實體登入攻擊不再是紙上談兵！做好資安健檢，引進智慧主動防禦技術搭配雲端智能系統，才能確保資訊安全

近年來的資安事件層出不窮，去年Google商店被偽裝成Adblock Plus的惡意程式上架，有近4萬人下載、今年3月初GitHub遭到史上最大的DDoS攻擊，攻擊流量高達1.35Tbps，這如果發生在頻寬比較小的國家，基本上就是一場國家級的災難。

以往在電影情節中，總是可以看到核電廠、發電廠被駭客攻擊導致重大災害發生，但這些情節現在都已經實際發生，各種交通號誌、淨水場、醫院、金融機構....都有可能成為攻擊的目標。過往只重視電腦、伺服器的安全防護顯然不足以應付目前的資安環境，因此政府在「資通安全管理法草案」中把「關鍵基礎設施」（ CI：Critical Infrastructure）列為規範的對象，而「關鍵資訊基礎設施防護」（CIIP：Critical Information Infrastructure Protection）則是指如何保護這些維持關鍵基礎設施的資訊網路系統。

同時，美國國土安全部每年也會統計一些攻擊的相關資訊，「邊界攻擊」通常是每年之冠，而偽造身份登入、遠端控制也都是每年常見的攻擊手法。但最近的報告中，卻出現了實體存取控制(Physical Access Control)進行攻擊。報告公布不久之後，台灣剛好爆發台積電病毒入侵事件，顯然對於OT（Operational Technology）的攻擊不再只是理論上的計畫，而是已經具體成形的攻擊。台積電機台被病毒入侵的新聞，在短短的幾天之中就造成了近26億台幣的損失，這也再一次的提醒了所有人資安的重要。

「資訊安全」這幾個字大家都可以朗朗上口，但台積電事件還有一個更重大的意義是，病毒的攻擊，已經不再侷限於傳統的IT（資訊科技）環境，就連OT這種工業生產線的機台都是攻擊的對象。

早期的資安事件都發生在IT的環境，很少會針對工業機台、工控系統攻擊。但隨著工業4.0的高度IT化之後，IT和OT的關連性越來越大，因為在OT的環境同樣使用了微軟的作業系統，同樣也連接了網際網路，這讓心懷不軌的駭客也更容易攻擊這些平台。

既然這些資安的風險我們都了解，那麼要如何打造一個安全的網路環境呢？合勤科技資深經理薄榮鋼認為，所有的資安防護要從「資安健診」開始，然後增加防禦的廣度和深度才是比較好的資安防禦策略。

▲ 資安健診是執行資訊安全防護工作的第一步。

資安健診三件事：網路、資訊系統、安全設定檢視

資安健檢可以從「網路」、「資訊系統」和「安全設定檢視」這三個部分來分別檢視。

網路：網路架構的檢視、有線網路惡意活動的檢視、網路設備的檢視。
資訊系統：使用者端電腦的檢視、伺服器主機檢視。
安全設定檢視：目錄伺服器、防火牆Policy Rule檢視。

整體來說就是檢查與檢討：

網路架構的規劃是不是合理？
骨幹頻寬是否足夠、穩定，管理網段是否獨立分流？
關鍵節點有沒有做備援？備援的連接方式有沒有跳過防火牆的監控？
跨部門的網路封包是否過濾或做存取控制？
網路設備是不是網管型的？能夠告知網路狀態嗎？
防火牆是否只能做特徵碼的比對？能過濾惡意網站或阻擋特定地區IP嗎？
各種網路權限是否遵循最小管理權限分配？是否符合零信任網路精神？
防火牆Policy Rule的設定是不是合理？

▲ 許多公司的防火牆設定，仍然只靠一台防火牆來區隔外網和內網，在現在的網路攻擊下，這樣的設置顯然不夠安全。

詳細的檢查和設定事實上非常多，上述列舉的項目是其中的重點，提供給讀者參考與規畫方向。在典型的網路架構下，大部份企業或機構只依靠一台邊際防火牆來區隔外網和內網，孤獨的抵抗大量來自外界的攻擊；一旦邊際防火牆被攻破，所有的病毒或惡意程式就可以長驅直入，全網淪陷。更何況現在許多的攻擊並不是由上而下的發動攻擊，惡意程式很可能透過終端電腦、手機或是USB隨身碟進入內網蔓延入侵。傳統上只靠一台防火牆來區隔內外網的觀念顯然不足以應付現在的資安情況。

其實比較好的做法是，在部門和部門的網路環境之間，或是不同的區域的網路環境前面各自安置一台防火牆，這樣才不會因為邊際防火牆被攻破，就讓全公司的網路都處在病毒或惡意程式的攻擊之下。如果可以在不同的區域都設置內層防火牆，除可強化內網流量的過濾機制，更能做到層層的防禦。第一層防火牆被攻破，還有第二層、第三層可以持續的保護防止惡意程式蔓延，不致於在第一時間就全公司都淪陷。這和小偷偷車時的情況一樣，你加上愈多的鎖，增加小偷犯案時的難度和時間。這麼做也許會增加一點經營的成本，但對比公司網路被攻陷的損失，這還是比較可靠和安全的做法。

▲ 如果能做到層層的防禦，對於公司的資訊安全會更有保障。

▲ 另外在IT、OT混用的環境，以合勤科技提供的規劃架構為例，在Purdue模型的第三層和第四層之間，直接在南北向放上防火牆，規劃了一個3.5層的工業控制介面防護區（Industrial DMZ）。如果沒有這層非交戰區，那麼OT和IT之間等於可以直接通過。所有需要對上(IT環境)的部分都放置在這裡，不要讓OT直接接觸到網際網路，駭客想要攻擊OT，最少要經過兩道防火牆的考驗。(點擊這裡可看大圖)

資安防禦四部曲：偵測、蒐集、分析、作動

因為現在所有的設備都連上了網路，如果要增加更多的安全設備，網路設備的告警或管理資訊都日益龐大，用機器來管理機器(M2M)是一個趨勢；不然全部的訊息如果都需要IT人員來分析，人力將無法勝任。因為資安事件的觸發，往往還涉及了人、事、時、地、物的關聯性，在數量龐大的警告訊息下，IT人員有時可能反而不知道要從哪裡下手，容易亂了分寸更慌了手腳。

這時智慧網管平台應該要能自動先把這些訊息做蒐集和整理，自動分析、過濾彼此之間的關聯程度，再統一發給IT人員來處理。不然幾分鐘的log就可能產生好幾MB的資料量，IT人員想要用肉眼在這大量的資料中尋找關鍵的問題，幾乎是不可能的事情。

因此面對現在的網路攻擊事件，合勤科技資深經理薄榮鋼指出，資安防護系統應具備「偵測」(Detection)、「蒐集」(collection)、「分析」(analysis)和「作動」(action)等技術，在網路攻擊發生時就可以偵測到，並且蒐集以及分析這些惡意程式的行為，在第一時間做出相對應的動作。
▲ 現在資安的防禦觀念是增加防禦的深度、把縱深拉長，時時監管。

簡單的說，就是內網設備必須具備良好的偵測功能，在第一時間知道是不是有非法入侵或異常行為、有沒有奇怪的封包在公司網路流竄？偵測到了之後，可以自動把這些相關的資訊上傳到資安平台分析；利用機器學習、結合人工智慧，根據分析的結果在第一時間做出相對應的動作，例如發出告警，甚至能提供阻擋方法，讓災情在第一時間可以受到控制，而不能只是單純的提出警告後，就沒有其他的作為。

未來資安將決戰雲端！

▲ 薄榮鋼強調，單一防火牆戍守邊際的時代過了，利用雲端智能，建立關聯、分析、吿警、阻擋機制，將成為趨勢。

進階持續性滲透攻擊（Advanced Persistent Threat, APT）是近年常見的網路攻擊型態，攻擊者會針對要攻擊的對象設計一套專門的攻擊策略，低調、緩慢地進行，利用各種複雜的工具和手法，入侵被害人網路外，也會使用蔓延、滲透的方式來達到竊取資料或破壞的目的。

為了要有效縮短零時差攻擊的時差，合勤在九月中已推出一款防止APT攻擊的產品線(台灣預計年底上市)，可利用沙箱模擬技術把關，一旦未知檔案判定為惡意病毒時，將透過雲端智能進行追蹤告警及全球聯合防禦未知威脅，確保客戶資料的安全。

在網路攻擊型態千變萬化，資安風險日益高漲的環境下，想要維護公司的資訊安全，務必記得先檢查公司的網路健康指數，從設計邏輯到部署的位置以及設定的規則，都應逐一確認。有些設備的功能老舊，不足以應付新型態資安環境者，也要儘快更新，並採購具有權威認證(ICSA或Common Criteria等)的新世代防火牆。規劃區域聯防的網路架構，把防禦網拉長拉深，做好層層防護，增加駭客攻擊時的難度，同時搭配智慧網管系統，才能在第一時間快速掌握網路異常狀況，即時排除威脅，最後不忘提醒各位讀者，資安防護與入侵好比矛與盾，除建立良好的防護系統外，時刻備份、備份、再備份才能高枕無憂、永保安康。