利用主動威脅狩獵(Threat Hunting)保護您的作業

利用主動威脅狩獵(Threat Hunting)保護您的作業

您擁有強大的工業安全計畫。您已經利用良好的網路衛生(cyber hygiene)清理環境,並建置入侵偵測系統防止未來的事件發生。不過,在複雜的網路安全世界中,您的安全計畫不能僅止於此。

儘管您付出許多努力,潛在的進階持續性威脅(APT)仍舊是個問題。這些APT會以非常緩慢的速度,嘗試找出您防護的漏洞並汲取資料,讓您的作業陷入停滯。而入侵偵測不會對此活動有所反應。

 

您已經準備好進行威脅狩獵

威脅狩獵是您網路安全計畫中合理的下一步。在最簡易形式的威脅狩獵中,您會在網路中搜尋自動安全系統未偵測到的外部威脅或入侵。這是一項可靈活調整規模的作業,而且可以透過不同程度的自動化完成(包含純手動)。

威脅狩獵不僅可以進一步保護您的專有配方和資訊,並且非常可能改善作業效率。雖然這項作業在IT領域並非首見,但在OT環境則是初試啼聲。而這正是飲料和食品生產可獲益最多的作業。

威脅狩獵為主動,而且不需要掃描工具、陷阱,以及已經採用的未來重點基礎建設。在科技的時代,威脅狩獵會以智慧的方式,找出隱藏在您網路中數個月、甚至數年之久的惡意活動與威脅滲透。再者,威脅狩獵可以在網路活動和生產效率不佳之間,找出其他方法無法偵測到的關聯性。

 

以意想不到的方式大肆破壞

您是否注意到攪拌機出了問題?HMI是否鎖定?標籤印表機閃爍錯誤?

事件的起始,可能會是操作者為未受保護的電話充電,將其插入網路中的開放式USB連接埠。幾個月後,您的烤箱開始出現問題,無法維持設定的參數,即使就機械的角度來看,也找不出原因。

若仔細檢查網路紀錄可以發現,每次烤箱出現問題時,都會有信標傳送到外部IP位址。由於這種關聯性無法以其他方法偵測,因此這成為人為因素之所以至關重要,以及威脅狩獵之所以非常有用的原因。 

我造訪過某間工廠,其網路速度在某個特定班表時都會減慢。經過主動狩獵,發現某一位員工的工作站在執行未偵測到的Bit Torrent。因此,每天他們登入開始輪班時,整個網路都受到影響。

瞭解如何通過智慧製造來管理食品產業的網路安全隱患。若欲瞭解詳情,請下載eBook(PDF)。

為什麼入侵偵測系統沒有掌握到所有這些隱藏的惡意軟體?

威脅狩獵找出的威脅大多看似無害,而且由於沒有脈絡和關聯性,因此會像往常一樣通過偵測系統。部分惡意軟體可以和未知的IP位址通訊,但表面上看起來和預期的網路流量相似。

惡意軟體也可能會對安全軟體偵測範圍以外的周邊裝置進行SYN掃描。這些惡意軟體會靜靜等候,緩慢尋找網路的漏洞。他們沒有遭安全軟體拒絕,也沒有建立外部聯繫,因此系統仍無法偵測。

在威脅狩獵的作業中,您可能會發現輸出連線來自一個處理程序,其不應外連到網際網路。或者,您可能會在通訊時發現未使用系統,代表存在感染來源。

這表示當您建置網路安全系統時,這些APT可能已經存在。這是因為大多數入侵偵測及防護程式,都仰賴已知的良好狀態。如果一開始就流量不佳或存在惡意程式活動,這種情況就會變成常態。許多已公開的安全漏洞都屬於這個類別。只有在入侵發生多年之後才偵測得到,也才能確認受損的範圍。

 

開始使用

好消息是,您可能已擁有開始使用所需的一切。威脅狩獵透過適當的合作夥伴即可輕鬆執行,而且可以是一次性活動,或是成為持續性安全計畫。您的HMI和伺服器已經建立可以離線蒐集和分析的活動紀錄,因此不會有網路或生產中斷的壓力。

所以,請停止僅仰賴端點防護和病毒掃描程式來偵測是否容易受到攻擊。請在威脅滲透影響您的工廠區域之前就先狩獵。

Pascal Ackerman
2018--07 Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation

部落格

Rockwell Automation部落格是一個分享科技新知與產業訊息的平台,持續為您提供業界第一手動態消息,與潮流接軌。