部落格

利用主動威脅狩獵(Threat Hunting)保護您的作業

您擁有強大的工業安全計畫。您已經利用良好的網路衛生(cyber hygiene)清理環境，並建置入侵偵測系統防止未來的事件發生。不過，在複雜的網路安全世界中，您的安全計畫不能僅止於此。

儘管您付出許多努力，潛在的進階持續性威脅(APT)仍舊是個問題。這些APT會以非常緩慢的速度，嘗試找出您防護的漏洞並汲取資料，讓您的作業陷入停滯。而入侵偵測不會對此活動有所反應。

威脅狩獵是您網路安全計畫中合理的下一步。在最簡易形式的威脅狩獵中，您會在網路中搜尋自動安全系統未偵測到的外部威脅或入侵。這是一項可靈活調整規模的作業，而且可以透過不同程度的自動化完成(包含純手動)。

威脅狩獵不僅可以進一步保護您的專有配方和資訊，並且非常可能改善作業效率。雖然這項作業在IT領域並非首見，但在OT環境則是初試啼聲。而這正是飲料和食品生產可獲益最多的作業。

威脅狩獵為主動，而且不需要掃描工具、陷阱，以及已經採用的未來重點基礎建設。在科技的時代，威脅狩獵會以智慧的方式，找出隱藏在您網路中數個月、甚至數年之久的惡意活動與威脅滲透。再者，威脅狩獵可以在網路活動和生產效率不佳之間，找出其他方法無法偵測到的關聯性。

您是否注意到攪拌機出了問題？HMI是否鎖定？標籤印表機閃爍錯誤？

事件的起始，可能會是操作者為未受保護的電話充電，將其插入網路中的開放式USB連接埠。幾個月後，您的烤箱開始出現問題，無法維持設定的參數，即使就機械的角度來看，也找不出原因。

若仔細檢查網路紀錄可以發現，每次烤箱出現問題時，都會有信標傳送到外部IP位址。由於這種關聯性無法以其他方法偵測，因此這成為人為因素之所以至關重要，以及威脅狩獵之所以非常有用的原因。

我造訪過某間工廠，其網路速度在某個特定班表時都會減慢。經過主動狩獵，發現某一位員工的工作站在執行未偵測到的Bit Torrent。因此，每天他們登入開始輪班時，整個網路都受到影響。

威脅狩獵找出的威脅大多看似無害，而且由於沒有脈絡和關聯性，因此會像往常一樣通過偵測系統。部分惡意軟體可以和未知的IP位址通訊，但表面上看起來和預期的網路流量相似。

惡意軟體也可能會對安全軟體偵測範圍以外的周邊裝置進行SYN掃描。這些惡意軟體會靜靜等候，緩慢尋找網路的漏洞。他們沒有遭安全軟體拒絕，也沒有建立外部聯繫，因此系統仍無法偵測。

在威脅狩獵的作業中，您可能會發現輸出連線來自一個處理程序，其不應外連到網際網路。或者，您可能會在通訊時發現未使用系統，代表存在感染來源。

這表示當您建置網路安全系統時，這些APT可能已經存在。這是因為大多數入侵偵測及防護程式，都仰賴已知的良好狀態。如果一開始就流量不佳或存在惡意程式活動，這種情況就會變成常態。許多已公開的安全漏洞都屬於這個類別。只有在入侵發生多年之後才偵測得到，也才能確認受損的範圍。

好消息是，您可能已擁有開始使用所需的一切。威脅狩獵透過適當的合作夥伴即可輕鬆執行，而且可以是一次性活動，或是成為持續性安全計畫。您的HMI和伺服器已經建立可以離線蒐集和分析的活動紀錄，因此不會有網路或生產中斷的壓力。

所以，請停止僅仰賴端點防護和病毒掃描程式來偵測是否容易受到攻擊。請在威脅滲透影響您的工廠區域之前就先狩獵。

已發佈 2020年3月2日

Josh Newton

Senior Consultant of Network & Security, Rockwell Automation

聯絡方式:

訂閱洛克威爾自動化電子報，掌握新聞、思惟領導力和最新資訊。

為您推薦