即時探查與分析風險 確保IoT環境不受資安威脅侵擾
事實上,IoT/OT裝置並非只出現在工廠,或是油水電等關鍵基礎設施場域,各個行業幾乎都有,比方說IP Camera、門禁設備、Router、打卡鐘...等等多不勝數的裝置皆是。可以肯定,你我的網路環境中都有許多IoT/OT設備,連帶蘊藏著不低的資安風險。
Check Point資深技術顧問溫德鈞認為,比起一般電腦設備,IoT設備更容易遭受攻擊與入侵,主要是因為,它們擁有老舊的作業系統、缺乏安全性的連線、設計時沒有安全性考量、過於簡單的認證方式且多使用預設值、更新難度高且甚至無法更新...等等。
總之只要有IP,駭客都進得去,也都可以掃出一堆可供利用的弱點。譬如據傳有俄羅斯國家贊助的駭客組織,會利用印表機、VoIP電話等企業IoT裝置,伺機對企業網路發動攻擊,或是駭客可透過監控鏡頭對你進行偷窺。重點是,如果你看不到也識別不了這些潛藏的弱點,就沒有辦法做防護。
有鑑於IoT資安風險太過棘手,Check Point於是推出適用各種環境的IoT安全解決方案,其中具備即時性IoT風險分析、零信任IoT分段管治,以及多層次IoT威脅防護等關鍵功能,得以防止未經授權的訪問並阻止惡意連結,亦可防止受感染的設備橫向擴散。
溫德鈞進一步說明,Check Point的IoT安全解決方案可分為「Network-layer」、「On-Device」等屬性。在Network-layer部分,首先會有一個IoT探查引擎(IoT Discovery Engine),負責辨識、收集與分類IoT資產數據,再與安全管理主機進行資訊同步,並由安全閘道器即時攔阻可疑流量,或提供虛擬修補機制、減緩老舊軟韌體架構的風險,利用這套防護機制即可望擋下駭客利用系統漏洞攻擊。
至於On-Device部分,則是以輕量級代理程式NANO Agent為核心,可嵌入各式連網裝置的晶片或韌體,提供設備執行時期的自我防護功能。
歸納上述IoT網路安全防護方案的箇中亮點。首先在於它能夠快速發現與識別IoT裝置資訊,幫助企業或機構全面理解IoT及OT設備的屬性。其次具備了啟發性威脅分析引擎,藉以創造更高的安全可視性,簡言之這套引擎可根據CVE、老舊作業系統、密碼安全強度不足、連接模式、功能性與重要性等風險參數,判斷IoT與OT裝置究竟屬於高、中或低風險值。
更重要的,它內含一套IoT Policy Manager,發揮IoT感知式自動安全存取控管政策之功能,可隨時自我適應IoT環境變化,自動生成安全規則,以降低管理人員負擔。再者即是利用網路入侵防禦系統(IPS)內建的特徵碼來執行虛擬補丁,幫助一些難以修補漏洞的老舊IoT設備,仍然可以抵禦零時差漏洞濫用攻擊。
此外無論IT或OT環境,溫德鈞都建議企業或機構可善用防火牆來隔離威脅。以Check Point 1570R為例,便是針對ICS/SCADA工控網路設計的防火牆,它不僅可用於防護整座工廠的ICS,甚至支援PLC級別的微分段保護,消弭難纏的IoT/OT資安威脅。