簡化USB儲存裝置安全檢測作業，賽門鐵克推出掃描工作站

今年8月初，台積電爆發大規模病毒感染事件，僅僅因為安裝新機臺時，一次疏於惡意軟體檢查的程序，而當這臺帶有資安威脅的設備連上廠區的內部網路之後，惡意軟體開始擴散，導致多個臺灣廠區的生產機臺陷入癱瘓，結果造成52億元的損失。而在這次事件落幕之後，對於作業科技（OT）領域的工廠生產系統、工業控制系統的防護，真正開始受到臺灣各界的高度重視。

而在賽門鐵克8月底舉行的高科技產業系統安全防護研討會當中，該公司向新竹、臺北的企業正式介紹了他們的解決方案，其中，首度在臺亮相的Industrial Control System Protection（ICSP）引發與會者熱烈討論。

因應工業控制系統的UBS裝置存取防護需求，賽門鐵克日前在臺首度介紹他們最新主推的解決方案，稱為Symantec Industrial Control System Protection。該公司物聯網部門總經理Kunal Agarwal也在現場實際展ICSP scanner station設備的使用。

攝影／李宗翰

基本上，這套解決方案原本是Blue Coat所發展的產品，在2016年賽門鐵克併購該公司之後納入，當中包含了觸控式USB裝置掃描工作站（USB scanning station），以及安裝在OT設備系統當中的政策實施驅動程式（Enforcement Driver），可確保廠區關鍵基礎設施在連接各種USB儲存裝置時，例如隨身碟、記憶卡、光碟機，免於受到潛伏其中的惡意軟體侵襲。

一般而言，生產設備機臺、工業控制系統（圖中最右側）並不允許直接插入USB儲存裝置，相關的資料存取，通常需經由提供人機介面的電腦（HMI Computer）來進行，這裡會允許使用USB儲存裝置，同時，執行相關作業的工程師所操作的電腦，也是允許使用USB儲存裝置，因此，若要防備惡意軟體以此作為跳板，攻擊在其背後的生產設備機臺、工業控制系統，就要從這兩個地方來強化威脅的檢測工作。

而Symantec Industrial Control System Protection提供了一臺掃描工作站，可協助USB儲存裝置的惡意軟體檢測，確定沒有安全疑慮之後，才能將這些USB裝置安插在人機介面的電腦，以及工程師的電腦。

ICSP的使用方式也相當簡便，一般而言，我們必須先將USB儲存裝置插在掃描工作站的設備，透過觸控面板的按鈕來執行掃描作業，確認當中沒有任何惡意程式與檔案，然後，再把這支通過上述安全驗證程序的USB裝置，插在已經安裝ICSP驅動程式的生產設備系統，以便進行檔案存取。

若要檢測USB儲存裝置，我們須將它插在ICSP掃描工作站螢幕右下角的USB埠，然後再透過觸控螢幕來操作相關程序，使用起來相當簡便。

攝影／洪政偉

這是ICSP掃描工作站開機後啟動系統之後的樣子，一般使用者可直接在觸控螢幕提供的主選單，選擇執行三種功能，其中，最常用的項目，當然是最左側的「掃描USB外接儲存裝置」。

而中間的按鍵，是讓使用者將目前正插在ICSP掃描工作站的這個USB儲存裝置，轉為惡意軟體的掃描與清理設備。如果你懷疑HMI設備和工作站已經感染了惡意軟體，可以將製作好的設備插在這些電腦上，即可從中執行掃描與清理作業（針對32位元和64位元Windows，ICSP提供各自的清理程式）。

至於ICSP掃描工作站螢幕最右邊的按鍵，則是負責產生ICSP驅動程式套件的功能，系統將會在USB儲存裝置裡面，建立一個輕量驅動程式軟體包，之後，可以將這個套件安裝到所要保護的HMI設備和工作站，即可部署所謂的ICSP驅動程式，讓你的電腦可以阻擋未經ICSP設備掃描與驗證的USB裝置。

這是ICSP掃描工作站正在執行掃描作業的畫面，根據原廠的文件所示，
如果你插入的是帶有密碼保護的USB儲存裝置，系統會要求你輸入正確的密碼，然而，一旦輸入錯誤太多次，超過系統允許範圍，此時，儲存裝置裡面的資料會被自動刪除。

經過ICSP掃描工作站的比對，如果偵測的結果顯示已經受到感染，就會在螢幕上出現「Infected」的紅色大字作為警示，接下來，使用者不應該再繼續存取這支USB裝置，若要使用，應該要設法刪除那些已經感染的檔案，也因此，ICSP掃描工作站的螢幕下方會列出4個選項，問你是否要刪除全部檔案、刪除指定檔案、保留指定檔案，或是保留全部檔案。

如果出現的是「Partially validated」的黃色字樣，這意味著ICSP掃描工作站並未發現任何已感染的檔案，不過，有些檔案可能因為有密碼保護的關係，而無法掃描，所以，系統如果此時呈現這樣的掃描結果，表示部分未驗證，接下來，我們可以點選「details」的按鈕，檢視詳細狀況。

這是一臺已經安裝ICSP驅動程式的筆電，我們插上一支未經ICSP掃描工作站檢測的USB隨身碟，系統隨即跳出拒絕存取的警示。

攝影／洪政偉

對於沒有通過ICSP檢測的USB儲存裝置，相關的警示畫面會出現在HMI設備或工程師電腦Windows桌面的右下角。

如果手上的USB隨身碟通過ICSP掃描，之後，使用者又存放其他檔案進去，而沒重新整支隨身碟讓ICSP掃描工作站檢測，此時，使用者電腦雖然可以插上隨身碟使用，但將無法開啟這些後續新增的檔案，而出現圖中的警示視窗。

這是ICSP對於USB裝置的簡易驗證流程示意圖，經過掃描的裝置才能安裝到HMI設備與工程師電腦，讓使用者能夠順利存取當中的檔案；相反地，如果沒有通過掃描程序的任何裝置，即便安裝到這些電腦上，均不能開啟裡面的檔案。

此外，ICSP採用的安全掃描技術也值得一提。不只是使用特徵比對的方式，這裡也結合檔案信譽、進階機器學習、沙箱模擬等作法，提升偵測範圍與精準度，以及處理效能，並在近期改版當中，持續擴充相關功能。

ICSP運用的惡意軟體掃描技術，包含進階機器學習、信譽評等、特徵比對、沙箱模擬，而且，這些技術的背後，都是由Symantec 安全技術與應變中心（Security Technology and Response，STAR）所支援，該團隊針對檔案、網路、行為、信譽、矯正等五大領域，開發相關的防護創新應用。

舉例來說，ICSP 在5.2.1版時，開始支援更多種執行檔格式，像是Windows x64的PE32+、Apple雙位元物件檔 Mach-O、.NET雙位元檔；5.3.1版掃描效能提升了2.5倍、支援加密隨身碟的掃描（金士頓DataTraveler Vault Privacy v2和v3），而在保護的作業系統平臺，也擴及Windows 8、8.1、Server 2012 R2。此外，這一版也支援掃描工作站的離線更新，以及加密金鑰的匯出與匯入（支援多臺掃描工作站一起使用的場景）、ICSP驅動程式狀態監控。之後發布的5.3.6版，可支援檔案白名單、USB介面CD/DVD光碟片與3.5吋軟碟片的檢測。

而在今年7月發布的5.4版，ICSP的品牌從Blue Coat正式改為Symantec，並且統一使用Symantec的防毒引擎（5.3.6版之前是Bitdefender，5.3.6版可選用Kaspersky，5.4版起不支援他牌防毒引擎），而且，掃描工作站可將系統本身處理的資訊傳送到指定的syslog伺服器，方便安全事件管理系統（SIEM）或安全管理中心（SOC）進行整合。

ICSP掃描工作站的側面如圖中所示，這裡可看到有4個USB埠，其中2個是USB 3.0規格，以及HDMI埠、RJ45埠（一個是網路埠，另一個無作用）。

攝影／洪政偉

這是ICSP掃描工作站的背部，在實際建置時，從這裡可搭配壁掛或是桌掛套件，以便固定在牆面或桌面上使用。

攝影／洪政偉

產品資訊

Symantec Industrial Control System Protection
●原廠：Symantec(02)8729-9277
●建議售價：廠商未提供
●組成元件：ICSP scanner station設備、ICSP driver驅動程式
●硬體設備規格：基於Linux作業系統、5個USB 2.0埠（面板1個，底部4個）、1個網路埠，外型為高265公釐、寬310公釐、深52.6公釐，重量為3.6公斤
●驅動程式支援作業系統：Windows XP SP2到Windows 10，Windows Server 2003 SP1到Windows Server 2016

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】