過去擅長於網路存取控制(NAC)的Forescout,伴隨著企業客戶逐年開展數位化計畫,研發了具備可視化與自動化機制的Forescout Continuum平台,可在多元發展的工業物聯網(IIoT)應用場域自動發現聯網裝置,進而評估風險與納入監管,讓IT/OT或資安人員可準確地配置控管措施。
Forescout技術顧問胡偉剛指出,各行各業聯網設備的數量和多樣性不斷增加,為企業了解和管理其風險環節帶來新的挑戰。Forescout網路安全研究部門Vedere Labs分析了2022年蒐集到有關於網路攻擊、漏洞、惡意軟體的資料,勒索軟體(53%)、殭屍網路(25%)和加密挖礦程式(7%)仍是最常見的惡意軟體。
「如今監控營運技術(OT)設備的流量與監控資訊科技(IT)流量一樣至關重要。攻擊者不斷探測這些設備的弱點,例如掌管照明、門禁、空調的建築自動化系統,或是工業領域的標準通訊協定Modbus,皆成為攻擊者可入侵的管道。」胡偉剛說。
面對網路攻擊的強度、複雜性和頻率持續增長,Forescout Continuum平台旨在利用數據提前洞察攻擊活動趨勢,以及運用自動化機制有效阻斷攻擊者在內網橫向移動,減少損害範圍。結合Forescout於2022年收購取得的Cysiv雲原生行為和威脅分析技術,使SOC(安全維運中心)團隊可運用威脅情資判讀高風險行為,進而以自動化機制制定應對措施。
為IIoT應用場景制定專屬防護策略
過去數十年科技發展,IT與OT/ICS(工業控制系統)依循普渡模型(Purdue)架構的定義各自獨立發展,彼此涇渭分明。隨著製造業以數位轉型為目標逐漸演進,IIoT應用場景興起,IT與OT融合成為必然的趨勢。對於OT營運現場而言,也必須開始應對外部攻擊威脅,在不影響生產力的前提下增添安全管控措施。
問題是當前OT系統大多有其專屬通訊協定、工業應用程式,IT領域的資安管理辦法無法直接套用到OT現場。例如資料蒐集與監視系統(SCADA)、可程式化邏輯控制器(PLC)根本不支援身分驗證;此外,路由器與防火牆若因網路封包解析與偵測發現惡意程式而阻斷連線,恐導致OT營運瞬間中斷,導致營運損失。
針對這些特定環境的安全措施,首要須了解和管理網路連接、持續監控不同類型的軟硬體資產,以應對網路環境的各種異常行為。胡偉剛表示,為了保護IT/OT網路與應用系統免於遭受不斷演變的攻擊手法威脅,Forescout Continuum平台提供持續的自動化資產管理、風險合規與修復機制,運用深度封包解析技術來實作,協助IT/OT人員或資安團隊依據IIoT應用場景工作流程建構專屬的防護策略。
偵測、評估、治理控管風險
他強調,Continuum平台針對IIoT環境特別設計的專利深度封包檢查(DPI)與異常檢測技術,基於數千種類OT場域特定的威脅入侵指標(IOC)資料庫,可避免網路配置錯誤出現漏洞,或是在攻擊活動初期準確地辨識,防範已知與未知的威脅。
「即時掌握網路拓樸圖、解析傳輸流量,可識別資產類型與配置、理解連線行為,增進已知風險的偵測能力,並提供排除風險的優先等級建議,以避免影響關鍵營運機台正常運行,可說是Continuum平台發展理念。」胡偉剛說。
針對IIoT應用場景面臨的資安挑戰,Continuum平台以偵測、評估、治理,三階段方式實作風險控管。首先,Continuum平台可自動發現網路環境中接取的聯網裝置,並對其進行評估與納管。藉由平台上具備的eyeSight與eyeControl模組,內建超過30種盤點技術,以多維度的分類技術來標示識別裝置的功能、類型、操作系統(包括版本)、供應商、型號等屬性。基於Continuum平台超過1,500萬種類型的資料庫進行比對,DPI技術可發現當前正在執行連線溝通的有線∕無線網路、VPN等設備,甚至是未經授權接取網路的裝置。
在風險評估方面,主要借助Continuum平台的eyeSight與Risk Scoring模組,以資產為中心的方法來降低攻擊面風險,協助制定主動策略以有效地處理高風險漏洞。
資產的風險數值是根據設定配置、功能特性、行為模式總和評分。萬一過高可立即通知IT/OT人員或資安團隊進行調查,或是由Forescout政策引擎自動執行緩解措施。更重要的是,Continuum平台可確保部署方式、設定配置不至於出現弱點,並且符合法規要求,為IIoT應用場域提高安全等級。
基於雲原生資料平台提出XDR方案
運用Continuum平台來實作治理、降低營運風險時,則是藉由其eyeControl與eyeExtend模組。其中eyeExtend扮演建構生態系的中介者,已整合第三方的端點安全防護(EPP/EDR)、次世代防火牆(NGFW)、特權存取管理(PAM)、資安事件與管理(SIEM)等資安技術,讓IIoT應用環境可借助IT既有部署的技術來執行偵測與回應。
胡偉剛說明,除了偵測、評估、治理三階段的風險控管,Forescout提供可提供網路資產的合規性與風險評估分數,並且整合第三方系統的安全分析技術,快速地建立回應措施。Continuum平台還能夠模擬策略執行效果,並在啟動前監控流量,以便標註可能導致網路癱瘓的指標,確保控管政策不至於影響營運。
針對產業正在推動的零信任原則,Continuum平台亦扮演連接器的角色,讓企業運用現有部署的技術,協助建置政策決策點(PDP),確保在正確的政策落實點(PEP)採取合適的措施。
此外,Forescout日前宣布推出Forescout XDR,基於收購Cysiv取得雲原生研發的資料分析、威脅檢測、資料科學技術,可依據網路攻擊向量危險程度排序優先順序,以避免資安團隊被大量告警干擾,反讓惡意人士有機可趁。再加上人工智慧應用有助於提高整體效率,可透過自動識別與排除誤報的工作流程,減少整體告警數量。
相較於IT領域的XDR方案,Forescout XDR進一步實現了擴展式偵測與回應的應用範疇,可獲取雲端、園區網路、資料中心、外部據點,以及各種物聯網場域的裝置遙測(Telemetry)資料,存放於雲端平台上的資料湖,以便於運行大規模演算分析。
Forescout XDR內建5種檢測引擎,包含網路情資、特徵碼比對、使用者行為分析(UEBA)、異常活動演算模型、深度學習理解攻擊意圖,以過濾篩選誤報,指出嚴重等級最高的威脅告警,引導資安維運人員執行事件調查與處理,緩解資安風險。