骇客盯上5G智慧制造破口 资安6大建议围堵
▲趋势发布报告指出,骇客已盯上4G/5G智慧制造的企业网路破口,建议用6大策略围堵。(图/趋势科技提供)
全球网路资安领导厂商趋势科技 (东京证券交易所股票代码:4704) 发表一份报告指出 4G/5G 企业专用网路 (以下称企业专网) 容易被骇客攻入的4大块破口,也模拟出11种攻击情境,并提出6项建议来保护 4G/5G 园区网路。
趋势科技指出,这份报告借由一个模拟智慧工厂企业专网的测试环境,深入研究企业难以修补关键 OT 环境漏洞遭利用的困境,并详细说明多种攻击情境以及可行的防范措施。
骇客可能入侵核心 4G/5G 网路的重要破口为: 一、执行核心网路服务的伺服器:攻击这些标准商用 x86 伺服器的漏洞和强度不足的密码。二、虚拟机器 (VM) 或容器:若未套用最新修补更新就可能成为破口。三、网路基础架构:修补更新经常忽略了网路硬体装置也需要修补。四、基地台:这些装置同样含有韧体,因此也不时需要更新。 趋势科技表示,骇客一旦经由上述任一破口进入核心网路,就能在网路内横向移动并试图拦截或篡改网路封包。正如我们的测试环境所示,骇客可经由攻击智慧制造环境中的工业控制系统 (ICS) 来窃取机敏资讯、破坏生产线,或者向企业勒索。 在报告中所示范的 11 种攻击情境当中,破坏力最强的是攻击 IT 和现场工程师经常使用的 Microsoft Remote Desktop Protocol (RDP) 伺服器。升级 5G 并不会让 RDP 流量自动获得保护,因此骇客可借此下载恶意程式或勒索病毒,甚至直接挟持工业控制系统。RDP v 10.0 是目前最安全的版本,提供了一些安全措施来防范这类攻击,但话说回来,企业要升级到最新版本仍可能存在困难。 趋势科技提出以下几项建议来保护 4G/5G 园区网路: 一、使用 VPN 或 IPSec 来保护远端通讯通道,包括远端据点与基地台。二、采用应用程式层次的加密 (HTTPS、MQTTS、LDAPS、加密 VNC、RDP v10 以及像 S7COMM-Plus 这类具备安全性的工业协定)。三、采用 EDR、XDR 或 MDR 来监控园区与中央核心网路的攻击与横向移动活动。四、采用 VLAN 或 SDN 来进行适当的网路分割。五、尽早套用伺服器、路由器与基地台的修补更新。六、 采用专为 4G/5G 企业专网设计所设计的网路解决方案安全产品如Trend Micro Mobile Network Security(TMMNS) ,可在企业内部网路侦测及防范阻挡网路攻击威胁及对终端联网装置进行零信任 (Zero Trust) 管理,透过资网路与无线网路提供双层防护,提供最大保护效果。 企业专用行动网路的建置,不仅牵涉到终端使用者,更牵涉其他单位,如:服务供应商与系统整合商。此外,企业专用 4G/5G 行动网路属于大型基础架构,而且使用寿命很长,所以一旦建置之后就很难汰换或修改。因此,有必要一开始就内建资安防护,在设计阶段就预先找出及预防可能的资安风险。
趋势科技技术总监戴燊也表示:「制造业正走在工业物联网 (IIoT) 潮流的尖端,善用 5G 无远弗届的连网威力来提升其速度、安全与效率。然而,新的威胁正伴随着这项新技术而来,而旧的挑战也需要解决。正如这份报告中提出的警告,许多企业都陷入无法承担停机修补关键系统漏洞的成本,所以只好冒着漏洞遭到攻击风险的困境。所幸,这份研究提供了多项防范措施与最佳实务原则来协助智慧工厂确保今日与明日的安全。」