資安防護的規畫與建置,必須涵蓋人力、流程、工具技術,三者缺一不可,然而實際在營運場域卻經常會有所偏重。常見已經對工作流程中的潛在風險之處運用工具技術設置防護措施,卻仍舊發生資安事故,究其根源,往往來自於人員疏失。前不久美國太空總署(NASA)旗下噴氣推進實驗室(JPL)爆發的駭客入侵事件即是典型案例。
趨勢科技先進應用市場開發部資深經理鄭朱弘毅說明,遭受駭客入侵的NASA噴氣推進實驗室,由加州理工學院代管,主要研究火箭推進技術。從2018年至2023年代管預算高達150億美元,其中包含NASA所要求的IT轉型計畫。整體NASA及所屬實驗室的資安規範,主要是遵循美國國家標準與技術研究所(NIST)提出的網路安全框架(CSF),幾乎美國的關鍵基礎設施都是遵照CSF規範,NASA亦不例外。
鄭朱弘毅進一步指出,噴氣推進實驗室研究單位內部大約有二萬多台桌機、三千多台伺服器,其中包含事務型與任務型設備,運行操作的標準作業程序皆必須符合NIST CSF資安規範。即便如此,近十年來噴氣推進實驗室仍舊陸續發生資安事故,近期爆發的進階持續攻擊(APT)事件,導致500MB的火星計畫相關資料遭竊,經過事件調查還原真相後發現,該攻擊活動已潛伏超過十個月,最初滲透入侵的破口則是一台被設置在內部、未經批准的樹莓派(Raspberry Pi)嵌入式單板電腦。
就NASA監察長辦公室公開的調查報告來看,顯然是裝置控管方面出現遺漏、網段分割未能及時阻止橫向移動、樹莓派的系統漏洞未安裝修補更新遭利用,再加上對於事件應變的控管疏失,才讓APT攻擊有機可乘。制度上,噴氣推進實驗室對於資產的控管都有標準規範,針對外部可接入的系統逐一列管,可依據人事時地物進行記錄,成為CIO與各個系統管理者溝通的依據。然而,被攻擊者滲透的樹莓派卻未被登錄,成為可被利用來執行滲透的破口。
本土高科技製造業的研發團隊習慣採用樹莓派執行開發任務,此資安事件正可為借鏡。對於IT管理者而言,欲確保資安風險得以被控管,首要必須建立內部連網裝置的可視性,才有能力依據工作流程配置相對應的控管措施。至於新興物聯網場域的實作,鄭朱弘毅建議可交給趨勢科技等專業資安廠商規畫與部署,運用端點安全防護、入侵偵測系統、應用程式白名單等機制來實施,並且在樹莓派的系統中安裝代理程式,以具備基本的保護能力。