一、將工業控制網路安全區域獨立隔離
透過ShareTech iNA-140A防護設備對工業控制網路安全區域進行隔離防護。工業企業應根據實際的情況,在不同網路邊界間或者各操作機台部署邊界安全閘道,實現安全的訪問控制、阻隔非法的網路連線,嚴格禁止沒有防護的工業控制網路與網際網路相連接。此外,也可以利用虛擬區域隔離、埠禁用的安全配置強化內網的安全。
二、降低控制機台系統漏洞風險
USB、光碟機、無線等工業主機設置,提供病毒、木馬、蠕蟲、惡意程式攻擊滲透的途徑,如果不能拆除或封閉工業主機上這些不必要的外設介面,讓它有機會對ICS或SCADA系統攻擊,可能會改變設備的生產流程,而遭到入侵的ICS、SCADA和其他OT系統成為最佳後門途徑,惡意者容易透由路徑擷取內部重要網路資源。
加上多數的工廠操作系統多採用非標準軟體,無法進行及時修補。即使採用標準軟體系統,要進行修補也是很困難,因為OT環境大多採24 x 7全天服務,要停機更新系統是一項非常重大的任務。OTS-400內建虛擬補丁防護,幫助一些無法上Patch或更新韌體的老舊設備,從外圍阻絕攻擊流量。
三、監控工控網路傳輸行為,並對病毒與漏洞進行處置
對網路異常行為或攻擊模式都能嚴密監測、及時發現處置、並能完整記錄報告,是工控環境營運能穩定最重要因素。ShareTech iNA-140A在一般情況下可以透過流量分析與漏洞掃描,對工控網路中存在的病毒與漏洞進行掃描,且對網路攻擊和異常行為進行識別、告警、通知與記錄所有相關威脅紀錄。當發現傳輸的流量超過平均標準設定值、加密封包有夾帶惡意封包、異常的指令、病毒木馬程式滲透攻擊,都可即時過濾阻隔,降低危害。
四、隔離感染面,防止威脅擴散
對於透過技術手段,確認威脅的感染面,盡快採取應急的隔離手段。ShareTech OTS系列可以與交換器協防,除了可以對網路進行分區隔離,讓各自生產線獨立運作,避免當其中一個生產線遭受惡意攻擊時,間接影響其他營運。眾至提供的不是只針對單一點進行控管、而是希望能涵蓋整個面進行完整防護,避免災情擴散。
五、支援工業網路通訊協定
內建業界常用的工業控制協定,例如,EtherCAT 使用TCP/UDP 34980、EtherNet/IP 使用 TCP 44818 UDP 2222,管理者只要選取這一些協議名稱,會自動對應出應該開放的Port 號,至於其他的通訊PORT當然是全部被關閉。
以電腦組裝線為例,若封包夾帶可疑的參數,要求機械手臂執行標準以外動作,iNA-140A在接獲數據封包後,將進行封包分析、阻擋,降低電腦廠商蒙受巨額財物損失。
六、專屬OPC入侵防禦機制
OPC防護是針對OT攻擊防禦最佳解決方案,收集所有IT、OT網路的封包與訊號,並且採用深度封包檢測(DPI)的方式進行比對,分析通訊協定當中的每個層級,掌握出現異常數據的行為。讓管理者可以在與關鍵工控設備連接的網路路徑上,及時偵測到攻擊事件的發生、並依照管理員的設定,中止或阻絕入侵行為,包括自動攔截棄置攻擊封包,並依據設定,留下攻擊的記錄即通知管理者等連續的應變措施。
七、身分識別與存取管理
身分識別與存取管理屬於傳統安全領域,對工業控制系統安全來說也是一個相當重要的層面。在工控環境系統,有些單位為了遠端管理的便利性,使用SSH、Telnet、網頁登入連線模式,如果沒有採取任何安全管理措施,例如:只限定某些特定IP才能存取,或者必須經過身分認證後才能使用服務,否則讓駭客輕易入侵系統管控設備,容易引起大災難。ShareTech OTS-400提供本機使用者/AD/POP3/Radius認證授權機制,可協助管理人員與監控企業內部所有使用者帳號,在確認使用者的ID的有效授權之後,才能允許其使用網路,讓企業可以有效管理網路使用資源。
八、應用程式白名單
由於惡意程式的變種速度太快,如果靠黑名單來做把關可能沒那麼可靠,所以對OT設備的軟體管理權限,應該都用白名單機制來進行控管。在OT場域裡具有極少變動的特性,通常系統在安裝後,應用程式即維持不變。管理者可以決定哪些程式是允許被執行,其餘的程式將被阻擋。當所有程式被允許執行時,應用程式白名單可以過濾內容或限定其頻寬使用量。
九、安全遠端連線模式(VPN)
有時候工業企業需要透由遠端進行維護管理,對單位來說應通過遠端認證連線、加密模式確保其連線安全後,才可以允許其操作。ShareTech iNA-140A可在網絡邊界使用單向隔離裝置、VPN等方式實現數據單向訪問,並控制訪問時限,並有稽核相關日誌提供日後稽查佐證。目前安全連線支援IPSec、PPTP、L2TP、SSL VPN等連線模式。
十、威脅情報資訊Dashboard
有效收集OT設備與網路資訊,在ShareTech「戰情室-威脅情報資訊」進行智慧化的分析與檢測,達到即時和準確的資安狀態呈現與保護的效果。
十一、設備災難復原機制
當設備因外在事故無法正常運作時,ShareTech iNA-140A硬體支援LAN BYPASS模式,不影響工廠生產營運,如果是硬體損壞無法運作,管理人員透由設備內建USB插槽,平時做好設定檔備份動作,當設備真的無法運作,只要立即更換一台,將原本USB換插到新機上開啟電源,就會自動將原本的設定檔資料帶入,不用5分鐘完成災難救援的服務。
十二、支援3G / 4G USB
iNA-140A硬體USB埠口能用來連接3G / 4G USB,最多可同時啟用3個WAN連線進行負載平衡或是備援動作。
十三、支援CMS與雲端管理平台
iNA-140A支援CMS功能,可以提供管理者,建立與遠端設備之間的連線,將該單位的OT防護設備,納入單一介面的集中管理架構,以簡化企業整體環境的IT管理工作。此外,亦提供雲端管理平台,ShareTech提供企業可以在內部建置一個私有的雲端管理平台,快速監控管理所有OT設備。
透過ShareTech iNA-140A防護設備對工業控制網路安全區域進行隔離防護。工業企業應根據實際的情況,在不同網路邊界間或者各操作機台部署邊界安全閘道,實現安全的訪問控制、阻隔非法的網路連線,嚴格禁止沒有防護的工業控制網路與網際網路相連接。此外,也可以利用虛擬區域隔離、埠禁用的安全配置強化內網的安全。
二、降低控制機台系統漏洞風險
USB、光碟機、無線等工業主機設置,提供病毒、木馬、蠕蟲、惡意程式攻擊滲透的途徑,如果不能拆除或封閉工業主機上這些不必要的外設介面,讓它有機會對ICS或SCADA系統攻擊,可能會改變設備的生產流程,而遭到入侵的ICS、SCADA和其他OT系統成為最佳後門途徑,惡意者容易透由路徑擷取內部重要網路資源。
加上多數的工廠操作系統多採用非標準軟體,無法進行及時修補。即使採用標準軟體系統,要進行修補也是很困難,因為OT環境大多採24 x 7全天服務,要停機更新系統是一項非常重大的任務。OTS-400內建虛擬補丁防護,幫助一些無法上Patch或更新韌體的老舊設備,從外圍阻絕攻擊流量。
三、監控工控網路傳輸行為,並對病毒與漏洞進行處置
對網路異常行為或攻擊模式都能嚴密監測、及時發現處置、並能完整記錄報告,是工控環境營運能穩定最重要因素。ShareTech iNA-140A在一般情況下可以透過流量分析與漏洞掃描,對工控網路中存在的病毒與漏洞進行掃描,且對網路攻擊和異常行為進行識別、告警、通知與記錄所有相關威脅紀錄。當發現傳輸的流量超過平均標準設定值、加密封包有夾帶惡意封包、異常的指令、病毒木馬程式滲透攻擊,都可即時過濾阻隔,降低危害。
四、隔離感染面,防止威脅擴散
對於透過技術手段,確認威脅的感染面,盡快採取應急的隔離手段。ShareTech OTS系列可以與交換器協防,除了可以對網路進行分區隔離,讓各自生產線獨立運作,避免當其中一個生產線遭受惡意攻擊時,間接影響其他營運。眾至提供的不是只針對單一點進行控管、而是希望能涵蓋整個面進行完整防護,避免災情擴散。
五、支援工業網路通訊協定
內建業界常用的工業控制協定,例如,EtherCAT 使用TCP/UDP 34980、EtherNet/IP 使用 TCP 44818 UDP 2222,管理者只要選取這一些協議名稱,會自動對應出應該開放的Port 號,至於其他的通訊PORT當然是全部被關閉。
以電腦組裝線為例,若封包夾帶可疑的參數,要求機械手臂執行標準以外動作,iNA-140A在接獲數據封包後,將進行封包分析、阻擋,降低電腦廠商蒙受巨額財物損失。
六、專屬OPC入侵防禦機制
OPC防護是針對OT攻擊防禦最佳解決方案,收集所有IT、OT網路的封包與訊號,並且採用深度封包檢測(DPI)的方式進行比對,分析通訊協定當中的每個層級,掌握出現異常數據的行為。讓管理者可以在與關鍵工控設備連接的網路路徑上,及時偵測到攻擊事件的發生、並依照管理員的設定,中止或阻絕入侵行為,包括自動攔截棄置攻擊封包,並依據設定,留下攻擊的記錄即通知管理者等連續的應變措施。
七、身分識別與存取管理
身分識別與存取管理屬於傳統安全領域,對工業控制系統安全來說也是一個相當重要的層面。在工控環境系統,有些單位為了遠端管理的便利性,使用SSH、Telnet、網頁登入連線模式,如果沒有採取任何安全管理措施,例如:只限定某些特定IP才能存取,或者必須經過身分認證後才能使用服務,否則讓駭客輕易入侵系統管控設備,容易引起大災難。ShareTech OTS-400提供本機使用者/AD/POP3/Radius認證授權機制,可協助管理人員與監控企業內部所有使用者帳號,在確認使用者的ID的有效授權之後,才能允許其使用網路,讓企業可以有效管理網路使用資源。
八、應用程式白名單
由於惡意程式的變種速度太快,如果靠黑名單來做把關可能沒那麼可靠,所以對OT設備的軟體管理權限,應該都用白名單機制來進行控管。在OT場域裡具有極少變動的特性,通常系統在安裝後,應用程式即維持不變。管理者可以決定哪些程式是允許被執行,其餘的程式將被阻擋。當所有程式被允許執行時,應用程式白名單可以過濾內容或限定其頻寬使用量。
九、安全遠端連線模式(VPN)
有時候工業企業需要透由遠端進行維護管理,對單位來說應通過遠端認證連線、加密模式確保其連線安全後,才可以允許其操作。ShareTech iNA-140A可在網絡邊界使用單向隔離裝置、VPN等方式實現數據單向訪問,並控制訪問時限,並有稽核相關日誌提供日後稽查佐證。目前安全連線支援IPSec、PPTP、L2TP、SSL VPN等連線模式。
十、威脅情報資訊Dashboard
有效收集OT設備與網路資訊,在ShareTech「戰情室-威脅情報資訊」進行智慧化的分析與檢測,達到即時和準確的資安狀態呈現與保護的效果。
十一、設備災難復原機制
當設備因外在事故無法正常運作時,ShareTech iNA-140A硬體支援LAN BYPASS模式,不影響工廠生產營運,如果是硬體損壞無法運作,管理人員透由設備內建USB插槽,平時做好設定檔備份動作,當設備真的無法運作,只要立即更換一台,將原本USB換插到新機上開啟電源,就會自動將原本的設定檔資料帶入,不用5分鐘完成災難救援的服務。
十二、支援3G / 4G USB
iNA-140A硬體USB埠口能用來連接3G / 4G USB,最多可同時啟用3個WAN連線進行負載平衡或是備援動作。
十三、支援CMS與雲端管理平台
iNA-140A支援CMS功能,可以提供管理者,建立與遠端設備之間的連線,將該單位的OT防護設備,納入單一介面的集中管理架構,以簡化企業整體環境的IT管理工作。此外,亦提供雲端管理平台,ShareTech提供企業可以在內部建置一個私有的雲端管理平台,快速監控管理所有OT設備。
眾至資訊股份有限公司
- 電話:04-27050888
- 網站:www.sharetech.com.tw
眾至資訊股份有限公司(ShareTech Information Co.,LTD) 成立於1999 年,最初以IP 分享器為銷售重心,隨著駭客、病毒、木馬、垃圾郵件、洩密事件不斷,陸續推出各種網路安全解決方案及產品。2016 年度與全球網路產品領導廠商合勤科技一起攜手合作,提供國內通路商與企業用戶更多產品與技術支援的加值服務,結合雙方在產品開發、通路體系與技術服務的優勢。眾至資訊擁有最堅強的研發團隊、熱忱的服務態度、專業的技術規劃,主要目標是提供所有客戶更完整的網路解決方案 (包含新世代UTM 、內網防火牆、硬體式、軟體式郵件伺服器、郵件歸檔伺服器與OT防護設備 )
ShareTech 產品分類可以分成下列大項:
(1)新世代UTM
眾至新世UTM NU系列具備IPS入侵偵測、防毒、防垃圾、URL分析、Sandstorm惡意程式偵測等重要安全防護,以DPI為基礎的應用程式管制、分層授權管理機制、SSL解析與阻擋、網頁過濾、頻寬管理,並支援外部認證整合,可以阻止未授權存取內部網路資源與駭客惡意潛入攻擊。此外,Dashboard威脅情資儀表即時地反映網路的狀態,用動態圖表讓管理者掌握全部的網路流量。新世代UTM NU系列滿足高資料吞吐效能與強化威脅,為中小企業用戶、大型企業用戶、機關學校單位,乃至服務供應商建置首選。
(2)內網防火牆
眾至內網防火牆INF系列以第二層防護來強化關鍵組織部門、重要主機群或內網區段的防護,可採局部性的建置以監控內部網絡流量,降低不同區段、組織、部門之間惡意流量的傳播風險。內網防火牆採雙向檢查網絡流量、內網威脅活動、使用者異常行為,並根據預先定義的防護規則(包含IPS偵測、Sandstorm偵測等)進行過濾和阻擋,以防止內網脆弱區段發生未經授權的訪問、惡意活動和數據洩露等網路威脅。
(3)硬體式、軟體式郵件伺服器
郵件伺服器 MS系列支援郵件安全防護、郵件紀錄備份、郵件稽核過濾與行動化郵件四大功能,為了提高郵件防護力面向,增加Sandstorm惡意程式偵測對未知檔案進行過濾分析、SPAM過濾引擎結合「垃圾學習共享」機制以達到更高偵測率與更低誤攔截率、寄件者異常行為驗證與SPF、DKIM驗證,有效為企業防堵詐騙、偽造與勒索郵件攻擊。Webmail整合Outlook通訊錄同步、Google行事曆同步,將雲硬碟空間、公佈欄與工作群組溝通整合到單一平台,方便使用者操作管理,提供企業一個安全、穩定、易維護的郵件使用環境。
(4)郵件歸檔伺服器
眾至郵件歸檔MA系列具備「郵件資料完整性」、「彈性郵件備份機制」與「信件還原」三大特色,對於進出郵件完整備份原始郵件內容與附檔,採加密方式保存,可透過網頁個人介面,依據過濾條件搜尋個人歷史郵件,或Outlook外掛,輕易搜尋資料庫中所有信件。企業還可依企業規章規定,將信件備份到外部多台主機分散儲存風險。當重要郵件誤刪或遺失,可透過個人網頁介面將使用者的信件全部還原到原本帳號,是企業郵件主機當機時的最佳備援機制。
(5)OT防護設備
ShareTech針對OT環境的防護提出了解決方案;面對遠端連線的風險,ShareTech採用黑白名單機制和遠端安全連線驗證來保護遠距操控機台的連線安全;面對網路連線風險,則採用OPC入侵防禦機制、邊界安全機制避免IT與OT的相互感染;針對終端裝置使用風險則有虛擬補丁來強化系統未更新時的漏洞。最後透過ShareTech雲端管理平台讓管理員能在單一平台上執行保護及優化OT網路的工作。
ShareTech 產品分類可以分成下列大項:
(1)新世代UTM
眾至新世UTM NU系列具備IPS入侵偵測、防毒、防垃圾、URL分析、Sandstorm惡意程式偵測等重要安全防護,以DPI為基礎的應用程式管制、分層授權管理機制、SSL解析與阻擋、網頁過濾、頻寬管理,並支援外部認證整合,可以阻止未授權存取內部網路資源與駭客惡意潛入攻擊。此外,Dashboard威脅情資儀表即時地反映網路的狀態,用動態圖表讓管理者掌握全部的網路流量。新世代UTM NU系列滿足高資料吞吐效能與強化威脅,為中小企業用戶、大型企業用戶、機關學校單位,乃至服務供應商建置首選。
(2)內網防火牆
眾至內網防火牆INF系列以第二層防護來強化關鍵組織部門、重要主機群或內網區段的防護,可採局部性的建置以監控內部網絡流量,降低不同區段、組織、部門之間惡意流量的傳播風險。內網防火牆採雙向檢查網絡流量、內網威脅活動、使用者異常行為,並根據預先定義的防護規則(包含IPS偵測、Sandstorm偵測等)進行過濾和阻擋,以防止內網脆弱區段發生未經授權的訪問、惡意活動和數據洩露等網路威脅。
(3)硬體式、軟體式郵件伺服器
郵件伺服器 MS系列支援郵件安全防護、郵件紀錄備份、郵件稽核過濾與行動化郵件四大功能,為了提高郵件防護力面向,增加Sandstorm惡意程式偵測對未知檔案進行過濾分析、SPAM過濾引擎結合「垃圾學習共享」機制以達到更高偵測率與更低誤攔截率、寄件者異常行為驗證與SPF、DKIM驗證,有效為企業防堵詐騙、偽造與勒索郵件攻擊。Webmail整合Outlook通訊錄同步、Google行事曆同步,將雲硬碟空間、公佈欄與工作群組溝通整合到單一平台,方便使用者操作管理,提供企業一個安全、穩定、易維護的郵件使用環境。
(4)郵件歸檔伺服器
眾至郵件歸檔MA系列具備「郵件資料完整性」、「彈性郵件備份機制」與「信件還原」三大特色,對於進出郵件完整備份原始郵件內容與附檔,採加密方式保存,可透過網頁個人介面,依據過濾條件搜尋個人歷史郵件,或Outlook外掛,輕易搜尋資料庫中所有信件。企業還可依企業規章規定,將信件備份到外部多台主機分散儲存風險。當重要郵件誤刪或遺失,可透過個人網頁介面將使用者的信件全部還原到原本帳號,是企業郵件主機當機時的最佳備援機制。
(5)OT防護設備
ShareTech針對OT環境的防護提出了解決方案;面對遠端連線的風險,ShareTech採用黑白名單機制和遠端安全連線驗證來保護遠距操控機台的連線安全;面對網路連線風險,則採用OPC入侵防禦機制、邊界安全機制避免IT與OT的相互感染;針對終端裝置使用風險則有虛擬補丁來強化系統未更新時的漏洞。最後透過ShareTech雲端管理平台讓管理員能在單一平台上執行保護及優化OT網路的工作。
