎設施在連接各種USB儲存裝置時,例如隨身碟、記憶卡、光碟機,免於受到潛伏其中的惡意軟體侵襲。

一般而言,生產設備機臺、工業控制系統(圖中最右側)並不允許直接插入USB儲存裝置,相關的資料存取,通常需經由提供人機介面的電腦(HMI Computer)來進行,這裡會允許使用USB儲存裝置,同時,執行相關作業的工程師所操作的電腦,也是允許使用USB儲存裝置,因此,若要防備惡意軟體以此作為跳板,攻擊在其背後的生產設備機臺、工業控制系統,就要從這兩個地方來強化威脅的檢測工作。

而Symantec Industrial Control System Protection提供了一臺掃描工作站,可協助USB儲存裝置的惡意軟體檢測,確定沒有安全疑慮之後,才能將這些USB裝置安插在人機介面的電腦,以及工程師的電腦。

ICSP的使用方式也相當簡便,一般而言,我們必須先將USB儲存裝置插在掃描工作站的設備,透過觸控面板的按鈕來執行掃描作業,確認當中沒有任何惡意程式與檔案,然後,再把這支通過上述安全驗證程序的USB裝置,插在已經安裝ICSP驅動程式的生產設備系統,以便進行檔案存取。

若要檢測USB儲存裝置,我們須將它插在ICSP掃描工作站螢幕右下角的USB埠,然後再透過觸控螢幕來操作相關程序,使用起來相當簡便。

攝影/洪政偉

這是ICSP掃描工作站開機後啟動系統之後的樣子,一般使用者可直接在觸控螢幕提供的主選單,選擇執行三種功能,其中,最常用的項目,當然是最左側的「掃描USB外接儲存裝置」。

而中間的按鍵,是讓使用者將目前正插在ICSP掃描工作站的這個USB儲存裝置,轉為惡意軟體的掃描與清理設備。如果你懷疑HMI設備和工作站已經感染了惡意軟體,可以將製作好的設備插在這些電腦上,即可從中執行掃描與清理作業(針對32位元和64位元Windows,ICSP提供各自的清理程式)。

至於ICSP掃描工作站螢幕最右邊的按鍵,則是負責產生ICSP驅動程式套件的功能,系統將會在USB儲存裝置裡面,建立一個輕量驅動程式軟體包,之後,可以將這個套件安裝到所要保護的HMI設備和工作站,即可部署所謂的ICSP驅動程式,讓你的電腦可以阻擋未經ICSP設備掃描與驗證的USB裝置。

這是ICSP掃描工作站正在執行掃描作業的畫面,根據原廠的文件所示,
如果你插入的是帶有密碼保護的USB儲存裝置,系統會要求你輸入正確的密碼,然而,一旦輸入錯誤太多次,超過系統允許範圍,此時,儲存裝置裡面的資料會被自動刪除。

經過ICSP掃描工作站的比對,如果偵測的結果顯示已經受到感染,就會在螢幕上出現「Infected」的紅色大字作為警示,接下來,使用者不應該再繼續存取這支USB裝置,若要使用,應該要設法刪除那些已經感染的檔案,也因此,ICSP掃描工作站的螢幕下方會列出4個選項,問你是否要刪除全部檔案、刪除指定檔案、保留指定檔案,或是保留全部檔案。

如果出現的是「Partially validated」的黃色字樣,這意味著ICSP掃描工作站並未發現任何已感染的檔案,不過,有些檔案可能因為有密碼保護的關係,而無法掃描,所以,系統如果此時呈現這樣的掃描結果,表示部分未驗證,接下來,我們可以點選「details」的按鈕,檢視詳細狀況。

這是一臺已經安裝ICSP驅動程式的筆電,我們插上一支未經ICSP掃描工作站檢測的USB隨身碟,系統隨即跳出拒絕存取的警示。

攝影/洪政偉

對於沒有通過ICSP檢測的USB儲存裝置,相關的警示畫面會出現在HMI設備或工程師電腦Windows桌面的右下角。

如果手上的USB隨身碟通過ICSP掃描,之後,使用者又存放其他檔案進去,而沒重新整支隨身碟讓ICSP掃描工作站檢測,此時,使用者電腦雖然可以插上隨身碟使用,但將無法開啟這些後續新增的檔案,而出現圖中的警示視窗。

這是ICSP對於USB裝置的簡易驗證流程示意圖,經過掃描的裝置才能安裝到HMI設備與工程師電腦,讓使用者能夠順利存取當中的檔案;相反地,如果沒有通過掃描程序的任何裝置,即便安裝到這些電腦上,均不能開啟裡面的檔案。

此外,ICSP採用的安全掃描技術也值得一提。不只是使用特徵比對的方式,這裡也結合檔案信譽、進階機器學習、沙箱模擬等作法,提升偵測範圍與精準度,以及處理效能,並在近期改版當中,持續擴充相關功能。

ICSP運用的惡意軟體掃描技術,包含進階機器學習、信譽評等、特徵比對、沙箱模擬,而且,這些技術的背後,都是由Symantec 安全技術與應變中心(Security Technology and Response,STAR)所支援,該團隊針對檔案、網路、行為、信譽、矯正等五大領域,開發相關的防護創新應用。

舉例來說,ICSP 在5.2.1版時,開始支援更多種執行檔格式,像是Windows x64的PE32+、Apple雙位元物件檔 Mach-O、.NET雙位元檔;5.3.1版掃描效能提升了2.5倍、支援加密隨身碟的掃描(金士頓DataTraveler Vault Privacy v2和v3),而在保護的作業系統平臺,也擴及Windows 8、8.1、Server 2012 R2。此外,這一版也支援掃描工作站的離線更新,以及加密金鑰的匯出與匯入(支援多臺掃描工作站一起使用的場景)、ICSP驅動程式狀態監控。之後發布的5.3.6版,可支援檔案白名單、USB介面CD/DVD光碟片與3.5吋軟碟片的檢測。

而在今年7月發布的5.4版,ICSP的品牌從Blue Coat正式改為Symantec,並且統一使用Symantec的防毒引擎(5.3.6版之前是Bitdefender,5.3.6版可選用Kaspersky,5.4版起不支援他牌防毒引擎),而且,掃描工作站可將系統本身處理的資訊傳送到指定的syslog伺服器,方便安全事件管理系統(SIEM)或安全管理中心(SOC)進行整合。

ICSP掃描工作站的側面如圖中所示,這裡可看到有4個USB埠,其中2個是USB 3.0規格,以及HDMI埠、RJ45埠(一個是網路埠,另一個無作用)。

攝影/洪政偉

這是ICSP掃描工作站的背部,在實際建置時,從這裡可搭配壁掛或是桌掛套件,以便固定在牆面或桌面上使用。

攝影/洪政偉

產品資訊

Symantec Industrial Control System Protection
●原廠:Symantec(02)8729-9277
●建議售價:廠商未提供
●組成元件:ICSP scanner station設備、ICSP driver驅動程式
●硬體設備規格:基於Linux作業系統、5個USB 2.0埠(面板1個,底部4個)、1個網路埠,外型為高265公釐、寬310公釐、深52.6公釐,重量為3.6公斤
●驅動程式支援作業系統:Windows XP SP2到Windows 10,Windows Server 2003 SP1到Windows Server 2016

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容