CPSDR策略賦能OT安全　突破傳統IT防火牆漏洞

近年來，防火牆漏洞攻擊頻率和成功率攀升，作為企業的第一道防線，防火牆透過設定安全規則來過濾資料，同時可提供虛擬私人網路(VPN)服務確保遠端存取安全。在工業控制系統(ICS)環境，儘管防火牆主要的工作是在捍衛OT及IT網路之間的連線安全，但也可能反而成為駭客瞄準的入侵點，尤其是在面對零時差攻擊時更顯脆弱。近期多起攻擊事件突顯出企業需要更強韌、更具彈性的OT資安防護措施，並採用多層式防禦策略來因應日益精密的威脅。
現代化IT防火牆與零時差攻擊
防火牆的廣泛使用雖然提高了網路防護的門檻，但也吸引駭客將其作為主要攻擊目標。以下列舉具體案例：
案例1：Ivanti Connect Secure漏洞遭到廣泛攻擊
2024年1月起Ivanti陸續揭露了存在於Ivanti Connect Secure與Ivanti Policy Secure閘道中的漏洞，包含SAML元件與未經認證即可存取敏感資源的漏洞。網路上甚至出現了概念驗證攻擊程式碼，導致攻擊風險加劇。對此Ivanti釋出了修補更新，並建議使用者建置暫時性的解決方法，同時強調企業可使用其一致性檢查工具來協助監控威脅。然而，同年2月底一份網路資安聯合公告卻警告駭客已能避開Ivanti內部及外部Integrity Checker Tool一致性檢查工具。Ivanti也釋出修補更新，並提供強化版的ICT掃描工具，強調未發現攻擊證據，其他產品亦不受影響。但仍顯示傳統防禦手法已無法應對新型攻擊策略。
案例2：工業控制設備中的CVE-2024-3400漏洞遭到攻擊
2024年4月，Siemens宣布其Ruggedcom APE1808裝置在與Palo Alto Networks Virtual Next-Generation Firewalls整合時可能出現重大指令注入漏洞，可讓駭客透過HTTP請求在裝置上執行任意程式碼。這項漏洞通常會在裝置重新開機
過程中發生，導致服務中斷，還可能讓駭客取得系統管理員權限，經由ASA與FTD軟體的VPN用戶端和擴充元件預載的過時功能來執行任意指令。Palo Alto Networks緊急建議客戶立即升級至已修正的PAN-OS版本來保護裝置。

案例3：CVE-2024-20353與CVE-2024-20359雙重零時差漏洞突顯遠端存取的風險
2024年4月，Cisco Talos披露ArcaneDoor攻擊行動，由國家級駭客集團UAT4356利用Cisco Adaptive Security Appliance軟體中的零時差漏洞來植入後門程式，以便在目標政府機關的網路內部執行間諜活動。這些攻擊始於2023年7月，同年11月，駭客架設了攻擊基礎設施，並逐漸升高活動。這兩個漏洞被用來部署兩種不同類型的後門程式，它們甚至在系統更新之後還能持續運作，讓駭客變更系統組態設定、監控網路流量，並在網路內部橫向移動。Cisco雖已發布修補更新，但仍需依賴使用者主動套用這些更新並強化安全措施來防範類似的攻擊。
現代化資安敵人　工業機構應保持警戒
隨著駭客攻擊不斷升級，以下是駭客演變出的三種新手法：
巧妙避開防禦措施
根據Mandiant研究，駭客部署webshell來成功攻擊漏洞並避開Ivanti事件中最初提供的防範措施，這展現出網路威脅難以完全偵測，企業需要強化監測，避免虛假安全感。
發動就地取材(Living off the Land, LOTL)攻擊
CISA發現駭客會攻擊特定的CVE漏洞來突破防線、植入webshell、竊取裝置上的登入憑證，並利用受駭裝置上現成可用的原生工具來擴張影響範圍，甚至滲透整個網域。
建立常駐的後門程式來反制系統重新開機
新型惡意程式會試圖常駐於系統內來反制系統升級、修補或回復原廠設定值的動作，顯示駭客正在積極尋找常駐於重點目標內部的方法。這突顯出確保關鍵資產隨時保持更新極為重要。
以OT為中心的次世代網路防禦解決方案
隨著網路攻擊日益嚴峻，OT環境需要隨時保持警戒。傳統IT防火牆難以有效防護ICS/OT網路，因此在選擇ICS/OT網路防禦時，應聚焦具備專屬控制功能的產品，例如TXOne Networks睿控網安所提倡的以資產為中心的虛實整合系統(Cyber-Physical System, CPS)防護架構，即為一種更好的風險管理方法。TXOne Networks的Edge系列網路防禦解決方案具備智慧防護機制，能應對各種OT威脅，其優勢包括：
零時差漏洞的進階威脅防禦。EdgeIPS Pro能運用最新的威脅資訊，透過Trend Zero Day Initiative漏洞懸賞計畫的尖端研究來防範未知威脅。
不讓惡意程式落地。EdgeIPS Pro能利用虛擬修補來防堵端點與網路的漏洞。採用特徵比對的防毒產品提供額外防護，讓營運資產防範最新的威脅並享有彈性的更新頻率。
OT原生。EdgeIPS Pro可支援的OT通訊協定包括Modbus、Ethernet/IP、CIP、
EDA，讓OT和IT資安系統管理員彼此配合，進而與現有的網路架構無縫整合。
OT感應營運情報。EdgeIPS Pro擁有TXOne-Pass DPI for Industry(TXODI)核心技術，可建立和編輯允許名單，只容許關鍵節點之間互通，並針對L2~L7網路流量進行深度分析。
極致的營運永續性。EdgeIPS Pro裝置可建立一個替代路徑，萬一發生故障可作為緊急應變措施。所有EdgeIPS裝置都配備封包直通(Bypass)功能來確保用戶的網路可以持續運行。

CPSDR保證系統營運變更經過深度分析
在ICS/OT網路資安環境，防火牆遭到繞過或失效，將導致嚴重的資安風險。此時，端點防護成為關鍵防線，其能偵測惡意行為與維護網路完整性。許多惡意程式已能規避傳統以特徵比對的偵測技術，因此提出虛實整合系統偵測及回應(Cyber-Physical System Detection and Response, CPSDR)作為改變威脅偵測及回應機制的新技術，其以營運為中心，讓資安措施能與裝置互相配合而不影響其效能，提前發出高準度的異常警報，有效偵測及阻止異於正常營運的情況發生。透過導入CPSDR有助於任何系統變更獲得徹底分析與解決以降低風險，確保ICS/OT關鍵系統的營運安全。
・CPSDR透過監測應用程式、網路、系統與裝置數據，為裝置產生獨一無二的指紋，監控穩定性並追蹤異常變更來源。
・多重方法威脅防範結合AI、機器學習及高速偵測來防範已知及未知的惡意程式，確保營運穩定。
・營運組態設定鎖定，強制鎖定裝置設定，防止未經授權的系統變更與功能修改。
為解決OT環境中挑戰，TXOne Networks的CPS資安防護解決方案能簡化並強化縱深防禦，其關鍵技術包括：
・EdgeIPS：一套OT專屬入侵防護系統(IPS)，支援最低授權原則，可縮小OT攻擊面、遏止網路攻擊、隔離OT環境、改善營運成效，以及防範人為錯誤。藉由實施精細的存取控管，企業能在可用性與安全性中取得平衡。
・Stellar：一套為OT環境設計的次世代防毒解決方案，具備異常行為偵測功能，透過進階的演算法與數據分析來有效即時偵測有別於預期模式和行為的異常狀況。這套早期偵測和即時警報系統，可提升整體安全、協助即時調查、防範可疑活動。

(本文作者為TXOne Networks技術行銷協理)